Per 1 juli is de R155 richtlijn voor cybersecurity in de automotive ingegaan. Deze richtlijn stelt dat nieuwe type voertuigen aan strenge cyberveiligheidsregels moeten voldoen. Dat betekent dat ook toeleveranciers in de auto branche met deze nieuwe richtlijn aan de slag moeten. Hoe u dat kan doen en wat u nog meer moet weten over de R155 richtlijn nemen onze TÜV experts Job en Bas met u door:
Wat houdt de R155 richtlijn in?
Nu voertuigen steeds meer digitaal worden, gaat cybersecurity een cruciale rol gaan spelen op de weg. De R155 richtlijn is in het leven geroepen om systematisch met cybersecurity om te gaan in de gehele automotive branche. Volgens de richtlijn moeten bedrijven voldoen aan specifieke eisen met betrekking tot hun Cyber Security Management Systeem (CSMS). Zo moet een CSMS geïmplementeerd worden die compleet gefocust is op het voertuig. Daarnaast richt de R155 zich niet enkel op het product, maar ook de organisatie en de productontwikkeling.
In hoeverre is deze van toepassing op de branche?
De R155 stelt dat alle voertuigen op de openbare weg moeten voldoen aan een minimaal niveau van digitale veiligheid. Dat maakt het spectrum natuurlijk veel breder dan enkel persoonsvoertuigen of vrachtwagens. Alle nieuwe type voertuigen die vanaf 1 juli 2022 van een type goedkeuring worden voorzien, moeten aan deze richtlijn voldoen. Dat betekent dat deze druk momenteel vooral te merken is in de productontwikkelingsfase. Bestaande modellen en al rijdende voertuigen vallen niet onder deze regelgeving.
Niet alleen autofabrikanten moeten aan deze richtlijn voldoen. Autofabrikanten zullen toeleveranciers, daar waar cybersecurity van toepassing is op de componenten die de toeleverancier levert, ook verplichten om aantoonbaar aan de R155 te voldoen.
Hoe kan een toeleverancier aan de R155 richtlijn voldoen?
Momenteel is de ISO 21434 dé manier om aan de R155 te voldoen. Normen van bijvoorbeeld ISO geven een organisatie geen specifieke set aan regels, maar stellen een abstract framework op dat een bedrijf toepasbaar moet maken op een manier die bij hun aansluit. Zo ook deze ISO 21434, die gebruikt kan worden om aan het de verplichte R155 regelgeving te voldoen. Autofabrikanten zullen dat dan ook van diens toeleveranciers eisen als er elektronische componenten geleverd worden.
De R155 is dan wel pas recentelijk ingegaan, maar veel toeleveranciers hebben zelf al enige stappen gezet met informatiebeveiliging en hoeven daarom vaak ook niet vanaf 0 te beginnen. Wel zullen er meestal nieuwe –vergaande- stappen vereist zijn om tot certificering te komen. Adviesbureaus kunnen helpen om de ISO 21434 te implementeren. Als die implementatie succesvol gedaan is kan een bedrijf over gaan op certificeren, waarna –bij een positieve beoordeling- aantoonbaar wordt voldaan wordt aan de R155 regelgeving.
Toekomstblik: de aankomende R156 richtlijn komt eraan
Daar waar de ISO 21434 is ontwikkeld om te voldoen aan de R155 regelgeving, is er een nieuwe standaard in ontwikkeling voor een software update management systeem. De ISO/DIS 24089 wordt op dit moment ontwikkeld om te voldoen aan het Sofware Update Management Systeem. De publicatiedatum is vooralsnog onbekend, wel weten we dat ook deze richtlijn verplicht gaat worden voor de automotive branche die leveren aan voertuigen in landen binnen de Verenigde Naties (UN). Onze TÜV experts houden u up-to-date over deze nieuwe norm via een mailing. Meld u daarvoor aan om niets te missen over de aankomende R156:
Onderwerpen:
Alle onderwerpen Wetgeving Certificeren ISO 27001 informatiebeveiliging privacywetgeving AVG ISO 27701
