Horizonte legislativo en materia de ciberseguridad del vehículo
El sector de la automoción siempre ha estado muy concienciado con la seguridad física. Elementos como el cinturón de seguridad o el airbag han sido producto de años de investigación y concienciación para reducir el número de victimas en carretera. A su vez, ha estado siempre acompañado de una regulación armonizada que numerosos países han adoptado. Parece impensable que un sector como el del automóvil no vaya de la mano de estrictas medidas de seguridad sustentadas por diversas reglamentaciones.
Las nuevas tecnologías han evolucionado de forma imparable e Internet es ya una herramienta indispensable en nuestro día a día. El sector automovilístico no ha sido ajeno y ha querido beneficiarse del potencial que esto conlleva: sistemas de ayuda a la conducción, inclusión de software conectado a la Red y numerosas funcionalidades basadas en la conectividad y en el automatismo han mejorado sustancialmente la experiencia de los conductores, que ahora percibirían una falta de los mismos como una involución sin sentido. Auspiciados también por diversas organizaciones y organismos regulatorios, estos nuevos sistemas digitales son un componente básico de protección, como los cinturones de seguridad o los airbags. De la misma forma que se ha sido consciente de que la inclusión de nuevas tecnologías hardware o software conectadas a una red conlleva medidas de seguridad, la llegada de estos componentes ha causado la eclosión de nuevas normativas y regulaciones obligatorias en materia de ciberseguridad.
Los recientemente aprobados reglamentos UNECE: R155 sobre las disposiciones uniformes relativas a la homologación de los vehículos de motor en lo que respecta a la ciberseguridad y al sistema de gestión de esta, así como la UNECE: R156 sobre disposiciones uniformes relativas a la homologación de vehículos en lo que respecta a las actualizaciones de software y al sistema de gestión de actualizaciones de software, han sido un punto de inflexión en materia de ciberseguridad en el sector automovilístico. Su refrendo a través del Reglamento (UE) 2019/2144 no deja lugar a dudas sobre su especial relevancia. Estos reglamentos, que ya están vigentes, no son los únicos con respecto a la ciberseguridad que una empresa relacionada con el sector del vehículo deberá tener en cuenta en el futuro. La reciente aprobación de la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea supondrá un impulso definitivo a la ciberseguridad de las empresas del sector cuando esta se transponga a los regímenes jurídicos de los países miembros. Un número mayor de empresas y entidades se verán concernidas a seguir la directiva y cada una de las leyes estatales, y en esta ampliación se encontrará representado el sector de la automoción. Simplificando la cuestión, se verán afectadas aquellas entidades pertenecientes al sector del transporte de carretera: autoridades viarias, responsables del control de la gestión del tráfico y operadores de sistemas de transporte inteligentes. Dichas entidades serán catalogadas como alta criticidad. También serán incluidas en la directiva los fabricantes de vehículos de motor, remolques y semirremolques (la sección C, división 29, de la NACE Rev. 2) y fabricantes de otros materiales de transporte (sección C, división 30, de la NACE Rev. 2). Estas entidades serán consideradas como críticas.
Tal y como hemos visto, la mayoría de las empresas pertenecientes al sector de la fabricación de automóviles o componentes podrían ser consideradas críticas y tendrán que velar por el cumplimiento de las obligaciones que se determinen. Dependiendo de varios factores, estas entidades o empresas podrán ser consideradas esenciales o importantes, cuya principal diferencia estriba en la supervisión que se haga y en las sanciones aplicables. Serán entidades esenciales dentro de la fabricación aquellas que ya hayan sido consideradas operadores de servicios esenciales con respecto a la anterior Directiva (UE) 2016/1148 o sean consideradas entidades críticas con arreglo a la Directiva (UE) 2022/2557. Las grandes o medianas empresas se considerarán entidades importantes. No obstante, cada Estado miembro podrá decidir que una empresa pueda considerarse entidad esencial si una alteración en su funcionamiento normal puede significar un peligro. Las pequeñas y medianas empresas quedarían excluidas a no ser que los Estados miembros las consideren esenciales o importantes en función de su criterio. Tanto las entidades esenciales e importantes deberán seguir unas medidas para la gestión de riesgos de ciberseguridad. Además, ante un incidente con impacto significativo deberán notificar obligatoriamente a su CERT de referencia. Serán supervisadas por los Estados miembros y, en caso de no cumplir, podrían ser sancionadas.
Por tanto, el cumplimiento de esta directiva y de las transposiciones estatales será un reto para muchas fábricas de vehículos y componentes relacionados. No obstante, aquellas acogidas al cumplimiento de los reglamentos UNECE:155 y UNECE:156 podrán tener ventaja en la aplicación de esta directiva, debido a sus exigencias con respecto a la ciberseguridad. Sumado a la Directiva (UE) 2022/2555 es necesario mencionar la propuesta del Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, más conocido como CRA. Un ambicioso reglamento con el objetivo de aumentar el nivel de ciberseguridad de los productos dentro de la Unión Europea. Dicho reglamento afectará a todos los productos que incorporen elementos digitales que se conecten de forma directa o indirecta a la Red o a otros dispositivos.
El CRA es muy claro en la excepcionalidad que aplica con respecto al Reglamento (UE) 2019/2144 mencionado anteriormente. Este último reglamento solo afecta a los vehículos de las categorías M, N y O y a los sistemas, componentes y unidades técnicas independientes diseñados y construidos para dichos vehículos. A su vez, el Reglamento 155 de la UNECE solo aplica a los vehículos de las categorías M y N, a los vehículos de la categoría O si llevan instalada al menos una unidad de control electrónico y a los vehículos de las categorías L6 y L7 si están equipados con funciones de conducción automatizada desde el nivel 3 en adelante. Por tanto, sí se espera que aquellos vehículos que no pertenezcan a estas categorías, pero que dispongan de elementos digitales con conectividad, sí les aplique el reglamento CRA. CRA establece la conformidad de los productos comercializados en la Unión Europea en materia de ciberseguridad. Dichos productos son evaluados mediante una autoevaluación del propio fabricante si estos no son críticos o, si lo fueran, deberán poseer certificaciones del sector equiparables al reglamento o una validación externa, siendo obligatorio la revisión de un tercero si estos productos son de alto riesgo. Para facilitar la labor certificadora cabe destacar las futuras publicaciones sobre los esquemas de ciberseguridad en diversos ámbitos tecnológicos que la Agencia de la Unión Europea para la Ciberseguridad (ENISA) distribuirá y que serán referencia para el cumplimiento o no del CRA.
En resumen, esta nueva batería de regulaciones europeas vendrá a reforzar la ciberseguridad de un sector ya comprometido previamente con la seguridad. Los fabricantes deberán adaptarse a un nuevo marco jurídico que las actuales regulaciones obligatorias internacionales ya están considerando. Por tanto, se prevé que los costes serán reducidos frente a otros sectores con menos cultura de seguridad.