Publicaciones

ISO/SAE 21434: Garantizando la ciberseguridad a lo largo de la cadena de valor de la industria de automoción

20/12/2023

    Los vehículos eléctricos, la conectividad y la conducción autónoma ya son una realidad. Gracias a estos nuevos avances, la ciberseguridad está adquiriendo una importancia cada vez mayor en el desarrollo de software y hardware de la industria de automoción.  

    De hecho, los coches de gama alta actuales tienen entre 70 y 100 unidades de código eléctrico (EUC), lo que equivale a 100 millones de líneas de código. Es una tendencia en auge de crecimiento: se estima que para 2030, los vehículos tengan 300 millones de líneas de código de software.  

    El marco normativo ISO/SAE 21434 de la ONU R155 establece una serie de requisitos para garantizar la gestión de la ciberseguridad durante toda la cadena de suministro en la industria de automoción. A continuación, detallamos como estos requisitos también podrían afectar a los proveedores de automoción Tier 1 a 3. 

    ¿Qué es la norma ISO/SAE 21434 y a quién se le aplica?  

    La norma ISO/SAE 21434 está estrechamente relacionada con la ONU R155 de la CEPE, un conjunto de requisitos para gestionar la ciberseguridad y las actualizaciones de software en los vehículos. Tanto la norma como los requisitos intentan proporcionar una solución al incremento de ciberataques contra los vehículos y sus sistemas.  

    La ONU R155 dictamina que todos los vehículos nuevos vendidos en la UE cumplan unas normas mínimas de ciberseguridad.  

    En concreto, la norma ISO/SAE 21434 orienta la implementación de sistemas de gestión de la ciberseguridad (CSMS) en toda la cadena de suministro de la automoción. Dicha norma será relevante no solamente para los fabricantes de vehículos, sino también para los proveedores y prestadores de servicios dentro de la cadena de valor.  

    El cumplimiento de la norma ISO/SAE 21434, puede aportar una serie de beneficios, entre ellos: la eficiencia operativa, reducción costes y una mejora reputacional. Además, las empresas también podrán cumplir con otras normas y reglamentos pertinentes, como: 

    • El ISO 26262: seguridad funcional para sistemas de automoción.  
    • El GDPR: conocido como el Reglamento general de protección de datos. 

    Nuevas implicaciones de ciberseguridad para los proveedores Tier 1-3 

    Como se ha dicho anteriormente, la norma ISO/SAE 21434 afecta a toda la cadena de valor de automoción, incluyendo a los proveedores de Nivel 1-3 (Tier 1-3). A continuación, detallamos el rol de cada uno:  

    • Proveedores Nivel 1 (Tier-1): se encargan de las piezas y componentes directamente en contacto con los fabricantes de equipos originales. Fabrican sistemas de automoción complejos, como los módulos de volante, sistemas de asistencia al conductor (ADAS) y módulos de control de airbag.  
    • Proveedores Nivel 2 (Tier-2):  Producen piezas y subcomponentes empleados por los proveedores de Nivel 1, tales como estampados y soldaduras metálicas más pequeñas. En calidad de fabricantes por contrato, operan bajo el principio de "construir para imprimir" con escasa o nula responsabilidad en el diseño. 
    • Proveedores Nivel 3 (Tier-3): suministran materias primas o aspectos cercanos a la materia prima, como virutas, que luego utilizan los fabricantes de Nivel 2 y 1. 

    Cada componente en la cadena de valor del vehículo cuenta con su propia arquitectura, hardware y software, lo que implica riesgos de ciberseguridad distintos para cada uno. 

    Asegurando la ciberseguridad en toda la cadena de valor del vehículo  

    El Análisis de Amenazas y Evaluación de Riesgos (TARA) propone una metodología para garantizar que todos los fabricantes incorporen medidas adecuadas y eficientes para gestionar los riesgos de ciberseguridad. Uno de los requisitos fundamentales de la evaluación TARA es que los fabricantes cuenten con un Sistema de Gestión de la Ciberseguridad (CSMS) para evaluar la gestión de riesgos en todo el modelo de vehículo. 

