5 minute read
Figiefa: Cybersecurity
Cybersicherheit
Was ist das Problem? Mit dem Aufkommen des vernetzten und automatisierten Fahrens auf der einen Seite und der allgemeinen Zunahme neuer Cyber-Bedrohungen auf der anderen Seite sahen sich die Gesetzgeber weltweit veranlasst, eine Regelung für das Thema Cybersicherheit im Automobilsektor einzuführen. FIGIEFA befürwortet dies, um die Autofahrer zu schützen und das Potenzial des Marktes freizusetzen, indem das Vertrauen in neue Mobilitätstechnologien gewährleistet wird. Die UNECE, ein Gremium der Vereinten Nationen, das sich unter anderem mit Mobilitätsfragen befasst, hat im Juni 2020 zwei Rechtsvorschriften zu diesem Thema fertiggestellt, die Verordnung Nr. 155 über “Cybersicherheit” und die Verordnung Nr. 156 über “Software-Updates”. Diese Verordnungen wurden ab Mitte 2021 in die Gesetzgebung der Europäischen Union umgesetzt. Diese beiden Verordnungen über Cybersicherheit und SoftwareUpdates werden nach ihrer Verabschiedung in der Europäischen Union im Jahr 2022 für neu zugelassene Fahrzeuge und ab 2024 für den bestehenden Fahrzeugpark gelten.
2022: UN-Cybersicherheitsvorschriften gelten für neu typgenehmigte Fahrzeuge 2024: UN-Cybersicherheitsvorschriften gelten für den gesamten Fuhrpark
Mit der Regelung Nr. 155 hat die UNECE eine erste Bestandsaufnahme potenzieller Cyber-Bedrohungen und entsprechender Abhilfemaßnahmen vorgenommen. Diese Abhilfemaßnahmen sind jedoch keine konkreten Umsetzungsmaßnahmen und lassen den Fahrzeugherstellern die Freiheit, ihre eigenen Sicherheitskontrollen zu implementieren. Sie dürfen nun ihre eigenen Maßstäbe setzen (d. h. “was ist angemessene Sicherheit?”) und ihre eigenen Cybersicherheitsmaßnahmen im Rahmen der Fahrzeugtypgenehmigung umsetzen. Jeder Fahrzeughersteller wird sein eigenes Cybersicherheits-Managementsystem einrichten, um organisatorische Abläufe festzulegen und sicherheits-/softwareaktualisierungsbezogene Maßnahmen für jeden Fahrzeugtyp umzusetzen. Folglich können die Fahrzeughersteller jeden Zugang zum und jede Kommunikation mit dem Fahrzeug als Cyberbedrohung betrachten und Zugangskontrollmechanismen und -praktiken einführen, um Cybersicherheitsbedenken zu begegnen (z. B. für den OBD-Anschluss und die drahtlose Verbindung). Das Fahrzeug kann mit firmeneigenen Cybersicherheitsmaßnahmen des Fahrzeugherstellers abgesichert werden, was sich negativ auf den täglichen Betrieb Ihres Unternehmens auswirken kann. Wie könnte sich dies auf Ihr Unternehmen auswirken? In ihrer jetzigen Fassung enthält diese UNECE-Regelung keine robusten Schutzklauseln für den Kfz-Ersatzteilmarkt. Die firmeneigene Cybersicherheitsstrategie der Fahrzeughersteller könnte es unmöglich machen, Ersatzteile aus unabhängigen Quellen zu verwenden, da sie vom Fahrzeug im Namen der “Sicherheit” abgelehnt werden könnten. Dieser Ausschluss könnte tiefgreifende und negative Auswirkungen auf Ihr gesamtes Portfolio an Ersatzteilen haben, die als “cybersicherheitsrelevant” eingestuft werden (z. B. alle Teile mit elektronischen Komponenten), insbesondere solche, die nicht von Erstausrüstern stammen. Die Beeinträchtigung des freien Wettbewerbs auf dem Kfz-Ersatzteilmarkt könnte unter dem Argument (oder sogar Vorwand) der “Cybersicherheit” noch weiter ausgedehnt werden. Erste Beispiele sind Zugangsbeschränkungen für den OBD-Anschluss durch herstellereigene Sicherheitszertifikate der Fahrzeughersteller, herstellereigene Codes (QR-Codes oder Software), die für die Aktivierung von Ersatzteilen (oft mit den Diagnosewerkzeugen der Fahrzeughersteller) benötigt werden, oder die generelle Verhinderung der Fernkommunikation mit dem Fahrzeug und dessen Daten. All diese Beschränkungen könnten nun im Rahmen der gesetzlichen Anforderungen an den Schutz der Cybersicherheit weitgehend durchgesetzt werden.
Der europäische Verband der Händler des Kfz-Aftermarkets, die FIGIEFA, überwacht und begleitet von ihrem Sitz in Brüssel aus die Entwicklung der europäischen und internationalen Gesetzgebung, die den Kfz-Ersatzteilmarkt betrifft. Die Interessen ihrer Mitglieder vertritt die FIGIEFA gegenüber europäischen und internationalen Institutionen. In diesem Newsletter geben die FIGIEFA und ADI, das die FIGIEFA in verschiedenen Arbeitsgruppen unterstützt, einen Überblick über die wichtigsten Themen, die das Spielfeld des IAM von morgen beeinflussen werden. In dieser Ausgabe: Cybersicherheit
Heute sind rund 100 Millionen Codezeilen in Fahrzeuge eingebaut. Bis 2030 werden rund 300 Millionen Codezeilen die Fahrzeuge verkehrstauglich machen.
