Cyberveiligheid zet branche op scherp

Cyberveiligheid in de autobranche is cruciaal, vooral met het toenemende aantal auto’s in het wagenpark dat connected is en daarbij meer en meer afhankelijk van softwaresystemen. Tegelijkertijd wil ‘iedereen’ toegang tot voertuigdata en -systemen om een gelijk speelveld in de aftermarket te realiseren. Een oplossing is er, met grote consequenties voor autobedrijven.

De technologie maakt het mogelijk om steeds meer remote functionaliteiten (updates, upgrades, diagnostics) in het auto-ecosysteem te integreren. Dit biedt cybercriminelen tevens steeds meer mogelijkheden om een systeem binnen te komen, waarbij infotainment-, rijhulp- (ADAS) en communicatiesystemen het gevaar lopen te worden gecompromitteerd, om over aanvallen met ransomware nog maar te zwijgen. Die dreiging is geen toekomstmuziek, maar een actueel probleem. Het is daarom absoluut noodzakelijk om maatregelen te nemen. Autofabrikanten moeten conform de UNECE R155- en R156-richtlijnen compliant zijn met beide richtlijnen, de risico’s minimaliseren en een veilig en betrouwbaar voertuig garanderen, inclusief (eindelijk) de vrije toegang tot voertuigdata.

Typegoedkeuring

Je zou zeggen: wie kan daar tegen zijn? Toch grepen autofabrikanten (OEM’s) deze richtlijnen aan om de OBD-toegang tot bepaalde kritische datastromen en hardware (deels) af te schermen. De secure gateway is zo’n majeure drempel. Europese rechters hebben inmiddels geoordeeld (in de zaak Carglass-ATU versus FCA) dat die mate van afscherming door de OEM’s niet is toegestaan. Autofabrikanten stellen daar tegenover dat zij eindverantwoordelijk zijn voor een cyberveilig auto-ecosysteem.

---

Met dit bereikte compromis over een cyberveilig auto-ecosysteem wordt de situatie voor de onafhankelijke aftermarket wel complexer

---

Om de tafel dus. In Brussel werd medio juni door Acea, Afcar, Clepa en de Europese Commissie (EC) eindelijk een zwaar bevochten overeenkomst bereikt. Meer dan een jaar is er aan een oplossing voor de cyberspagaat gewerkt. Omdat bij de Europese Commissie de vrije concurrentie topprioriteit heeft, hebben OEM’s en de onafhankelijke aftermarket eindelijk werkbare regelgeving ontwikkeld die enerzijds de cyberveiligheid ten goede komt en anderzijds middels de toegang tot voertuigdata, een eerlijk speelveld moet garanderen in met name de markt voor reparatie en onderhoud.

Naast een aanvulling op de cyber security update, de zogeheten Appendix 4 van de MVTAR (typegoedkeuring), zijn er ook amendementen op de Annex 10 ingediend, die vrijwel zeker in oktober-november 2025 van kracht zullen worden. Wel gaat het stuk eerst nog door een intern consultatieproces, maar dat lijkt een formaliteit.

Sermi

Ondanks dit bereikte compromis over een cyberveilig auto-ecosysteem wordt de situatie voor de onafhankelijke aftermarket- en/of aftersales-speler wel complexer, zeker op garageniveau. Zo ook bij de gekozen oplossing voor een cyberveilige benadering van de auto en haar systemen door derden, waaronder aanbieders van remote services. Wie vanaf oktober aan en in de softeware-systemen wil kunnen, zal gecertificeerd dienen te zijn. Wie een Sermi-certificering heeft, is in principe al klaar voor de nieuwe regelgeving en zal weinig moeite hebben om de regels te volgen. Een Sermi Lite-versie in twee gradaties (bedrijfs- en/of medewerkersniveau) wordt momenteel opgetuigd voor die bedrijven die Sermi niet hebben omarmd, zodat er kan worden ingespeeld op een bepaalde differentiatie binnen de aftersalesmarkt.

---

Een fout kan ertoe leiden dat de autofabrikant de RDW vraagt om de auto stil te zetten, omdat deze niet meer voldoet aan de eerder afgegeven typegoedkeuring.

---

De nieuwe regelgeving zal betrekking hebben op alle auto’s die hun typegoedkeuring onder de verordening (EU) 2018/858 hebben ontvangen. Een addertje onder het gras is nog dat mogelijk bepaalde diagnoseapparatuur niet op tijd compliant zal zijn met de nieuwe regelgeving en dus niet kan worden gebruikt om in de systemen van de auto te komen. Hiervoor is een tijdelijke regeling opgenomen om (voorlopig) toegang te kunnen blijven garanderen.

Onderschat dit alles niet, want een fout kan ertoe leiden dat de autofabrikant de RDW vraagt om de auto stil te zetten, omdat deze niet meer voldoet aan de eerder afgegeven typegoedkeuring. Leg dat maar eens uit aan je klant. Ook kan een fout – bewust of onbewust – ertoe leiden dat de fabrikant de toegang tot de voertuigdata op slot doet. De komende maanden zal er meer duidelijkheid komen. Zeker is dat wie nu alvast investeert in Sermi, op tijd is voor de eisen die aan een cyberveilige toegang tot voertuigdata en het werken aan de betreffende systemen worden gesteld.

NIS2
Behalve de auto en haar ecosysteem, is er meer regelgeving die de cyberveiligheid betreft: NIS2, wat staat voor Network Information Security. NIS2 draait om het veilig houden van essentiële en belangrijke sectoren tegen cyberdreigingen. Denk aan gezondheidszorg, elektriciteitsbedrijven en overheidsinstanties. NIS2 is een richtlijn die is vastgesteld door de Europese Unie. Deze richtlijn is sinds 17 oktober 2024 van kracht.
In Nederland komt NIS2 in de Cyberveiligheidswet. De richtlijn wordt waarschijnlijk in het derde kwartaal van 2025 ingevoerd. Autobedrijven zijn doorgaans geen NIS2-bedrijf. Ben je echter leverancier van zo’n essentieel bedrijf, dan krijg je met NIS2 te maken, want NIS2-bedrijven moeten ervoor zorgen dat ook toeleveranciers digitaal veilig werken om cyberincidenten in de keten te voorkomen. Leveranciers die digitaal met hun afnemers zijn verbonden (via een softwareprogramma) moeten kunnen aantonen dat ze digitaal veilig werken, anders bestaat de kans een NIS2-bedrijf kwijt te raken als klant. Het NIS2 Quality-merk is één van de manieren om aan te tonen dat je online systeem veilig is. Maatregelen die je wellicht moet nemen, zijn: digitale systemen beveiligen, een bedrijfscontinuïteitsplan opstellen en medewerkers trainen op het gebied van digitaal veilig gedrag. Dat laatste is essentieel, want de mens is vaak de zwakste schakel.

Foto boven: De steeds ‘digitaler’ wordende leefomgeving in de auto vraagt steeds meer van de cyberbeveiliging.

Het bericht Cyberveiligheid zet branche op scherp verscheen eerst op Aftersales Magazine.