    La normativa UN R156 exige que los vehículos dispongan de un Sistema de Gestión de Actualización de Software (SUMS) como condición futura para la homologación, y la UN R155 requiere la implementación de un Sistema de Gestión de la Ciberseguridad (CSMS) certificado. 

    La ISO/SAE 21434, parte de la UN R155, se asegura de establecer una serie de requisitos para la incorporación de sistemas de CSMS a lo largo de toda la cadena de valor del vehículo. 

    La responsabilidad de los fabricantes de vehículos para mitigar riesgos de ciberseguridad  

    El TARA establece una metodología para que los fabricantes de vehículos incorporen medidas adecuadas y eficientes para mitigar los riesgos de ciberseguridad en el vehículo. Para reforzar esta medida es clave incorporar un CSMS en cada componente del vehículo  

    Por eso, aunque las recientes actualizaciones de UN R155 de la CEPE solo obliguen a los fabricantes de vehículos a disponer de su propio CSMS, la presión para gestionar y mitigar la ciberseguridad también recaerá sobre sus proveedores. Esto significa que los proveedores de Nivel 1 a 3 (Tier 1-3) también tendrán que implantar su propio CSMS, afortunadamente esto se puede garantizar mediante la certificación ISO/SAE 21434. 

    Certificación ISO/SAE 21434 para proveedores de Niveles 1-3  

    A través del Certificado de Conformidad ISO/SAE 21434, los proveedores pueden gestionar los riesgos ciberseguridad de sus productos durante todo su ciclo de vida, desde su concepción hasta las fases de desmantelamiento. Esto implica detectar incidencias y formular una solución para resolverlas dentro de un plazo razonable.  

    Para implantar con éxito un CSMS según las especificaciones de los requisitos ISO/SAE 21434, es importante comprender la terminología, el propósito de cada requisito y cómo implantarlos a través de toda la estructura organizativa.  

    Las organizaciones deben asegurarse de que los empleados asuman un rol activo. Recomendamos implementar capacitaciones, asignar funciones y responsabilidades, e inculcar conocimientos esenciales de ciberseguridad.  

    Definir el alcance del CSMS antes de ejecutarlo también es clave. Esto incluye realizar un análisis de carencias de su estado actual de implantación y centrarse en los puntos críticos que deben mejorarse. Una vez hecho esto, cada objetivo debería estar respaldado por una actividad específica.  

    El último paso es comprobar si se cumplen los requisitos y hacer los ajustes necesarios si surge alguna desviación. Este proceso puede repetirse tantas veces como sea necesario hasta alcanzar los objetivos finales. 

    Applus+ Laboratories, un centro integral único para facilitar el cumplimiento de la norma ISO/SAE 21434  

    En la industria de la automoción, los laboratorios independientes pueden respaldar a los proveedores para asegurar la confianza de los fabricantes de vehículos emitiendo certificados de conformidad que evidencien el cumplimiento de requisitos específicos, como la norma ISO 21434. 

    En Applus+ Laboratories, ofrecemos un servicio integral único única para garantizar que se cumplan los requisitos vitales de ciberseguridad en toda la cadena de suministro de la automoción, incluidas las implementaciones de la norma ISO/SAE21434:2021. Esto incluye:  

    • Análisis de carencias  
    • Análisis de amenazas y evaluación de riesgos (TARA)  
    • Análisis de vulnerabilidades  
    • Pentesting (ensayo de penetración) de productos 
    •  Asesoramiento técnico y revisión de la documentación  
    • Auditoría CSMS  
    • Certificación de conformidad  
    • Formación 

    Además, nuestros expertos en ciberseguridad pueden llevar a cabo campañas de ensayos de penetración para componentes de automoción y vehículos completos y proporcionar informes precisos para evaluar el cumplimiento con la norma ISO 21434.  

    Nos avalan la objetividad, la experiencia, la transparencia y nuestros conocimientos sobre cumplimiento normativo. Gracias a nuestras capacidades, nos hemos convertido en un socio de confianza para las empresas, consumidores y organismos reguladores que buscan cumplir requisitos específicos de productos, servicios y organizaciones. 

    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies