UNECE WP.29 R155/R156: los nuevos reglamentos de ciberseguridad para vehículos
Desde julio de 2022, todos los fabricantes de automóviles que quieran obtener una nueva homologación de tipo de vehiculo completo deben cumplir con el nuevo reglamento WP.29 UN R155/R156. A partir de julio de 2024, este requisito se extenderá a todos los vehículos nuevos vendidos en la Unión Europea, independientemente de cuándo haya obtenido el fabricante la homologación de tipo del vehículo. De hecho, es posible que para cumplir con el reglamento algunos modelos más antiguos que aún se fabrican tengan que introducir cambios. En este artículo, hablamos de los aspectos básicos.
Marco normativo: UNECE WP.29 UN R155 y R156
Los reglamentos UN R155 y UN R156 han sido adoptados como la regulación oficial por el Foro Mundial de la UNECE para la Armonización de los Reglamentos sobre Vehículos (UNECE WP.29). El objetivo es establecer un marco futuro común para la ciberseguridad de los vehículos que sea vigente en diferentes partes del mundo. Los reglamentos de ciberseguridad de la UNECE WP.29 entraron oficialmente en vigor en enero de 2021.
Por un lado, el UN R155 exige la implementación de un Sistema de Gestión de la Ciberseguridad (CSMS) certificado, y por otro, el UN R156 exige un Sistema de Gestión de la Actualización del Software (SUMS) como futura condición para la homologación. En conjunto, los reglamentos de la UNECE especifican explícitamente cuatro disciplinas:
- Gestionar los riesgos informáticos para los vehículos
- Incorporar la ciberseguridad en los vehículos "desde el diseño" para mitigar los riesgos en la cadena de suministro
- Detectar y responder a los incidentes de seguridad en las flotas de vehículos
- Actualizar de forma segura el software de los vehículos, incluyendo una base legal para las actualizaciones over-the-air.
Por lo tanto, no se trata sólo de comprobar las vulnerabilidades presentes en los componentes de los vehículos. Es mucho más.
El calendario del UNECE WP.29: dónde y cuándo
El WP.29 es de aplicación en los países que participaron (o que están actualmente adheridos) a los Acuerdos y Convenios de Transporte de la UNECE de 1958: Este grupo de países - que incluye la UE, el Reino Unido, Japón y Corea del Sur - produjeron en 2018, un tercio de todos los vehículos del mundo.
Desde julio de 2022, el cumplimiento del nuevo reglamento sobre ciberseguridad (UNECE WP.29/R155) es obligatorio para obtener la homologación de tipo de vehículo completo (WVTA) de la UE. Gracias a este certificado, los fabricantes automovilísticos pueden vender en toda la UE los vehículos que tengan los mismos elementos esenciales del prototipo homologado, sin necesidad de realizar más ensayos o certificaciones. Sin embargo, si esos elementos esenciales se modifican de manera crítica o significativa, se requiere una nueva WVTA.
En julio de 2024, estos requisitos se extenderán a todos los vehículos nuevos que se vendan en la Unión Europea, incluidos los modelos que se hayan homologado antes de 2022 y que se siguen fabricando. Japón y Corea siguen plazos similares para los vehículos que vendidos allí.
Todos los fabricantes (incluidos los de EE.UU. y Canadá) que vendan en estos mercados deben considerar las implicaciones de los reglamentos de ciberseguridad de la WP.29 tanto para sus productos como para sus procesos.
ISO/SAE 21434, una referencia clave para el cumplimiento de la normativa
La norma ISO/SAE 21434 "Road vehicles - Cybersecurity engineering" (Vehículos de carretera - Ingeniería de ciberseguridad) está desarrollada conjuntamente por la Organización Internacional de Normalización (ISO) y la Sociedad de Ingenieros de Automoción (SAE). Esta norma se centra en los riesgos de ciberseguridad en el diseño y el desarrollo de la electrónica del automóvil.
Tanto los reglamentos de ciberseguridad de la WP.29 como la norma ISO/SAE 21434 se han desarrollado en paralelo para garantizar que los requisitos reglamentarios puedan cumplirse aplicando las normas existentes. Son complementarios y no contradictorios.
Mientras que el reglamento es obligatorio en algunos países e indica algunos requisitos específicos que deben cumplirse, la norma es el resultado del consenso de la industria sobre las prácticas de ciberseguridad que deben seguirse para lograr una relativa seguridad en todo el mercado del automóvil.
Cumplimiento en toda la cadena de suministro del vehículo
El primer paso para cumplir ambos reglamentos y cumplir también con la norma es una evaluación del riesgo de ciberseguridad del vehículo, que incluya todos los componentes integrados de los de la cadena de proveedores del automóvil. A través del llamado TARA (Análisis de Amenazas y Evaluación de Riesgos), los OEM (Original Equipment Manufacturer) tendrán que demostrar que para reducir el riesgo de ciberataques se han implementado mitigaciones adecuadas y eficientes.
Los OEM no son los únicos afectados por estos nuevos requisitos, ya que los proveedores de nivel 1, 2 e incluso 3 también se incluirán en el proceso para asegurar el ecosistema de ciberseguridad de un vehículo. En definitiva, se debe abordar una integración de los nuevos requisitos de ciberseguridad en toda la cadena de suministro.
Soporte a la cadena de suministro de la automoción para desarrollar componentes y sistemas seguros
Nuestros equipos ciberseguridad tienen una sólida experiencia en evaluaciones de seguridad y ensayos de penetración para una amplia gama de industrias. De hecho, nuestros expertos pueden ayudar a los fabricantes a cumplir con la norma ISO/SAE 21434 y los reglamentos UN R155/R156, apoyando sus actividades TARA, la evaluación de riesgos y mitigación de amenazas, así como la realización de ensayos de penetración cuando sea necesario.