Új kiberbiztonsági követelmények lépnek életbe a gyártókkal szemben

Míg egy átlagos PC operációs rendszere körülbelül 40 millió soros szoftverkóddal rendelkezik, addig napjaink autója hozzávetőleg 100 millió soros szoftverkódot tartalmaz. Ennek tükrében könnyen belátható, hogy milyen sebezhető lehet egy modern autó a különböző kibertámadásokkal szemben.

Jelenleg nincs olyan szabályozási háttér vagy műszaki szabvány, amely egységes követelményeket írna elő az autók kiberbiztonsága vonatkozásában. Emiatt is kiemelkedő jelentőségű az új, ENSZ javaslat, amely alapján a típusjóváhagyás már 2022 júliusától csak meglévő kiberbiztonsági és szoftverfrissítési irányítási rendszerek esetén lenne kiadható:

Hol lelhetők fel az új követelmények?

Az ENSZ Európai Gazdasági Bizottsága a típusjóváhagyáshoz kapcsolódóan a járművek kiberbiztonságára vonatkozóan két javaslatot adott ki:

• a járművek kiberbiztonsági megfeleléséről (a proposal on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management systems), valamint
• a járművek szoftverfrissítésére vonatkozó követelményekről (proposal on uniform provisions concerning the approval of vehicles with regards to software updates and software update management systems).

A javaslatok azért kiemelkedően fontosak, mert amennyiben az ENSZ Európai Gazdasági Bizottsága elfogadja őket, akkor az EU-ban közvetlenül alkalmazandóak lesznek. A 2019/2144 számú EU rendelet minden valószínűség szerint közvetlenül hivatkozik majd az ENSZ előírásra, mint ahogy ezt teszi például a kormányberendezésre, fékezésre vagy a biztonsági övre vonatkozó követelményeknél is.

Az új kiberbiztonsági szabályozás tartalma tehát még nem határozható meg teljes pontossággal, azonban abból kell kiindulni, hogy az ENSZ javaslatok főbb jellemzői meg fognak jelenni az EU-rendeletben, amely Magyarországon is közvetlenül alkalmazandó lesz.

Mely járműveket és gyártókat érinti az új szabályozás?

Az új szabályok a személygépjárművekre, tehergépjárművekre, pótkocsikra, valamint az ezekhez tervezett és gyártott rendszerekre, alkatrészekre és önálló műszaki egységekre vonatkoznak. A fenti járművek gyártói (OEM) az új szabályok közvetlen címzettjei.

A gyártókon túl azonban azok beszállítóit is érinteni fogja, mivel az ENSZ-javaslatok a gyártókat kifejezetten kötelezik arra, hogy a beszállítói láncukon keresztül összegyűjtsék és ellenőrizzék a kiberbiztonság értékeléséhez szükséges információkat, amely előírás vitathatatlanul tájékoztatási kötelezettséget ró a beszállítókra. Ezentúl a beszállítók kötelesek lesznek a gyártó mellett az illetékes hatóságot is tájékoztatni, hogy lehetővé tegyék a hatóságok számára az előírások szerinti megfelelés ellenőrzését.

Mit tartalmaznak az új előírások?

Az ENSZ javaslatai alig tartalmaznak konkrét műszaki követelményeket, sokkal inkább a tervezési, gyártási és a gyártás utáni termék megfigyelési folyamatokat szabályozzák. Az OEM speciális irányítási rendszereket – azon belül kiberbiztonsági irányítási rendszert (cybersecurity management system, CSMS) és szoftverfrissítés-kezelő irányítási rendszert (software update management system, SUMS) – köteles bevezetni.

Mi történik meg nem felelés esetén?

2022. július 6. után nem adható ki típusjóváhagyás CSMS/SUMS nélkül. 2024. július 7. után pedig már nem vehető nyilvántartásba, azaz nem kap forgalmi engedélyt olyan jármű, illetve nem hozható forgalomba olyan alkatrész, amely nem felel meg az új kiberbiztonsági szabályozásnak.

Érdemes egyeztetni az autóipar szereplőinek

Az autóipari gyártóknak (OEM) és beszállítóiknak (Tier-1, Tier-2 stb.) naprakészen ismerniük kell az új szabályozások státuszát és azok tartalmának alakulását. Ennek megfelelően folyamatosan ellenőrizniük kell folyamataikat, szükség szerint változtatni azokon vagy új eljárásokat bevezetni. A leglényegesebb talán az egymás közti egyeztetések megindítása, annak érdekében, hogy a megfelelőség a teljes beszállítói láncon keresztül biztosítható legyen.