Nová povinnost certifikace kybernetické bezpečnosti a bezpečnosti aktualizace softwaru silničních vozů jako podmínka homologace

Od roku 2022 bude v EU povinné prokazování shody ve dvou nových oblastech: Systému managementu kybernetické bezpečnosti (CSMS) a Systému managementu aktualizace softwaru (SUMS).

Od roku 2022 bude v EU povinné prokazování shody ve dvou nových oblastech: Systému managementu kybernetické bezpečnosti (CSMS) a Systému managementu aktualizace softwaru (SUMS).

Jednou z možností je certifikace u naší společnosti a právě o ni projevila jako první zájem ŠKODA AUTO a.s. Předběžný audit CSMS by zde měl proběhnout již na přelomu roku 2020 a 2021, v polovině roku 2021 pak úvodní certifikace. Termín certifikace SUMS bude upřesněn po oficiálním vydání této normy.


Aktuální stav dokumentace nových systémů:

Hlavními kritérii shody jsou momentálně vyvíjené dokumenty pracovní skupiny OSN pro kybernetickou bezpečnost a problematiku bezpečnosti bezdrátového přenosu dat (UN Task Force on Cyber Security and Over-the-Air issues), Hospodářské komise OSN pro Evropu (UN ECE) a Světového fóra UN ECE pro harmonizaci předpisů pro vozidla (WP.29).
Dosavadní návrh Doporučení pro kybernetickou bezpečnost (Draft Recommendation on Cyber Security) definuje zásady pro řešení klíčových hrozeb a zranitelností identifikovaných za účelem zajištění bezpečnosti vozidla v případě kybernetických útoků. Je požadováno, aby kybernetická bezpečnost byla integrována do životního cyklu vozidla.
Vozidla zpracovávají řadu různých typů dat a dokument definuje principy, které je třeba mít na zřeteli při ochraně informací před neoprávněným přístupem, změnou nebo vymazáním, a to jak při jejich ukládání, tak i při přenosu.
Nabízí rovněž podrobné pokyny nebo opatření, jak tyto zásady dodržovat. To zahrnuje i příklady procesů a technických přístupů a také způsobů posouzení a předkládání důkazů k prokazování shody s identifikovanými požadavky, případně i pro účely certifikace.
Doporučení k aktualizaci softwaru (Draft Recommendation on Software Updates) popisuje požadavky na přizpůsobení aktualizací softwaru vozidla pro účely certifikace s cílem zajistit jejich bezpečné provedení v souladu se zákonnými požadavky. Dále popisuje, jak by se měly softwarové změny řídit, aby bylo zajištěno, že jsou prováděny bezpečným způsobem prostřednictvím bezdrátové aktualizace nebo alternativně jinými prostředky.
Vzhledem k tomu, že proces řízení a schvalování aktualizace softwaru po udělení počátečního typového schválení (homologace) a postup registrace vozidla se provádějí podle národních právních předpisů, budou některá doporučení ještě upravena právě legislativou jednotlivých zemí.
Systémově adekvátním přístupem k dosažení shody s výše uvedenými doporučeními budou normy Mezinárodní organizace pro standardizaci ISO/SAE 21434 - Silniční vozidla - Kybernetická bezpečnost, respektive ISO 24089 - Silniční vozidla - Aktualizace softwaru. Ty stanoví jednoznačná kritéria, podle nichž bude možné obě oblasti auditovat a certifikovat.


Certifikace podle ISO/SAE 21434 a ISO 24089 se tak stanou během dvou let pro ŠKODA AUTO a.s. i TÜV NORD Czech naprosto zásadní výzvou.


Bližší informace: Mgr. Viktor Šaroch, PhD., saroch@tuev-nord.cz, +420 602 664 895