Dies würde unabhängige Mehrmarkenbetriebe daran hindern, eine breite Palette von Reparatur- und Wartungsdienstleistungen anzubieten, und weitere Verbraucher in die Vertragsnetze der Fahrzeughersteller treiben.
Was tut die FIGIEFA? FIGIEFA unterstützt voll und ganz Maßnahmen zum Schutz vernetzter Fahrzeuge vor Cybersicherheitsbedrohungen. Der Prozess der Querverweisung der UNECE-Cybersecurity-Regelungen in die Gesetzgebung der Europäischen Union sollte jedoch nicht dazu führen, dass den Fahrzeugherstellern eine völlig willkürliche Kontrolle über die Umsetzung der Cybersicherheit gewährt wird. Die Europäische Union muss die notwendigen Maßnahmen ergreifen, um zu verhindern, dass der gesamte Kfz-Ersatzteilmarkt (und die damit verbundenen digitalen und MobilitätsWertschöpfungsketten) gestört wird.
FIGIEFA unterstützt voll und ganz Maßnahmen zum Schutz von vernetzten Fahrzeugen und zur Vermeidung von Störungen im Aftermarket.
Aus diesem Grund informiert FIGIEFA derzeit gemeinsam mit anderen Aftermarket-, Leasing-/Vermietungsunternehmen und Verbraucherorganisationen, die in der AFCAR (Alliance for the Freedom of Car Repairs) organisiert sind, die Beamten der Europäischen Union und die Vertreter der Mitgliedstaaten, um das Bewusstsein zu schärfen und Unterstützung zu gewinnen. Ziel ist es, sicherzustellen, dass die Umsetzung der UNECE-Regelungen in den Rechtsrahmen der Europäischen Union von soliden Durchführungsklauseln begleitet wird, um zu gewährleisten, dass alle Beteiligten weiterhin in der Lage sind, diskriminierungsfrei und wettbewerbsorientiert zu arbeiten und gleichzeitig die Cybersicherheit zu berücksichtigen. Ohne solche Maßnahmen wäre der Ersatzteilmarkt in Gefahr.
Im Einzelnen fordert FIGIEFA die Entscheidungsträger auf, u.a. Folgendes zu gewährleisten:
Cybersicherheit-Kompatibilität und Interoperabilität für Ersatzteile; Cybersicherheitskompatibilität und Interoperabilität für Mehrmarken-Diagnosetools; Einrichtung eines EU-weiten Zertifizierungssystems durch Ausweitung des derzeitigen SERMI-Systems auf die Cybersicherheit (einschließlich eines Zulassungs- und Genehmigungssystems für Diagnosewerkzeuge und alle anderen an der Erbringung von
Mobilitätsdienstleistungen beteiligten Akteure) Änderung der Bestimmungen über den OBD-Anschluss, um
Regeln für den Zeitraum festzulegen, in dem Sicherheitszertifikate von den Fahrzeugherstellern selbst ausgestellt werden, bis das EU-weite Zertifizierungssystem eingerichtet ist. Als Ergebnis unserer Informationsarbeit hat die Europäische Kommission beschlossen, unterstützend zu reagieren. Das Thema Cybersicherheit und sicherer Einbau von Ersatzteilen wurde in das Arbeitsprogramm der zuständigen Generaldirektion für 2022 aufgenommen, und FIGIEFA wurde eingeladen, dieses Thema bei einem Treffen der Expertengruppe im Februar 2022 vorzustellen. Im Anschluss an die Diskussion auf dieser Sitzung wurde beschlossen, eine Expertengruppe mit Vertretern der Fahrzeughersteller (ACEA), des Ersatzteilmarktes (AFCAR) und der Erstausrüster (CLEPA) einzurichten, wobei die Europäische Kommission den Vorsitz der Sitzung übernahm. Die erste Sitzung dieser Arbeitsgruppe fand im Mai 2022 statt, bei der die Vorschläge von FIGIEFA/AFCAR, die die oben genannten Fragen enthielten, als Diskussionsgrundlage dienten. Es gab eine erste (grundsätzliche) Zustimmung der Fahrzeughersteller zu unseren Forderungen, und es bestand Einigkeit darüber, dass dieses Thema weiter im Detail diskutiert werden muss. Infolgedessen erwarten wir in den kommenden Monaten weitere Diskussionsrunden. Parallel dazu organisiert FIGIEFA technische Treffen mit ErsatzteilExperten, um konkrete Umsetzungsanforderungen für die Cybersicherheit zu erarbeiten, und veranstaltet Informations-Webinare, um FIGIEFA-Mitglieder auf die Cybersicherheit vorzubereiten. Nicht zuletzt hat FIGIEFA eine unabhängige Cybersicherheitsstudie in Auftrag gegeben, die zeigen soll, dass es durchaus möglich ist, ein Höchstmaß an Cybersicherheit zu gewährleisten und gleichzeitig eine unabhängige Kommunikation mit dem Fahrzeug, seinen Daten und Ressourcen zu ermöglichen. Das Ergebnis der politischen Diskussionen zu diesem Thema wird entscheidende Auswirkungen auf unseren Sektor haben. FIGIEFA wird sich in den kommenden Monaten weiterhin für Ihre Interessen einsetzen, um sicherzustellen, dass Ihre Unternehmen nicht an der Ausübung ihrer Geschäftstätigkeit gehindert werden. Wir werden Ihre Unterstützung brauchen, um unsere Aktivitäten zu verstärken und die politischen Entscheidungsträger davon zu überzeugen, dass es wichtig ist, Ihre Bedürfnisse zu berücksichtigen.
