6 minute read
Figiefa: Cyberveiligheid
Cyberveiligheid
Wat is het probleem? Met de opkomst van geconnecteerd en geautomatiseerd rijden aan de ene kant, en de algemene toename van nieuwe cyberdreigingen aan de andere kant, voelden wetgevers wereldwijd de noodzaak om regelgeving in te voeren om de kwestie van cyberbeveiliging in de automobielsector aan te pakken. FIGIEFA is hier voorstander van, om automobilisten te beschermen en het potentieel van de markt te ontsluiten door het vertrouwen in nieuwe mobiliteitstechnologieën te waarborgen. De UNECE, een orgaan van de Verenigde Naties dat zich (onder meer) bezighoudt met mobiliteitsvraagstukken, heeft in juni 2020 de laatste hand gelegd aan twee wetgevingsbesluiten ter zake: Verordening nr. 155 inzake “cyberbeveiliging” en Verordening nr. 156 inzake “software-updates”. Deze verordeningen zullen nu tegen medio 2021 worden omgezet in de wetgeving van de Europese Unie. Deze twee verordeningen inzake cyberbeveiliging en inzake software-updates zullen, zodra ze in de Europese Unie zijn goedgekeurd, van toepassing worden in 2022 voor nieuwe voertuigen waarvoor typegoedkeuring is verleend en vanaf 2024 voor het bestaande voertuigenpark.
2022: de VN-verordeningen inzake cyberbeveiliging worden van toepassing op nieuwe voertuigen waarvoor typegoedkeuring is verleend 2024: De VN-voorschriften inzake cyberbeveiliging zijn van toepassing op het volledige wagenpark
Met Reglement nr. 155 heeft de VN/ECE een eerste inventarisatie gemaakt van potentiële cyberdreigingen en de bijbehorende risicobeperkende maatregelen. Deze risicobeperkende maatregelen zijn echter geen concrete uitvoeringsmaatregelen en geven voertuigfabrikanten de vrijheid om hun eigen beveiligingscontroles in te voeren. Zij mogen nu hun eigen benchmark vaststellen (d.w.z. “wat is adequate beveiliging?”) en hun eigen cyberbeveiligingsmaatregelen invoeren als onderdeel van de typegoedkeuring van voertuigen. Elke voertuigfabrikant zal zijn eigen cyberbeveiligingsbeheersysteem opzetten om organisatorische processen op te zetten en beveiligings-/software-updategerelateerde maatregelen voor elk voertuigtype uit te voeren. Bijgevolg kunnen voertuigfabrikanten elke toegang tot en communicatie met het voertuig als een cyberbedreiging beschouwen en kunnen zij toegangscontrolemechanismen en -praktijken toepassen om cyberbeveiligingsproblemen aan te pakken (bv. voor de OBD-poort en draadloze verbinding). Het voertuig kan worden afgeschermd met de eigen cyberbeveiligingsmaatregelen van de voertuigfabrikanten en dit kan een nadelige invloed hebben op de dagelijkse activiteiten van uw ondernemingen. Welke gevolgen kan dit hebben voor uw bedrijf? Zoals het er nu voorstaat, bevat dit VN/ECE-reglement geen enkele vorm van robuuste vrijwaringsclausules voor de aftermarket van de automobielsector. De eigen cyberbeveiligingsstrategie van de autofabrikanten zou het onmogelijk kunnen maken om reserveonderdelen van onafhankelijke bronnen te gebruiken, omdat deze in naam van de “veiligheid” door het voertuig zouden kunnen worden geweigerd. Deze uitsluiting zou een diepgaande en negatieve impact kunnen hebben op uw volledige portefeuille van reserveonderdelen die als “cyberbeveiligingsrelevant” worden aangemerkt (bv. elk onderdeel met elektronische componenten), met name onderdelen die niet afkomstig zijn van leveranciers van originele uitrusting . Belemmeringen voor de vrije mededinging op de aftermarket van de automobielsector kunnen nog verder worden uitgebreid onder het argument (of zelfs het voorwendsel) van “cyberbeveiliging”. Eerste voorbeelden zijn toegangsbeperkingen tot de OBD-poort via merkgebonden veiligheidscertificaten van voertuigfabrikanten, merkgebonden codes van voertuigfabrikanten (QR-codes of software) die nodig zijn voor de activering van reserveonderdelen (vaak met diagnose-instrumenten van de voertuigfabrikanten zelf) of de algemene belemmering van communicatie op afstand met het voertuig en zijn
Vanuit haar hoofdzetel in Brussel volgt FIGIEFA, de Europese federatie van de automotive aftermarket verdelers, de ontwikkeling van Europese en internationale wetgeving met betrekking tot de automotive aftermarket op de voet. Figiefa behartigt de belangen van haar leden ten aanzien van Europese en internationale instellingen. In een reeks artikels in deze nieuwsbrief willen FIGIEFA en ADI, die FIGIEFA bijstaat via diverse werkgroepen, een overzicht geven van kernthema’s die een impact zullen hebben op het toekomstige speelveld van de IAM. In dit nummer: Cyberveiligheid
gegevens. Al deze beperkingen kunnen nu op grote schaal worden opgelegd op grond van de wettelijke voorschriften inzake de bescherming van cyberbeveiliging.
