Este artículo es el primer episodio de una nueva serie que cubre temas candentes de ciberseguridad que deben ser abordados por las partes interesadas del sector de la automoción para cumplir con los niveles requeridos y aplicar las mejores prácticas de seguridad.
Como se introdujo en uno de nuestros artículos anteriores (ver UNECE WP.29 / R155 - Cómo afectará la ciberseguridad al mercado del automóvil a partir de junio de 2022), el nuevo reglamento R155 de la CEPE de las Naciones Unidas para abordar los problemas de ciberseguridad de los vehículos de carretera entró en vigor en junio de 2021, y será parcialmente obligatorio a partir de julio de 2022 para todos los fabricantes de vehículos (el requisito de cumplimiento total está previsto para julio de 2024).
Como se indica en el propio reglamento, estas nuevas normas son impuestas por las autoridades de homologación únicamente a los fabricantes de vehículos. Sin embargo, algunas partes de las mismas abordan aspectos de seguridad a lo largo de toda la cadena de suministro y, por tanto, también afectarán a todos y cada uno de los proveedores de elementos críticos para la seguridad. A partir de ahí, es responsabilidad de los solicitantes de homologación de vehículos deducir los requisitos pertinentes para sus propios proveedoresEn este sentido, los fabricantes de vehículos tienen que recopilar una cantidad suficiente de pruebas para demostrar su capacidad de desarrollar, operar y mantener la seguridad de los elementos suministrados a lo largo de todo el ciclo de vida del vehículo (véase la figura siguiente).
La figura anterior introduce las dos vertientes de cooperación que los fabricantes de vehículos deben tener en cuenta, así como las dos dimensiones de los requisitos:
OEM a las autoridades de homologación
-
- Los fabricantes de equipos originales tienen que demostrar que disponen de un sistema de gestión de la ciberseguridad (CSMS = marco de procesos para gestionar los riesgos cibernéticos relacionados con los vehículos a lo largo de todo su ciclo de vida)
- Sobre la base de un CSMS establecido y aprobado, los OEM tienen que demostrar pruebas específicas del tipo de vehículo que demuestren medidas razonables de mitigación de los riesgos cibernéticos relacionados con sus productos (por ejemplo, evaluación de riesgos coherente, medidas de mitigación pertinentes, etc.)
OEM a sus proveedores
-
- Los fabricantes de equipos originales tienen que definir los requisitos de ciberseguridad pertinentes que deben difundir a sus proveedores para garantizar la seguridad de extremo a extremo en toda la cadena de suministro
- Los fabricantes de equipos originales son responsables de calificar/aprobar a sus proveedores para que proporcionen productos y servicios que cumplan con la seguridad
- Los fabricantes de equipos originales son responsables de asegurar la alineación de las actividades compartidas con los proveedores, normalmente a través de acuerdos de interfaz
Por lo tanto, los fabricantes de vehículos deben ser conscientes de que la relativa flexibilidad que tienen con su forma de tratar a los proveedores podría tener, en última instancia, un fuerte impacto para sus procesos de homologación de vehículos. Los métodos de vanguardia y las mejores prácticas para cumplir con la norma UN ECE R155, principalmente a través de la aplicación de la norma ISO/SAE 21434 como guía, se describirán en profundidad a través de futuros episodios de esa serie
Otros episodios programados:
-
- Ciberseguridad para vehículos de carretera - EP.2 - Una historia de sistemas de gestión
- Ciberseguridad para los vehículos de carretera - EP.3 - De la conformidad organizativa a la homologación de vehículos
- Ciberseguridad para los vehículos de carretera - EP.4 - Cómo las certificaciones pueden apoyar las homologaciones
- Y aún más por venir...
Cómo puede CertX apoyar su hoja de ruta para el cumplimiento de la normativa
Como organismo de certificación reconocido en toda la industria de la automoción, CertX puede apoyar a su organización de varias maneras, dependiendo de su madurez y posición en las cadenas de suministro. A continuación, un breve resumen de los servicios que presta nuestro equipo de ciberseguridad:
Apoyo educativo para ingenieros y directivos
-
- Formación de concienciación: sesiones/talleres a medida sobre actividades y técnicas relacionadas con la ciberseguridad para conocer a fondo el estado de la técnica
- Formación certificable: ISO/SAE 21434 Cinturón Rojo de Ciberseguridad en Automoción (A-CSRB)
Análisis de carencias y evaluación previa para identificar los puntos débiles
-
- Evaluación del cumplimiento actual de los requisitos de la norma ISO/SAE 21434 y/o de la norma UN ECE R155 a nivel de organización (CSMS) o a nivel de producto (artefactos específicos del producto)
- Para que el OEM prepare la auditoría de conformidad con las autoridades de homologación
- Para que los proveedores estén preparados con los próximos requisitos de los OEM
Servicios de apoyo para el diseño y la implementación del CSMS, y el cumplimiento de la seguridad de los productos
-
- Apoyo a la implantación de una nueva forma de trabajar, integrando prácticas de ciberseguridad basadas en nuevos procesos, documentos y herramientas
- Por lo general, se basa en los resultados/conclusiones del análisis inicial de las deficiencias
ISO/SAE 21434 - CSMS, certificaciones de procesos o productos
-
- Evaluación independiente y reconocida de su sistema de gestión, marco de procesos o artefactos específicos del producto para obtener las certificaciones oficiales ISO/SAE 21434
- El alcance depende de su posición en la cadena de suministro y de sus objetivos estratégicos
Si tiene alguna pregunta sobre las nuevas situaciones normativas en torno a la ciberseguridad para la industria de la automoción, o cualquier otro punto abierto sobre cómo podría utilizarse la aplicación de las normas y la certificación pertinentes para el cumplimiento, no dude en ponerse en contacto con nuestros expertos en ciberseguridad