5 minute read
Figiefa: Cybersikkerhed
Cybersikkerhed
Fra hovedkvarteret i Bruxelles overvåger og følger sammenslutningen af leverandører til bileftermarkedet, Figiefa, udviklingen af den europæiske og internationale lovgivning, som berører bil-eftermarkedet. Figiefa repræsenterer sine medlemmers interesser overfor europæiske og internationale institutioner. I en række artikler i dette nyhedsbrev agter Figiefa og ADI, som hjælper Figiefa i forskellige dedikerede arbejdsgrupper, at give dig et udtømmende overblik over vigtige emner, som med sikkerhed vil påvirke morgendagens IAM-område. I denne udgave: Cybersikkerhed
Hvad er problemet? Med fremkomsten af forbundet og automatiseret kørsel på den ene side og den generelle stigning i nye cybertrusler på den anden side har lovgivere verden over følt behov for at indføre regler for at løse problemet med cybersikkerhed i bilsektoren. Det er noget, som FIGIEFA går ind for for at beskytte bilisterne og frigøre markedets potentiale ved at sikre tillid til nye mobilitetsteknologier. UNECE, et FN-organ, der beskæftiger sig med mobilitetsspørgsmål (blandt andre emner), færdiggjorde i juni 2020 to retsakter om emnet, nemlig forordning nr. 155 om “cybersikkerhed” og forordning nr. 156 om “softwareopdateringer”. Disse forordninger vil nu blive omsat i EU’s lovgivning medio 2021. Disse to forordninger om cybersikkerhed og om softwareopdateringer vil, når de er vedtaget i EU, finde anvendelse i 2022 for nyligt typegodkendte køretøjer og fra 2024 for den eksisterende køretøjspark.
2022: FN’s cybersikkerhedsregulativer gælder for nyligt typegodkendte køretøjer 2024: FN’s cybersikkerhedsforskrifter gælder for hele bilparken
Med regulativ nr. 155 har FN/ECE udarbejdet en første opgørelse over potentielle cybertrusler og tilsvarende afbødningsforanstaltninger. Disse afbødningsforanstaltninger er dog ikke konkrete gennemførelsesforanstaltninger og giver køretøjsfabrikanterne frihed til at gennemføre deres egne sikkerhedskontroller. De har nu lov til at fastsætte deres egen benchmark (dvs. “hvad er tilstrækkelig sikkerhed?”) og gennemføre deres egne cybersikkerhedsforanstaltninger som led i typegodkendelsen af køretøjer. Hver køretøjsfabrikant skal oprette sit eget cybersikkerhedsstyringssystem for at etablere organisatoriske processer og gennemføre sikkerheds-/softwareopdateringsrelaterede foranstaltninger for hver køretøjstype. Som følge heraf kan køretøjsfabrikanterne betragte enhver adgang til og kommunikation med køretøjet som en cybertrussel, og de kan indføre adgangskontrolmekanismer og -praksis for at imødegå cybersikkerhedsproblemer (f.eks. for OBD-porten og den trådløse forbindelse). Køretøjet kan være ringhegnet med køretøjsfabrikanternes egne cybersikkerhedsforanstaltninger, og dette har potentiale til at have en negativ indvirkning på jeres virksomheders daglige drift.
Hvordan kan det påvirke din virksomhed? Som det ser ud i dag, indeholder denne FN/ECE-forordning ikke nogen form for robuste beskyttelsesklausuler for det automotive eftermarked. Køretøjsfabrikanternes proprietære cybersikkerhedsstrategi kan gøre det umuligt at anvende reservedele fra uafhængige kilder, da de kan blive afvist af køretøjet i “sikkerhedens” navn. Denne udelukkelse kan have en dybtgående og negativ indvirkning på hele din portefølje af reservedele, der er identificeret som “cybersikkerhedsrelevante” (f.eks. alle dele med elektroniske komponenter), især dem, der ikke kommer fra leverandører af originaludstyr . Hindringerne for den frie konkurrence på eftermarkedet for motorkøretøjer kan blive udvidet yderligere under argumentet (eller endog under påskud) af “cybersikkerhed”. De første eksempler er adgangsbegrænsninger til OBD-porten via køretøjsfabrikanternes sikkerhedscertifikater, køretøjsfabrikanternes koder (QR-koder eller software), der er nødvendige for aktivering af reservedele (ofte med køretøjsfabrikanternes egne diagnoseværktøjer) eller den generelle forhindring af fjernkommunikation med køretøjet og dets data. Alle disse begrænsninger kan nu pålægges i vid udstrækning i henhold til de juridiske krav om beskyttelse af cybersikkerhed.
I dag er der ca. 100 millioner linjer kode indbygget i køretøjer. I 2030 vil omkring 300 millioner linjer kode gøre køretøjer køreklare.
