Cybersikkerhed
Fra hovedkvarteret i Bruxelles overvåger og følger sammenslutningen af leverandører til bileftermarkedet, Figiefa, udviklingen af den europæiske og internationale lovgivning, som berører bil-eftermarkedet. Figiefa repræsenterer sine medlemmers interesser overfor europæiske og internationale institutioner. I en række artikler i dette nyhedsbrev agter Figiefa og ADI, som hjælper Figiefa i forskellige dedikerede arbejdsgrupper, at give dig et udtømmende overblik over vigtige emner, som med sikkerhed vil påvirke morgendagens IAM-område. I denne udgave: Cybersikkerhed
Hvad er problemet? Med fremkomsten af forbundet og automatiseret kørsel på den ene side og den generelle stigning i nye cybertrusler på den anden side har lovgivere verden over følt behov for at indføre regler for at løse problemet med cybersikkerhed i bilsektoren. Det er noget, som FIGIEFA går ind for for at beskytte bilisterne og frigøre markedets potentiale ved at sikre tillid til nye mobilitetsteknologier. UNECE, et FN-organ, der beskæftiger sig med mobilitetsspørgsmål (blandt andre emner), færdiggjorde i juni 2020 to retsakter om emnet, nemlig forordning nr. 155 om “cybersikkerhed” og forordning nr. 156 om “softwareopdateringer”. Disse forordninger vil nu blive omsat i EU’s lovgivning medio 2021. Disse to forordninger om cybersikkerhed og om softwareopdateringer vil, når de er vedtaget i EU, finde anvendelse i 2022 for nyligt typegodkendte køretøjer og fra 2024 for den eksisterende køretøjspark. 2022: FN’s cybersikkerhedsregulativer gælder for nyligt typegodkendte køretøjer 2024: FN’s cybersikkerhedsforskrifter gælder for hele bilparken Med regulativ nr. 155 har FN/ECE udarbejdet en første opgørelse over potentielle cybertrusler og tilsvarende afbødningsforanstaltninger. Disse afbødningsforanstaltninger er dog ikke konkrete gennemførelsesforanstaltninger og giver køretøjsfabrikanterne frihed til at gennemføre deres egne sikkerhedskontroller. De har nu lov til at fastsætte deres egen benchmark (dvs. “hvad er tilstrækkelig sikkerhed?”) og gennemføre deres egne cybersikkerhedsforanstaltninger som led i typegodkendelsen af køretøjer. Hver køretøjsfabrikant skal oprette sit eget cybersikkerhedsstyringssystem for at etablere organisatoriske 4
processer og gennemføre sikkerheds-/softwareopdateringsrelaterede foranstaltninger for hver køretøjstype. Som følge heraf kan køretøjsfabrikanterne betragte enhver adgang til og kommunikation med køretøjet som en cybertrussel, og de kan indføre adgangskontrolmekanismer og -praksis for at imødegå cybersikkerhedsproblemer (f.eks. for OBD-porten og den trådløse forbindelse). Køretøjet kan være ringhegnet med køretøjsfabrikanternes egne cybersikkerhedsforanstaltninger, og dette har potentiale til at have en negativ indvirkning på jeres virksomheders daglige drift.
Hvordan kan det påvirke din virksomhed? Som det ser ud i dag, indeholder denne FN/ECE-forordning ikke nogen form for robuste beskyttelsesklausuler for det automotive eftermarked. Køretøjsfabrikanternes proprietære cybersikkerhedsstrategi kan gøre det umuligt at anvende reservedele fra uafhængige kilder, da de kan blive afvist af køretøjet i “sikkerhedens” navn. Denne udelukkelse kan have en dybtgående og negativ indvirkning på hele din portefølje af reservedele, der er identificeret som “cybersikkerhedsrelevante” (f.eks. alle dele med elektroniske komponenter), især dem, der ikke kommer fra leverandører af originaludstyr . Hindringerne for den frie konkurrence på eftermarkedet for motorkøretøjer kan blive udvidet yderligere under argumentet (eller endog under påskud) af “cybersikkerhed”. De første eksempler er adgangsbegrænsninger til OBD-porten via køretøjsfabrikanternes sikkerhedscertifikater, køretøjsfabrikanternes koder (QR-koder eller software), der er nødvendige for aktivering af reservedele (ofte med køretøjsfabrikanternes egne diagnoseværktøjer) eller den generelle forhindring af fjernkommunikation med køretøjet og dets data. Alle disse begrænsninger kan nu pålægges i vid udstrækning i henhold til de juridiske krav om beskyttelse af cybersikkerhed.
