In opdracht van de Nationale Agenda Laadinfrastructuur onderzochten wij de cybersecurityrisico’s van de Nederlandse laadinfrastructuur. De energietransitie betekent immers voor het vervoer over de weg dat het aantal laadpalen voor elektrische auto’s zal stijgen en wel van 270.000 nu tot 1,8 miljoen laadpunten in 2030.
Nederland loopt daarin voorop. Laadpalen worden echter vaak bestuurd door backofficesystemen die kunnen worden gehackt. Het totaal gevraagde piekvermogen is in 2030 ook twintig maal zo hoog als nu, wat de gevoeligheid voor cyberaanvallen vergroot.
Cybersecurityrisico’s
Cyberaanvallen kunnen leiden tot aanzienlijke verstoringen van de laadinfrastructuur zelf en daarmee van de mobiliteit in Nederland. Daarnaast kunnen ze ook de elektriciteitsvoorziening in Nederland verstoren of zelfs onderbreken. Zo identificeerden wij in totaal vier typen cyberaanvallen die tot een substantiële verstoring kunnen leiden. Elk scenario heeft een eigen verloop en impact op de maatschappij:
- Slimme aanval door een statelijke actor (veelal een groep hackers met veel mogelijkheden). Hierbij wordt het backofficesysteem van een laadpuntoperator aangevallen en worden de mogelijkheden van smart charging gemanipuleerd. Daardoor kan het elektriciteitsnet van Nederland uitvallen en een black-out worden veroorzaakt. Dit scenario is mogelijk na 2025.
- Grote aanval van een statelijke actor. In dit geval wordt een achterliggende centrale informatieverstrekking aangevallen. Na 2027 is dan een nationale black-out mogelijk, hoewel zich natuurlijk ook verstoringen met minder impact kunnen voordoen.
- Gewone cyberaanval. Bijvoorbeeld het aanvallen van het backofficesysteem van een laadpaal. Daardoor kunnen de door deze operator beheerde laadpalen uitvallen. Dit leidt tot verstoring van de mobiliteit van groepen burgers en organisaties.
- Privacyaanval. Klantdata van laadsessies kunnen worden gestolen en gepubliceerd of anderszins misbruikt. Dit kan leiden tot schade bij getroffenen en kan het vertrouwen in elektrisch laden verminderen.
Adequate wet- en regelgeving
Momenteel bestaat er nog geen wet- en regelgeving voor de cybersecurity van backofficesystemen van de laadinfrastructuur. Ons advies luidt dan ook een adequate cyberbeveiliging van de systemen van de nationale laadinfrastructuur te gaan borgen door middel van wet- en regelgeving. Dit zou ook op Europees niveau moeten worden geagendeerd. Daarbij zouden belangrijke partijen in de laadinfrastructuur een zorgplicht krijgen, incidenten moeten melden en dient hierop toezicht te worden gehouden.