Dette vil forhindre uafhængige virksomheder med flere mærker i at udføre en bred vifte af reparations- og vedligeholdelsestjenester og tvinge flere forbrugere ind i bilfabrikanternes kontraktbaserede netværk.
Hvad laver FIGIEFA? FIGIEFA støtter fuldt ud foranstaltninger til beskyttelse af tilsluttede køretøjer mod trusler mod cybersikkerheden. Processen med krydshenvisninger af UNECE’s cybersikkerhedsregulativer i EU’s lovgivning bør dog ikke føre til, at køretøjsfabrikanterne får en fuldstændig vilkårlig kontrol med gennemførelsen af cybersikkerheden. Den Europæiske Union skal træffe de nødvendige foranstaltninger for at undgå, at hele bileftermarkedet (og de tilhørende digitale og mobilitetsværdikæder) bliver forstyrret.
FIGIEFA støtter fuldt ud foranstaltninger, der beskytter tilsluttede køretøjer og undgår forstyrrelser på eftermarkedet.
Derfor er FIGIEFA sammen med andre eftermarkedsselskaber, leasing/udlejningsselskaber og forbrugerorganisationer, der er organiseret i “AFCAR” (Alliance for the Freedom of Car Repairs), i øjeblikket i gang med at informere EU’s embedsmænd og repræsentanter for medlemsstaterne for at øge bevidstheden og samle støtte. Målet er at sikre, at gennemførelsen af FN/ ECE-regulativerne i EU’s retlige rammer ledsages af solide gennemførelsesbestemmelser for at sikre, at alle interessenter fortsat har mulighed for at operere på en ikke-diskriminerende og konkurrencedygtig måde, samtidig med at der tages hensyn til cybersikkerhed. Uden sådanne foranstaltninger ville eftermarkedet være i fare uden sådanne foranstaltninger.
Mere detaljeret opfordrer FIGIEFA beslutningstagerne til at sikre bl.a:
cybersikkerhedskompatibilitet og interoperabilitet for reservedele;
cybersikkerhedskompatibilitet og interoperabilitet for diagnoseværktøjer af flere mærker; etablering af en EU-certificeringsordning ved at udvide den nuværende SERMI-ordning til at omfatte cybersikkerhed (herunder også en godkendelses- og autorisationsordning for diagnose-
værktøjer og enhver anden operatør, der er involveret i levering af mobilitetstjenester); ændring af bestemmelserne om OBD-porten for at fastlægge regler for perioden for køretøjsfabrikanternes udstedelse af sikkerhedscertifikater, indtil den EU-dækkende certificeringsordning er indført. Som et resultat af vores informationsaktiviteter besluttede Kommissionen at reagere positivt. Spørgsmålet om cybersikkerhed og sikker installation af reservedele blev tilføjet i det relevante generaldirektorats arbejdsprogram for 2022, og FIGIEFA blev inviteret til at præsentere dette spørgsmål på et ekspertgruppemøde i februar 2022. Efter drøftelser på dette møde blev det besluttet at iværksætte et møde i en ekspertgruppe af interessenter med deltagere fra køretøjsfabrikanterne (ACEA), eftermarkedets operatører (AFCAR) og leverandører af førsteudstyr (CLEPA), med Europa-Kommissionen som formand for mødet. Det første møde i denne arbejdsgruppe blev afholdt i maj 2022, hvor FIGIEFA/ AFCAR-forslagene, som indfanger ovennævnte spørgsmål, blev brugt til at styre diskussionen. Køretøjsfabrikanterne var i første omgang (i princippet) enige i vores spørgsmål, og der var en fælles forståelse for, at dette spørgsmål skal drøftes yderligere i detaljer. Som følge heraf forventer vi, at der vil blive afholdt yderligere diskussionsrunder i de kommende måneder.
Sideløbende hermed afholder FIGIEFA tekniske møder med eksperter i reservedele for at arbejde på konkrete gennemførelseskrav til cybersikkerhed og arrangerer informationswebinarer for at forberede FIGIEFA-medlemmer på cybersikkerhed.
Sidst, men ikke mindst, har FIGIEFA bestilt en uafhængig undersøgelse af cybersikkerhed med det formål at vise, at det er fuldt ud muligt at have det højeste niveau af cybersikkerhedsbeskyttelse og samtidig tillade en uafhængig kommunikation med køretøjet, dets data og ressourcer.
Resultatet af de politiske drøftelser om dette spørgsmål vil få afgørende betydning for vores sektor. FIGIEFA vil fortsat forsvare jeres interesser i de kommende måneder for at sikre, at jeres virksomheder ikke bliver hindret i at drive forretning. Vi vil have brug for jeres støtte for at styrke vores aktiviteter og overbevise de politiske beslutningstagere om vigtigheden af at tage hensyn til jeres behov.
