La ciberseguridad en el sector de la automoción: cómo evitar multas de hasta 30.000 euros
ZIUR ha publicado un informe sobre la normativa UNECE/R155 que debe cumplir el sector de la automoción para evitar multas que pueden ascender hasta 30.000 euros. El objetivo que persigue el centro con este documento es que esta industria de gran peso en Euskadi, —que aglutina el 50% de las empresas de compontes de automoción del Estado con 300 compañías que facturan más de 20.000 millones de euros—, conozca de primera mano esta normativa y sepa cómo aplicarla. Este reglamento afectará a todos los vehículos nuevos que se vendan a partir del 1 de julio de 2024 y deberá ser aplicada tanto por fabricantes como por terceros, por lo que ZIUR solicita al sector que trabaje de forma conjunta para asegurar el cumplimiento de la normativa.
La revolución tecnológica en los vehículos en los últimos años ha sido extraordinaria. Cada vez es más frecuente que los coches incluyan funcionalidades como sensores de proximidad y sistemas para crear redes que interconecten diferentes vehículos o para compartir información acerca del estado de carretera para poder identificar la ruta más óptima, entre otros ejemplos.
Pero, como es habitual, este aumento de la tecnología ha incrementado significativamente los riesgos en materia de ciberseguridad. En concreto, ahora los ciberatacantes disponen de una superficie mayor para atacar, puesto que pueden aprovechar las vulnerabilidades para acceder a los sistemas de los vehículos, robar información e, incluso, inutilizar los sistemas de manejo, lo que pondría en serio peligro la seguridad de las personas. Además, existe un gran riesgo financiero y reputacional tanto para los fabricantes como para las terceras partes involucradas en el ciclo de vida del vehículo que no cumpla con los requisitos mínimos y sea, por tanto, atacado.
De tal importancia es este asunto, que el Foro Mundial de la UNECE para la Armonización de los Reglamentos sobre Vehículos (WP.29), un grupo de trabajo enmarcado en la División de Transporte Sostenible de la Comisión Económica de las Naciones Unidas para Europa, desarrolló y publicó el reglamento UNECE/R115. Los vehículos, por tanto, están obligados a disponer de este certificado en materia de ciberseguridad y, en el caso de incumplir dicha normativa, el sector se enfrenta a multas de hasta 30.000 euros por cada unidad vendida. La UNECE/R115 afecta actualmente a todos los modelos que homologan fabricantes de la Unión Europea desde el 1 de julio de 2022 y afectará a todos los vehículos nuevos que se vendan a partir del 1 de julio de 2024.
Sistema de Gestión de Ciberseguridad
Sin embargo, para aquellas homologaciones que se hayan realizado antes del 1 de julio del 2024, si el vehículo no pudo desarrollarse en conformidad con el Sistema de Gestión de Ciberseguridad (CSMS), el fabricante deberá demostrar que la ciberseguridad ha sido uno de los aspectos considerados a lo largo del ciclo de vida del modelo afectado. Así, dentro de la normativa se incluye un listado de 70 amenazas en materia de ciberseguridad contra las que deben estar preparados los vehículos, un hecho que debe ser acreditado por una entidad externa al fabricante.
Con el objetivo de despejar las dudas que pueda tener el sector vasco de automoción para cumplir las normativas de ciberseguridad, ZIUR ha elaborado este informe en el que se detalla todo el proceso de aprobación, las comprobaciones que se deben realizar y las acciones a ejecutar por parte de las distintas empresas involucradas. Además, da cuenta también de otra normativa de ciberseguridad, la UNECE/R156, que se centra en los sistemas de gestión de las actualizaciones de software a distancia y que también afectará a todos los vehículos nuevos que se comercialicen a partir del 1 de julio de 2024.