Vandaag zijn ongeveer 100 miljoen regels code ingebouwd in voertuigen. Tegen 2030 zullen ongeveer 300 miljoen coderegels voertuigen rijklaar maken.
Dit zou onafhankelijke multimerkbedrijven beletten een breed scala aan reparatie- en onderhoudsdiensten uit te voeren en nog meer consumenten naar de door de voertuigfabrikanten gecontracteerde netwerken drijven. Wat doet FIGIEFA? FIGIEFA staat volledig achter maatregelen om aangesloten voertuigen te beschermen tegen cyberdreigingen. Het proces van kruisverwijzing van de VN/ECE-verordeningen inzake cyberbeveiliging naar de wetgeving van de Europese Unie mag er echter niet toe leiden dat voertuigfabrikanten een volledig arbitraire controle krijgen over de uitvoering van de cyberbeveiliging. De Europese Unie moet de nodige maatregelen nemen om te voorkomen dat de volledige aftermarket van de auto-industrie (en de bijbehorende digitale en mobiliteitswaardeketens) wordt verstoord.
FIGIEFA staat volledig achter maatregelen om geconnected voertuigen te beschermen en verstoring van de aftermarket te voorkomen.
Daarom is FIGIEFA, samen met andere aftermarket-, lease-/ verhuurbedrijven en consumentenorganisaties, georganiseerd in ‘AFCAR’ (Alliance for the Freedom of Car Repairs), momenteel bezig met het informeren van ambtenaren en vertegenwoordigers van de lidstaten van de Europese Unie om het bewustzijn te vergroten en steun te vergaren. Het doel is ervoor te zorgen dat de omzetting van de VN/ECE-reglementen in het rechtskader van de Europese Unie gepaard gaat met solide uitvoeringsclausules om ervoor te zorgen dat alle belanghebbenden op niet-discriminerende en concurrerende wijze kunnen blijven opereren en tegelijkertijd de cyberveiligheid kunnen aanpakken. Zonder dergelijke maatregelen zou de aftermarkt in gevaar komen.
Meer in het bijzonder roept FIGIEFA beleidsbepalers op om onder meer te zorgen voor:
cyberbeveiligingscompatibiliteit en -interoperabiliteit voor vervangingsonderdelen; compatibiliteit en interoperabiliteit op het gebied van cyberbeveiliging voor diagnose-instrumenten van verschillende merken het opzetten van een certificeringsregeling voor de hele Europese Unie, door de huidige SERMI-regeling uit te breiden tot cyberbeveiliging (met inbegrip van een goedkeurings- en au-
torisatieregeling voor diagnose-instrumenten en alle andere marktdeelnemers die betrokken zijn bij het verlenen van mobiliteitsdiensten) de bepalingen inzake de OBD-poort te wijzigen om regels vast te stellen voor de periode waarin voertuigfabrikanten beveiligingscertificaten voor eigen rekening afgeven, totdat de certificatieregeling voor de hele Europese Unie is opgezet. Als gevolg van onze voorlichtingsactiviteiten heeft de Europese Commissie besloten een ondersteunende reactie te geven. De kwestie van cyberveiligheid en veilige installatie van reserveonderdelen werd toegevoegd aan het werkprogramma voor 2022 van het desbetreffende directoraat-generaal, en FIGIEFA werd uitgenodigd om deze kwestie te presenteren tijdens een vergadering van de deskundigengroep in februari 2022. Na bespreking tijdens deze vergadering werd besloten een vergadering van de deskundigengroep van belanghebbenden te organiseren met deelnemers van de voertuigfabrikanten (ACEA), de marktdeelnemers op de aftermarkt (AFCAR) en de leveranciers van originele onderdelen (CLEPA), waarbij de Europese Commissie de vergadering zou voorzitten. De eerste vergadering van deze werkgroep vond plaats in mei 2022, waarbij de FIGIEFA/AFCAR-voorstellen waarin de bovengenoemde vragen zijn vervat, werden gebruikt om de discussie aan te sturen. De voertuigfabrikanten waren het in eerste instantie (in beginsel) eens met onze vragen en men was het erover eens dat deze kwestie verder in detail moet worden besproken. Wij verwachten dan ook dat in de komende maanden nog meer discussierondes zullen worden gehouden. Parallel hieraan organiseert FIGIEFA technische bijeenkomsten met deskundigen op het gebied van reserveonderdelen om te werken aan concrete implementatievereisten voor cyberbeveiliging, en organiseert het informatieve webinars om FIGIEFA-leden voor te bereiden op cyberbeveiliging. Last but not least heeft de FIGIEFA opdracht gegeven voor een onafhankelijke studie naar cyberbeveiliging, met als doel aan te tonen dat het perfect mogelijk is om het hoogste niveau van bescherming tegen cyberbeveiliging te hebben en tegelijkertijd een onafhankelijke communicatie met het voertuig, zijn gegevens en middelen mogelijk te maken. De uitkomst van de politieke discussies over dit onderwerp zal een beslissende invloed hebben op onze sector. FIGIEFA zal uw belangen de komende maanden blijven verdedigen om ervoor te zorgen dat uw ondernemingen niet worden belemmerd in hun bedrijfsvoering. Wij zullen uw steun nodig hebben om onze activiteiten te versterken en de politieke besluitvormers ervan te overtuigen dat het belangrijk is rekening te houden met uw behoeften.
