6 minute read
Figiefa: Sicurezza informatica
Sicurezza informatica
Qual è il problema? Con l’ascesa della guida connessa e automatizzata da un lato e l’aumento generale di nuove minacce informatiche dall’altro, i legislatori di tutto il mondo hanno sentito la necessità di introdurre una normativa per affrontare la questione della cybersecurity nel settore automobilistico. FIGIEFA è favorevole a questa iniziativa per proteggere gli automobilisti e liberare il potenziale del mercato garantendo la fiducia nelle nuove tecnologie di mobilità. L’UNECE, un organismo delle Nazioni Unite che si occupa di questioni relative alla mobilità (tra gli altri argomenti), ha finalizzato nel giugno 2020 due atti legislativi in materia, il Regolamento n. 155 sulla “Cybersecurity” e il Regolamento n. 156 sugli “Aggiornamenti software”. Questi regolamenti saranno ora recepiti nella legislazione dell’Unione europea entro la metà del 2021. I due regolamenti sulla cybersecurity e sugli aggiornamenti software saranno applicabili, una volta adottati nell’Unione Europea, nel 2022 per i veicoli di nuova omologazione e a partire dal 2024 per il parco veicoli esistente.
2022: i regolamenti ONU sulla cybersecurity si applicano ai veicoli di nuova omologazione 2024: Le norme di cybersecurity dell’ONU si applicano all’intero parco auto.
Con il Regolamento n. 155, l’UNECE ha stabilito un inventario iniziale delle potenziali minacce informatiche e delle relative misure di mitigazione. Queste misure di mitigazione, tuttavia, non sono misure di attuazione concrete e lasciano ai produttori di veicoli la libertà di implementare i propri controlli di sicurezza. I produttori di veicoli sono ora autorizzati a stabilire i propri parametri di riferimento (ad esempio, “che cos’è una sicurezza adeguata?”) e a implementare le proprie misure di sicurezza informatica come parte dell’omologazione del veicolo. Ogni costruttore di veicoli creerà il proprio sistema di gestione della cybersecurity per impostare i processi organizzativi e implementare le misure di sicurezza/aggiornamento del software per ogni tipo di veicolo. Di conseguenza, i produttori di veicoli possono considerare qualsiasi accesso e comunicazione con il veicolo come una minaccia informatica e possono implementare meccanismi e pratiche di controllo dell’accesso per affrontare i problemi di sicurezza informatica (ad esempio, per la porta OBD e la connessione wireless). Il veicolo può essere protetto da misure di cybersecurity proprietarie dei produttori di veicoli e questo ha il potenziale di influenzare negativamente le operazioni quotidiane delle vostre aziende.
Che impatto potrebbe avere sulla vostra attività? Allo stato attuale, il regolamento UNECE non prevede alcuna forma di robuste clausole di salvaguardia per l’aftermarket automobilistico. La strategia proprietaria di cybersecurity dei produttori di veicoli potrebbe rendere impossibile l’utilizzo di pezzi di ricambio provenienti da fonti indipendenti, in quanto potrebbero essere rifiutati dal veicolo in nome della “sicurezza”. Questa esclusione potrebbe avere un impatto profondo e negativo sull’intero portafoglio di pezzi di ricambio identificati come “rilevanti per la cybersecurity” (ad esempio, qualsiasi pezzo con componenti elettronici), soprattutto quelli che non provengono da fornitori di apparecchiature originali. Gli ostacoli alla libera concorrenza nell’aftermarket automobilistico potrebbero essere ulteriormente estesi con l’argomento (o addirittura con il pretesto) della “cybersecurity”. I primi esempi sono le restrizioni all’accesso alla porta OBD attraverso i certificati di sicurezza proprietari dei produttori di veicoli, i codici proprietari dei produttori di veicoli (codici QR o software) necessari per l’attivazione dei pezzi di ricambio (spesso con gli strumenti diagnostici dei produttori di veicoli) o la prevenzione generale della comunicazione remota con il veicolo e i suoi dati. Tutte queste restrizioni potrebbero ora essere imposte ampiamente in base ai requisiti legali di protezione della cybersicurezza.
Dalla sua sede centrale di Bruxelles, la Federazione europea dei distributori aftermarket del settore automobilistico, Figiefa, tiene monitorati gli sviluppi della legislazione europea e internazionale relativa all’aftermarket automotive. Figiefa rappresenta gli interessi dei suoi membri presso le istituzioni europee e internazionali. In una serie di articoli di questa newsletter, Figiefa e ADI, che assiste Figiefa in vari gruppi di lavoro dedicati, desiderano offrire una panoramica sugli argomenti cruciali che sono destinati ad avere un impatto in futuro sul settore IAM. Nella presente edizione: Cybersicurezza
Oggi, circa 100 milioni di linee di codice sono incorporate nei veicoli. Entro il 2030, circa 300 milioni di linee di codice renderanno i veicoli idonei alla circolazione.
