Este artículo es el segundo episodio de una serie de blogs que cubren las tendencias de la ciberseguridad y las mejores prácticas que deben ser abordadas por las partes interesadas en el sector de la automoción para implementar técnicas de vanguardia y cumplir con los niveles de cumplimiento requeridos.
Episodio anterior
Próximo episodio
- Ciberseguridad para vehículos de carretera - EP.3 - Una historia de sistemas de gestión
- Ciberseguridad para vehículos de carretera - EP.4 - Del proceso a los productos
- Y aún más por venir...
EP.1 de esa serie de blogs introdujo nuevos requisitos de ciberseguridad (especialmente en lo que respecta al impacto en los proveedores) que los fabricantes de vehículos tienen que cumplir para solicitar nuevas homologaciones de tipo a partir de junio de 2022. Detrás de estas nuevas expectativas establecidas en la norma UN ECE R155, los fabricantes tendrán que seguir un enfoque de tres pasos:
1. Certificación del sistema de gestión de la ciberseguridad (CSMS)
Los fabricantes de vehículos tienen que demostrar primero su marco de procesos de ciberseguridad, también llamado Sistema de Gestión de Ciberseguridad (CSMS) a las autoridades. Este paso inicial es obligatorio para obtener un certificado CS MS, que es el primer requisito para solicitar una nueva homologación. Este certificado no está vinculado a un programa de automóviles específico y representa la prueba de que un fabricante tiene la capacidad organizativa cumplir los requisitos de la norma UN ECE R155.
2. Homologación de tipo de vehículo (VTA)
Tras obtener este certificado CSMS, los fabricantes de vehículos tienen derecho a solicitar la homologación de tipo de vehículo (VTA). El objetivo de este segundo paso es evaluar que el marco del proceso, que ha sido "certificado" durante el paso 1, se ha aplicado de forma efectiva en el contexto de un programa de coches/tipo de vehículo específico. Por lo tanto, durante esta fase los fabricantes tendrán que presentar documentación que demuestre seguridad del vehículo la aplicación del proceso (por ejemplo, para el proceso de evaluación de riesgos prueba de los detalles completos de la evaluación de riesgos para este tipo específico de vehículo)
Nota: para los programas de automóviles iniciados antes de la certificación CSMS, se permiten desviaciones de dichos procesos hasta junio de 2024, pero requieren justificaciones
Una homologación de tipo es sólo el primer hito que hay que alcanzar para ser autorizado a vender coches en el mercado. Sin embargo, para mantener esta autorización, las autoridades también exigen controles periódicos para confirmar la aplicación continua de los procesos de seguridad a lo largo de la vida útil de un tipo de vehículo. Por lo tanto, la tercera fase de este viaje podría describirse como sigue:
3. Informes sobre las disposiciones
Una vez obtenida la homologación de tipo, los fabricantes de vehículos tendrán que informar periódicamente (al menos una vez al año) del resultado de sus actividades de supervisión, de la información relacionada con los nuevos ciberataques y de los posibles incidentes que puedan requerir un ajuste de las medidas de seguridad. El principal objetivo de este informe es que el fabricante demuestre a las autoridades que las medidas de protección siguen siendo eficaces y adecuadas frente a la evolución del panorama de amenazas.
Nota: Si el informe o la respuesta no son suficientes, el organismo de homologación puede decidir retirar el certificado CSMS (y, por tanto, suspender la homologación)
El proceso completo se resume e ilustra a continuación
CertX como socio para cumplir con la norma ECE R155 de la ONU y/o la ISO 21434
Si tiene alguna pregunta sobre las nuevas situaciones normativas en torno a la ciberseguridad para la industria de la automoción, o cualquier otro punto abierto sobre cómo podría utilizarse la aplicación de las normas y la certificación pertinentes para el cumplimiento, no dude en ponerse en contacto con nuestro expertos en ciberseguridad