Cyberveiligheid
Vanuit haar hoofdzetel in Brussel volgt FIGIEFA, de Europese federatie van de automotive aftermarket verdelers, de ontwikkeling van Europese en internationale wetgeving met betrekking tot de automotive aftermarket op de voet. Figiefa behartigt de belangen van haar leden ten aanzien van Europese en internationale instellingen. In een reeks artikels in deze nieuwsbrief willen FIGIEFA en ADI, die FIGIEFA bijstaat via diverse werkgroepen, een overzicht geven van kernthema’s die een impact zullen hebben op het toekomstige speelveld van de IAM. In dit nummer: Cyberveiligheid
Wat is het probleem? Met de opkomst van geconnecteerd en geautomatiseerd rijden aan de ene kant, en de algemene toename van nieuwe cyberdreigingen aan de andere kant, voelden wetgevers wereldwijd de noodzaak om regelgeving in te voeren om de kwestie van cyberbeveiliging in de automobielsector aan te pakken. FIGIEFA is hier voorstander van, om automobilisten te beschermen en het potentieel van de markt te ontsluiten door het vertrouwen in nieuwe mobiliteitstechnologieën te waarborgen. De UNECE, een orgaan van de Verenigde Naties dat zich (onder meer) bezighoudt met mobiliteitsvraagstukken, heeft in juni 2020 de laatste hand gelegd aan twee wetgevingsbesluiten ter zake: Verordening nr. 155 inzake “cyberbeveiliging” en Verordening nr. 156 inzake “software-updates”. Deze verordeningen zullen nu tegen medio 2021 worden omgezet in de wetgeving van de Europese Unie. Deze twee verordeningen inzake cyberbeveiliging en inzake software-updates zullen, zodra ze in de Europese Unie zijn goedgekeurd, van toepassing worden in 2022 voor nieuwe voertuigen waarvoor typegoedkeuring is verleend en vanaf 2024 voor het bestaande voertuigenpark. 2022: de VN-verordeningen inzake cyberbeveiliging worden van toepassing op nieuwe voertuigen waarvoor typegoedkeuring is verleend 2024: De VN-voorschriften inzake cyberbeveiliging zijn van toepassing op het volledige wagenpark Met Reglement nr. 155 heeft de VN/ECE een eerste inventarisatie gemaakt van potentiële cyberdreigingen en de bijbehorende risicobeperkende maatregelen. Deze risicobeperkende maatregelen zijn echter geen concrete uitvoeringsmaatregelen en geven voertuigfabrikanten de vrijheid om hun eigen beveiligingscontroles in te voeren. Zij mogen nu hun eigen benchmark vaststellen (d.w.z. “wat is adequate beveiliging?”) en hun eigen cyberbeveiligingsmaatregelen invoeren als onderdeel van de 4
typegoedkeuring van voertuigen. Elke voertuigfabrikant zal zijn eigen cyberbeveiligingsbeheersysteem opzetten om organisatorische processen op te zetten en beveiligings-/software-updategerelateerde maatregelen voor elk voertuigtype uit te voeren. Bijgevolg kunnen voertuigfabrikanten elke toegang tot en communicatie met het voertuig als een cyberbedreiging beschouwen en kunnen zij toegangscontrolemechanismen en -praktijken toepassen om cyberbeveiligingsproblemen aan te pakken (bv. voor de OBD-poort en draadloze verbinding). Het voertuig kan worden afgeschermd met de eigen cyberbeveiligingsmaatregelen van de voertuigfabrikanten en dit kan een nadelige invloed hebben op de dagelijkse activiteiten van uw ondernemingen.
Welke gevolgen kan dit hebben voor uw bedrijf? Zoals het er nu voorstaat, bevat dit VN/ECE-reglement geen enkele vorm van robuuste vrijwaringsclausules voor de aftermarket van de automobielsector. De eigen cyberbeveiligingsstrategie van de autofabrikanten zou het onmogelijk kunnen maken om reserveonderdelen van onafhankelijke bronnen te gebruiken, omdat deze in naam van de “veiligheid” door het voertuig zouden kunnen worden geweigerd. Deze uitsluiting zou een diepgaande en negatieve impact kunnen hebben op uw volledige portefeuille van reserveonderdelen die als “cyberbeveiligingsrelevant” worden aangemerkt (bv. elk onderdeel met elektronische componenten), met name onderdelen die niet afkomstig zijn van leveranciers van originele uitrusting . Belemmeringen voor de vrije mededinging op de aftermarket van de automobielsector kunnen nog verder worden uitgebreid onder het argument (of zelfs het voorwendsel) van “cyberbeveiliging”. Eerste voorbeelden zijn toegangsbeperkingen tot de OBD-poort via merkgebonden veiligheidscertificaten van voertuigfabrikanten, merkgebonden codes van voertuigfabrikanten (QR-codes of software) die nodig zijn voor de activering van reserveonderdelen (vaak met diagnose-instrumenten van de voertuigfabrikanten zelf) of de algemene belemmering van communicatie op afstand met het voertuig en zijn
