10 juni 2025 - Naar aanleiding van een bericht uit Amerika zijn 2 Tweede Kamerleden nu wakker geworden van een probleem waarvoor wij al sinds 2021 aandacht vragen: namelijk de gebrekkige cyberveiligheid van omvormers in het algemeen en van Chinese omvormers in het bijzonder.  Men heeft namelijk eindelijk ontdekt dat omvormers tegenwoordig uitgerust zijn met communicatiemodules. Die communicatie modules zijn nodig voor de monitoring van de werking van het PV-systeem. Deze worden gebruikt om productiegegevens naar een server te sturen, zodat de eigenaar via een app op zijn smartphone of via een website grafieken over de zonnestroomproductie kan bekijken. Daarnaast kunnen onderhoudsmonteurs bij problemen op afstand diagnose toepassen, of pro-actief bewaken dat de PV-installatie goed werkt.
Het probleem is niet dat de omvormer een communicatiemodule heeft, maar dat  in de meeste gevallen niet bekend is met wie deze communicatie module communiceert.  Het algemene antwoord is dat de omvormer communiceert met een server die de functionaliteit van de grafieken presentatie verzorgt, en dat de beheerder van die server op afstand toegang heeft tot allerlei functies van de omvormer.

Het echte probleem is dat er geen wettelijke regeling is voor het beheer en de toegang tot die server. De ZPV pleit al sinds 2021 voor wetgeving die bepaalt dat:

• Die server in Nederland moet staan, of in ieder geval binnen de EU in een gecertificeerd datacenter.
• Dat de AVG op die server van toepassing is, en dat daarop streng moet worden gehandhaafd.
• Dat de eigenaar van de omvormer als enige moet kunnen bepalen, wie toegang heeft tot de gegevens van zijn omvormer op die server.
• Dat de eigenaar van de omvormer in principe moet kunnen kiezen op welke server zijn gegevens worden bewaard, en de mogelijkheid moet hebben om zijn keuze te veranderen.

De huidige situatie baart wel degelijk zorgen, want:

• Een aanzienlijk deel van de sinds 2015 geïnstalleerde omvormers zijn van Chinese makelij, of afkomstig uit landen die, gezien de geopolitieke situatie van dit moment, ook niet vertrouwd kunnen worden.
• Het is bekend dat de gegevens en toegang niet beperkt is tot de leverancier van de omvormer en/of de importeur van de omvormer, maar bij een aantal fabricaten ook vanuit China of elders kunnen worden gecontroleerd.
• Een sabotage scenario in opdracht van een vreemde mogendheid door het massaal gelijktijdig uitschakelen van omvormers van één bepaald merk is een reële mogelijkheid.
• Het is al sinds 2009 bekend dat tenminste één Chinese fabrikant (Huawei) Trojaanse paarden in de firmware van zijn producten heeft ingebouwd, waarna deze fabrikant nu van de Amerikaanse markt is geweerd.
• Noch de netbedrijven, noch de overheid, noch de bezitters van zonnepanelen hebben inzicht in de risico's die zij lopen, wanneer een sabotage scenario geactiveerd wordt.

Wij zullen de reactie van de betrokken ministers op de Kamervragen scherp in de gaten houden en kritisch beoordelen.

Overigens hebben wij over de "slimme meter" in principe dezelfde soort zorgen. Er zijn echter een aantal belangrijke verschillen:

• De gegevens van alle "slimme meters" in Nederland worden verzameld op één centraal punt.  Dit punt is daardoor een doelwit voor cybercriminaliteit en cyberoorlogsvoering. Wanneer de CS functie van de slimme meter decentraal ondergebracht zou worden bij onafhankelijke gecertificeerde organisaties of bij een dienstverlener onder beheer van de houder van de aansluiting, zouden de "slimme meters" minder kwetsbaar zijn.
• De netbeheerders hebben hun eigen infrastructuur om de P3 communicatie te doen plaatsvinden. Vanuit perspectief van cyberveiligheid is dit zowel een voordeel als een nadeel. Het voordeel is dat een hack op één netbeheerder niet automatisch een hack is op de totale infrastructuur. Het nadeel is dat de gebruikte technologie gemakkelijker is te saboteren. Overigens heeft de infrastructuur geen last van kleinschalige sabotage van de P3-communicatie gedurende maximaal 10 dagen.
• De bedreiging van de "slimme meters" komt niet zozeer uit landen waarvandaan elektronica wordt geïmporteerd, maar van cowboy bedrijven in eigen land waartegen de ACM onmachtig is om voldoende op te treden.

Wij zullen de betreffende Kamerleden erop attenderen, dat de cyberveiligheid niet alleen maar een zaak is van omvormer fabrikanten.