Nuevo Reglamento en Ciberseguridad en vehículos
El nuevo reglamento UNECE/TRANS/WP.29/2020/79 fue aprobado el 23 de junio de 2020. Ha entrado en vigor el día 1 de enero de 2021.
Esta normativa exige a los fabricantes un certificado de ciberseguridad.
Será obligatorio a partir del 1 de julio de 2022 para vehículos de nueva homologación. A partir del 1 de julio de 2024 para todos los vehículos nuevos.
Este Reglamento se aplica a los vehículos de categorías M y N. También se aplica a los vehículos de la categoría O si están equipados con al menos una unidad de control electrónico. Y a los vehículos de las categorías L 6 y L 7 si están equipados con funcionalidades de conducción automatizada desde el nivel 3 en adelante.
El Reglamento define » Ciberseguridad » como la condición en la que los vehículos de carretera y sus funciones están protegidas de las amenazas cibernéticas en los sistemas eléctricos o electrónicos de sus componentes.
Los fabricantes tienen que proteger a sus vehículos frente a 70 vulnerabilidades.
La solicitud de aprobación será presentada por el fabricante del vehículo o por su representante, debidamente acreditado. Irá acompañada por triplicado, de los siguientes datos:
- Una descripción del tipo de vehículo con respecto a los elementos especificados en el anexo 1 al presente Reglamento.
- En los casos en que se demuestre que la información está cubierta por propiedad intelectual, se deberá entregar la suficiente información que permita realizar los controles contemplados en el presente Reglamento. Dicha información se tratará de forma confidencial.
- El Certificado de Cumplimiento para CSMS de acuerdo con el párrafo 6 de este Regulación, que se describe a continuación.
Certificado de cumplimiento
Sistema de gestión de seguridad cibernética (CSMS) Irá acompañada de los documentos a continuación por triplicado:
- Documentos que describen el Sistema de Gestión de Seguridad Cibernética.
- Una declaración firmada (utilizando el modelo definido en el Apéndice 1 del Anexo 1)
- El fabricante del vehículo aplicará medidas para el tipo de vehículo para:
- (a) Detectar y prevenir ciberataques contra vehículos del tipo de vehículo.
- (b) Apoyar la capacidad de seguimiento del fabricante del vehículo con en lo que respecta a la detección de amenazas, vulnerabilidades y ciberataques relevantes al tipo de vehículo.
- (c) Proporcionar capacidad forense de datos para permitir el análisis de intentos o Ciberataques exitosos.
Conformidad de la producción
El titular de la aprobación se asegurará de que los resultados de la conformidad se registran las pruebas de producción y que los documentos adjuntos permanezcan disponibles por un período que no excederá de 10 años contados desde el momento cuando la producción se interrumpa definitivamente.
La autoridad de homologación podrá en cualquier momento verificar los métodos de control de conformidad aplicados en cada instalación de producción. La frecuencia normal de estas verificaciones será una vez cada tres años.
Anexo 5:
Lista de amenazas y mitigaciones correspondientes En la norma se distinguen 3 grupos de amenazas:
- Parte A, describe la línea de base para amenazas, vulnerabilidades y métodos de ataque.
- Parte B, describe las mitigaciones a las amenazas que están destinadas a los tipos de vehículos.
- Parte C, describe las mitigaciones a las amenazas que están destinadas a áreas fuera de los vehículos, por ejemplo, en backends de TI.
Desde Corsán Ingeniería de Gestión ponemos al servicio de nuestros clientes, nuestra experiencia, para poder gestionarles la documentación, y trámites pertinentes.
Pueden ponerse en contacto con nosotros mediante formulario web, en el correo comercial@corsan.info o teléfono +34 917 789 872.