Zonnepaneelinstallaties in Nederland zijn kwetsbaar voor hacks en storingen. Dat meldt de Rijksinspectie Digitale Infrastructuur (RDI) vandaag. De dienst zegt dat een groot deel van de omvormers niet voldoende beschermd is. Omvormers zijn apparaten waarmee bijvoorbeeld de opbrengst van zonnepanelen naar smartphones en laptops kan worden verstuurd.

Als ze met het internet worden verbonden, zijn de omvormers zeer kwetsbaar. Uit onderzoek van de RDI blijkt dat geen enkele onderzochte omvormer voldoet aan alle eisen, en daardoor eenvoudig is te hacken. Ze zijn van afstand uit te schakelen of gezamenlijk in te zetten voor DDoS-aanvallen. Ook kunnen er via de omvormers persoonsgegevens worden gestolen.

"Je gebruiksgegevens kunnen ook gemanipuleerd worden, over hoeveel je teruglevert aan het stroomnet", zegt John Derksen van de RDI in het NOS Radio 1 Journaal. "Maar als alle installaties tegelijkertijd aan- en uitgezet worden door een hack. Dan krijg je zo'n piek in ons elektriciteitssyteem dat alles platgaat. Dat is een reëel scenario."

Voor de inval in Oekraïne was dat minder realistisch, zegt Derksen. "Maar gezien onze huidige geopolitieke situatie is dat anders." Dat de omvormers zo eenvoudig te hacken zijn, heeft met meerdere factoren te maken. "Fabrikanten zijn slordig. Met software-updates, maar ze wijzen gebruikers ook niet goed op het instellen van wachtwoorden."

Hack elektriciteitssysteem is realistisch

Voor het onderzoek werden willekeurig negen verschillende typen omvormers van acht merken geselecteerd. Vijf van de negen geteste omvormers blijken ook storingen te kunnen veroorzaken. De RDI zegt de afgelopen jaren meer meldingen van storing door zonnepaneelinstallaties te hebben gekregen. Dat gaat dan om storingen op frequenties die onder meer defensie, radiozendamateurs, DAB+ (radio) en het communicatiesysteem voor hulpdiensten (C2000) gebruiken.

Volgens de dienst kunnen de gevolgen groot zijn. "Zelfs de lucht- en scheepvaart kan er hinder van ondervinden", aldus de dienst, die vermoedt dat het aantal meldingen maar een klein deel van het werkelijke aantal storingen vertegenwoordigt. "De gemiddelde burger heeft beperkte tot geen kennis van het radiospectrum. Een burger merkt mogelijk vreemde fenomenen bij draadloze apparaten en toepassingen (bijvoorbeeld slechte wifi), maar koppelt dit niet snel aan zonnepanelen. Daardoor kan een melding bij de RDI uitblijven."

De wet verplicht fabrikanten van producten die storing kunnen veroorzaken om per direct maatregelen te nemen om te voorkomen dat zij nog storende producten verhandelen.

16,3 miljoen installaties

Om te weten of een omvormer veilig is, moet een consument contact opnemen met de leverancier. De cyberveiligheidseisen waarop de RDI controleerde, zijn nog niet wettelijk verplicht. Die eisen gaan vanaf augustus 2024 in. "Ons toezicht ziet erop toe dat alles wat op de markt komt, veilig is", zegt Derksen. "De regels gaan volgend jaar in, maar we zijn nu al bezig om fabrikanten te waarschuwen dat ze hun spullen op orde moeten hebben."

Alle fabrikanten ontvingen van de RDI een waarschuwing. "Als de wetgeving van kracht is, kunnen we gaan handhaven. Dan moet je denken aan boetes en dergelijke", zegt Derksen.

Het aantal zonnepaneelinstallaties in Nederland is de afgelopen jaren explosief toegenomen. In 2015 waren het er nog ongeveer 1,8 miljoen, maar in 2021 was het gestegen naar 16,3 miljoen.