La normativa UNECE/R155 se aplica a varios tipos de vehículos, incluyendo coches, autobuses, furgonetas, camiones, remolques y caravanas con una unidad de control electrónica, así como cuadriciclos ligeros y sin cabina que cuenten con al menos nivel 3 de conducción autónoma.
La nueva normativa de ciberseguridad UNECE/R155 ha cobrado una mayor importancia en los últimos meses al establecer medidas uniformes para garantizar la protección de vehículos contra amenazas cibernéticas. Este reglamento busca crear un sistema de gestión ciberseguro en los vehículos, abordando el riesgo que representan los ciberataques y asegurando su protección ante potenciales ataques.
La normativa, que entró en vigor el 22 de enero de 2021, ha sido adoptada por 54 estados de los 56 miembros de UNECE, con la excepción de Estados Unidos y Canadá. La Unión Europea también se ha sumado a esta iniciativa, estableciendo que todos los vehículos homologados a partir de julio de 2022 deben cumplir con los requisitos de ciberseguridad. A partir del 1 de julio de 2024, esta obligación se extenderá a todos los coches nuevos.
El objetivo fundamental de la UNECE/R155 es proporcionar un marco al sector de la automoción para implementar procesos que aborden diversas cuestiones relacionadas con la ciberseguridad de los vehículos. Estas cuestiones incluyen:
- Identificar y gestionar los riesgos de ciberseguridad durante el diseño de vehículos.
- Verificar la gestión de los riesgos, incluyendo pruebas.
- Mantener actualizadas las evaluaciones de riesgos.
- Monitorizar los ciberataques y responder efectivamente a ellos, así como analizar ataques exitosos o intentados.
- Evaluar la efectividad de las medidas de ciberseguridad ante nuevas amenazas y vulnerabilidades.
En este sentido, los fabricantes de vehículos se ven obligados a implementar un sistema de gestión de ciberseguridad conocido como CSMS (Sistema de Gestión de Ciberseguridad para Automóviles, por sus siglas en inglés). Este CSMS debe proteger a los vehículos contra 70 amenazas de ciberseguridad específicas que la ONU detalla en el reglamento.
Las vulnerabilidades contempladas en la normativa se dividen en siete apartados relacionados con los servidores del sistema informático de los vehículos, sus canales de comunicación y conectividad, sus propias conexiones, datos y actualizaciones, así como amenazas provenientes de acciones humanas no intencionadas y otros posibles riesgos por falta de protección.
Para garantizar el cumplimiento de la normativa, los fabricantes deben contratar un servicio técnico externo que certifique que sus vehículos son ciberseguros, presentando la documentación adecuada para evaluar el funcionamiento del CSMS.
Si un vehículo no cumple con alguno de los 70 requisitos de ciberseguridad establecidos, el certificado de cumplimiento con el CSMS será rechazado por un servicio técnico o entidad autorizada. Este certificado tendrá una validez máxima de tres años a partir de su expedición, a menos que se retire antes. Al acercarse su fecha de caducidad, se deberá solicitar un nuevo certificado si ha habido cambios en el reglamento, o extender la validez del anterior por tres años adicionales.
La normativa UNECE/R155 se aplica a varios tipos de vehículos, incluyendo coches, autobuses, furgonetas, camiones, remolques y caravanas con una unidad de control electrónica, así como cuadriciclos ligeros y sin cabina que cuenten con al menos nivel 3 de conducción autónoma.
El incumplimiento de esta normativa puede conllevar sanciones tanto por parte de UNECE como de la Unión Europea, incluida la retirada de la homologación del vehículo, lo que impediría su comercialización en diferentes mercados. Además, el país responsable de la infracción debe notificar inmediatamente la violación del reglamento al resto de estados que apliquen esta normativa.
La importancia de esta nueva normativa radica en la creciente relevancia de la ciberseguridad en un mundo cada vez más conectado y dependiente de la tecnología, garantizando así la protección de los vehículos y la seguridad de los usuarios en la movilidad sostenible.