Czym są regulacje R155 i R156? Kto powinien się zainteresować ich wpływem na biznes i kiedy? Jak wdrożyć je w automotive? W tym artykule przyjrzymy się wymienionym kwestiom i podpowiemy, jakie konsekwencje czekają na tych, którzy nie zdążą zaadaptować nowych regulacji.
Automatyzacja, cyfryzacja i szybki rozwój branży automotive sprawiają, że poważniej pochylamy się nad kwestią cyberbezpieczeństwa. Pojazdy są coraz inteligentniejsze – wyposażamy je w zaawansowane systemy IT, a na rynku pojawiły się już samochody autonomiczne. Każdy z tych elementów może być potencjalnym celem ataków hakerskich.
Światowe Forum na rzecz Harmonizacji Przepisów dotyczących Pojazdów Europejskiej Komisji Gospodarczej Organizacji Narodów Zjednoczonych (UNECE lub EKG ONZ) w 2020 roku przyjęło dwa rozporządzenia, mające służyć zbudowaniu ram dla cyberbezpieczeństwa branży automotive.
Regulacje Europejskiej Komisji Gospodarczej (EKG) R155 i R156 mają wywrzeć presję na producentów pojazdów w zakresie przeciwdziałania zagrożeniom z zakresu cyberbezpieczeństwa. Zgodnie z ich treścią przemysł motoryzacyjny w każdym z 64 krajów należących do UNECE będą obowiązywać te same wytyczne dotyczące cyberbezpieczeństwa. Dotyczą one m.in. zabezpieczeń oprogramowania i systemów w samochodach, ochrony danych osobowych oraz zarządzania incydentami związanymi z cyberbezpieczeństwem. Odnoszą się również do kultury bezpieczeństwa firm, w których wytwarzane są poszczególne podzespoły dla automotive.
Kto podlega przepisom Europejskiej Komisji Gospodarczej dotyczących cyberbezpieczeństwa (UN R155/R156)? Przede wszystkim producenci pojazdów (OEM), ale o standardzie muszą pamiętać także:
Każdy pojazd, nie tylko wyposażony w zaawansowane systemy wspomagania kierowcy (ADAS) lub funkcje łączności, ale posiadający choćby linijkę kodu, musi być dostosowany do rozporządzenia, niezależnie od tego czy jest przeznaczony do użytku prywatnego czy komercyjnego. Regulacja musi być wdrożona przez firmy podlegające UN R155 i R156, aby oferowane przez nie pojazdy spełniały minimalne standardy cyberbezpieczeństwa. Nowe przepisy będą wymagały od producentów OEM posiadania dobrze ustrukturyzowanych i udokumentowanych procesów związanych z cyberbezpieczeństwem. Tym samym dochodzimy do kolejnego istotnego punktu.
W przypadku R155 i R156 od lipca 2022 r. wymagania w krajach członkowskich obowiązują dla homologacji nowych typów pojazdów, a od lipca 2024 r. będą obowiązywać dla wszystkich produkowanych pojazdów. 7 lipca 2026 roku to data graniczna dla wdrożenia R156 dla pojazdów specjalnego przeznaczenia lub produkowanych w małych seriach.
Regulacje mają zadanie ustandaryzować systemy cyberbezpieczeństwa pojazdów w obrębie krajów i regionów UNECE, co bezpośrednio przekłada się na korzyści biznesowe. Wśród nich można wymienić płynne wejście na nieznane dotąd rynki oraz łatwiejsze wprowadzanie do obiegu nowych produktów. Warto też zaznaczyć, że nowe regulacje podzielą odpowiedzialność za cybersecurity na cały łańcuch dostaw i mają zadanie uspójnić współpracę między producentami.
Niewątpliwie adaptacja przepisów wspiera wizerunek firmy świadomej zagrożeń związanych z bezpieczeństwem oraz godnej zaufania.
Jeśli nie zdążysz zaadaptować regulacji w zakresie cyberbezpieczeństwa, musisz się liczyć z konsekwencjami. Niewdrożenie obowiązkowego rozporządzenia może skutkować karami, grzywnami lub nawet zawieszeniem sprzedaży w niektórych krajach. Może to stanowić problem, gdy produkty są sprzedawane na 64 rynkach, gdzie przepisy UNECE mają zastosowanie. Warto jeszcze pamiętać o niematerialnych kosztach – w takich sytuacjach cierpi reputacja twojej firmy, a klienci bardzo szybko tracą zaufanie do marki.
Lekceważąc UN R155/156, należy liczyć się z szeregiem konsekwencji prawnych i biznesowych, a wszystko to oczywiście, ze szkodą dla rentowności firmy.
Termin na wdrożenie postanowień tej regulacji dla producentów w Polsce mija w lipcu 2024 roku. Choć mogłoby się wydawać, że zostało jeszcze sporo czasu, warto uwzględnić całkowite ramy czasowe wdrożenia oraz samej certyfikacji – może się bowiem okazać, że będą to długotrwałe procesy. Tym bardziej jeśli weźmie się pod uwagę, że:
Wdrożenie postanowień UNECE R155/R156 pozwala zweryfikować zaangażowanie firm w kwestie cyberbezpieczeństwa i prywatności danych osobowych. Jeśli zależy Ci na szybkim i bezproblemowym przejściu przez proces dostosowania się do nowych zasad, warto rozważyć skorzystanie ze wypracowanych ścieżek i poleganie na standardach branżowych jak ISO 21434 i ISO 24089, a także wsparcie doświadczonego partnera technologicznego. Firmy, która w swoim portfolio ma projekty zrealizowane dla branży automotive w zakresie tworzenia i testowania oprogramowania, również systemów embedded.
W ciągu ostatniej dekady Solwit współpracował z firmami motoryzacyjnymi przy tworzeniu procesów badania jakości oprogramowania i wdrażaniu rygorystycznych procedur testowych (ISO 26262, ISO 21434, SAE J3061, R155 i R156). Mamy doświadczenie w audytowaniu i przygotowywaniu do wprowadzania zmian w branży automotive. Naszą domeną jest testowanie oprogramowania.
