Sicurezza informatica
Dalla sua sede centrale di Bruxelles, la Federazione europea dei distributori aftermarket del settore automobilistico, Figiefa, tiene monitorati gli sviluppi della legislazione europea e internazionale relativa all’aftermarket automotive. Figiefa rappresenta gli interessi dei suoi membri presso le istituzioni europee e internazionali. In una serie di articoli di questa newsletter, Figiefa e ADI, che assiste Figiefa in vari gruppi di lavoro dedicati, desiderano offrire una panoramica sugli argomenti cruciali che sono destinati ad avere un impatto in futuro sul settore IAM. Nella presente edizione: Cybersicurezza
Qual è il problema? Con l’ascesa della guida connessa e automatizzata da un lato e l’aumento generale di nuove minacce informatiche dall’altro, i legislatori di tutto il mondo hanno sentito la necessità di introdurre una normativa per affrontare la questione della cybersecurity nel settore automobilistico. FIGIEFA è favorevole a questa iniziativa per proteggere gli automobilisti e liberare il potenziale del mercato garantendo la fiducia nelle nuove tecnologie di mobilità. L’UNECE, un organismo delle Nazioni Unite che si occupa di questioni relative alla mobilità (tra gli altri argomenti), ha finalizzato nel giugno 2020 due atti legislativi in materia, il Regolamento n. 155 sulla “Cybersecurity” e il Regolamento n. 156 sugli “Aggiornamenti software”. Questi regolamenti saranno ora recepiti nella legislazione dell’Unione europea entro la metà del 2021. I due regolamenti sulla cybersecurity e sugli aggiornamenti software saranno applicabili, una volta adottati nell’Unione Europea, nel 2022 per i veicoli di nuova omologazione e a partire dal 2024 per il parco veicoli esistente. 2022: i regolamenti ONU sulla cybersecurity si applicano ai veicoli di nuova omologazione 2024: Le norme di cybersecurity dell’ONU si applicano all’intero parco auto. Con il Regolamento n. 155, l’UNECE ha stabilito un inventario iniziale delle potenziali minacce informatiche e delle relative misure di mitigazione. Queste misure di mitigazione, tuttavia, non sono misure di attuazione concrete e lasciano ai produttori di veicoli la libertà di implementare i propri controlli di sicurezza. I produttori di veicoli sono ora autorizzati a stabilire i propri parametri di riferimento (ad esempio, “che cos’è una sicurezza adeguata?”) e a implementare le proprie misure di sicurezza informatica come parte dell’omologazione del veicolo. Ogni costruttore di veicoli creerà il proprio sistema di gestione 4
della cybersecurity per impostare i processi organizzativi e implementare le misure di sicurezza/aggiornamento del software per ogni tipo di veicolo. Di conseguenza, i produttori di veicoli possono considerare qualsiasi accesso e comunicazione con il veicolo come una minaccia informatica e possono implementare meccanismi e pratiche di controllo dell’accesso per affrontare i problemi di sicurezza informatica (ad esempio, per la porta OBD e la connessione wireless). Il veicolo può essere protetto da misure di cybersecurity proprietarie dei produttori di veicoli e questo ha il potenziale di influenzare negativamente le operazioni quotidiane delle vostre aziende.
Che impatto potrebbe avere sulla vostra attività? Allo stato attuale, il regolamento UNECE non prevede alcuna forma di robuste clausole di salvaguardia per l’aftermarket automobilistico. La strategia proprietaria di cybersecurity dei produttori di veicoli potrebbe rendere impossibile l’utilizzo di pezzi di ricambio provenienti da fonti indipendenti, in quanto potrebbero essere rifiutati dal veicolo in nome della “sicurezza”. Questa esclusione potrebbe avere un impatto profondo e negativo sull’intero portafoglio di pezzi di ricambio identificati come “rilevanti per la cybersecurity” (ad esempio, qualsiasi pezzo con componenti elettronici), soprattutto quelli che non provengono da fornitori di apparecchiature originali. Gli ostacoli alla libera concorrenza nell’aftermarket automobilistico potrebbero essere ulteriormente estesi con l’argomento (o addirittura con il pretesto) della “cybersecurity”. I primi esempi sono le restrizioni all’accesso alla porta OBD attraverso i certificati di sicurezza proprietari dei produttori di veicoli, i codici proprietari dei produttori di veicoli (codici QR o software) necessari per l’attivazione dei pezzi di ricambio (spesso con gli strumenti diagnostici dei produttori di veicoli) o la prevenzione generale della comunicazione remota con il veicolo e i suoi dati. Tutte queste restrizioni potrebbero ora essere imposte ampiamente in base ai requisiti legali di protezione della cybersicurezza.