Ciò impedirebbe alle imprese indipendenti e multimarca di svolgere un’ampia gamma di servizi di riparazione e manutenzione e spingerebbe ulteriori consumatori verso le reti convenzionate con i produttori di veicoli. Cosa sta facendo FIGIEFA? FIGIEFA sostiene pienamente le misure volte a proteggere i veicoli connessi dalle minacce alla sicurezza informatica. Tuttavia, il processo di incrocio dei regolamenti UNECE sulla cybersecurity nella legislazione dell’Unione Europea non deve portare a concedere ai produttori di veicoli un controllo totale e arbitrario dell’implementazione della cybersecurity. L’Unione Europea deve adottare le misure necessarie per evitare che l’intero mercato post-vendita automobilistico (e le relative catene del valore digitali e della mobilità) venga interrotto.
FIGIEFA sostiene pienamente le misure che proteggono i veicoli connessi e che evitano l’interruzione dell’aftermarket.
Per questo motivo FIGIEFA, insieme ad altre aziende di aftermarket, leasing/noleggio e organizzazioni di consumatori organizzate in “AFCAR” (Alliance for the Freedom of Car Repairs), sta attualmente informando i funzionari dell’Unione Europea e i rappresentanti degli Stati membri per sensibilizzare e raccogliere sostegno. L’obiettivo è quello di garantire che il recepimento dei Regolamenti UNECE nel quadro giuridico dell’Unione Europea sia accompagnato da solide clausole di attuazione per assicurare che tutte le parti interessate continuino ad avere la possibilità di operare, in modo non discriminatorio e competitivo, affrontando al contempo il problema della sicurezza informatica. Senza queste misure, il mercato dei ricambi sarebbe a rischio.
Più in dettaglio, FIGIEFA chiede ai responsabili delle decisioni di garantire tra l’altro:
la compatibilità con la cybersecurity e l’interoperabilità dei pezzi di ricambio; la compatibilità e l’interoperabilità della cybersecurity per gli strumenti diagnostici multimarca; l’istituzione di uno schema di certificazione a livello di Unione
Europea, estendendo l’attuale schema SERMI alla cybersecurity (includendo anche uno schema di approvazione e autorizzazione per gli strumenti diagnostici e per qualsiasi altro operatore coinvolto nella fornitura di servizi di mobilità; modificare le disposizioni sulla porta OBD per definire le regole per il periodo di rilascio di certificati di sicurezza da parte dei costruttori di veicoli fino alla creazione di un sistema di certificazione a livello europeo.
A seguito delle nostre attività di informazione, la Commissione europea ha deciso di reagire in modo favorevole. Il tema della cybersicurezza e dell’installazione sicura dei pezzi di ricambio è stato inserito nel programma di lavoro per il 2022 della Direzione Generale competente e la FIGIEFA è stata invitata a presentare questo tema in una riunione del gruppo di esperti nel febbraio 2022. In seguito alla discussione di questa riunione, è stato deciso di avviare una riunione del gruppo di esperti delle parti interessate con i partecipanti dei costruttori di veicoli (ACEA), degli operatori dell’aftermarket (AFCAR) e dei fornitori di primo equipaggiamento (CLEPA), con la Commissione europea a presiedere la riunione. La prima riunione di questo gruppo di lavoro si è tenuta nel maggio 2022, dove le proposte FIGIEFA/ AFCAR, che hanno raccolto le richieste di cui sopra, sono state utilizzate per guidare la discussione. I costruttori di veicoli hanno raggiunto un accordo iniziale (in linea di principio) sulle nostre richieste e c’è stata un’intesa comune sul fatto che la questione deve essere discussa ulteriormente in dettaglio. Di conseguenza, ci aspettiamo che nei prossimi mesi si tengano altri cicli di discussione.
Parallelamente, FIGIEFA sta organizzando incontri tecnici con esperti di ricambi per lavorare su requisiti concreti di implementazione della cybersecurity e sta organizzando webinar informativi per preparare i membri FIGIEFA alla cybersecurity. Infine, FIGIEFA ha commissionato uno studio indipendente sulla cybersecurity, con l’obiettivo di dimostrare che è perfettamente possibile avere il massimo livello di protezione della cybersecurity, consentendo allo stesso tempo una comunicazione indipendente con il veicolo, i suoi dati e le sue risorse.
L’esito delle discussioni politiche su questo tema avrà un impatto decisivo sul nostro settore. La FIGIEFA continuerà a difendere i vostri interessi nei prossimi mesi per assicurarsi che le vostre aziende non siano ostacolate nella conduzione degli affari. Avremo bisogno del vostro sostegno per rafforzare le nostre attività e per convincere i responsabili politici dell’importanza di prendere in considerazione le vostre esigenze.
