Il 2022 sarà l’anno che vedrà la cybersecurity entrare prepotentemente nell’industria automotive europea (e non solo). In conseguenza dell’attuazione della normativa Unece R155, il rispetto delle best practices della sicurezza ed i concetti legati al “secure by design”, entreranno a pieno titolo con l’applicazione della General Safety Regulation (Gsr), che entra nell’insieme di regole da rispettare per ottenere l’omologazione di una vettura nell’Unione Europea.
Unece (United Nation Economic Council for Europe) è un organismo che si occupa di definire i regolamenti relativi a diversi aspetti della società e dell’industria, e attraverso il gruppo di lavoro WP 29 si occupa in particolare delle normative per l’omologazione dei veicoli. Attraverso la Regulation 155 (approvata dalla UE nel 2022), definisce una roadmap e degli obblighi per i car maker rispetto alla cyber sicurezza. Unece ha fra l’altro approvato una seconda regulation (R 156) che va a regolamentare, sempre nel campo automotive, la sicurezza nell’aggiornamento del software in modalità “over the air”.
La Unece R 155 definisce dunque una roadmap ed un insieme di requisiti. La roadmap indica che quanto prescritto debba essere applicato entro giugno 2022 per l’omologazione di tutti i nuovi modelli che entreranno da quel momento sul mercato, e dal giugno 2024 per tutte le vetture che saranno immatricolate nei paesi dove vengono applicate le norme Unece, tutta l’Unione Europea in particolare. Dal punto di vista dei requisiti, la R 155, copre tutto il ciclo di vita del veicolo, partendo dal concept, passando per il design, la produzione, le operation, l’assistenza ed arrivando fino alla rottamazione. Si intuisce da quanto detto che l’impatto sul car maker, e su tutta la filiera dei fornitori è decisamente importante. Esatto, proprio i fornitori. Infatti, la normativa richiede che il costruttore automobilistico, coinvolga i suoi fornitori (passando in cascata i requisiti di cyber sicurezza) nel processo di sviluppo di una vettura “secure by design” e nel processo continuous monitoring dei rischi e dei threat di sicurezza. Oltre la definizione dei rischi di cui tener conto nella fase di design, è necessario predisporre un sistema di sorveglianza attiva sui rischi e le vulnerabilità che dovessero manifestarsi sul prodotto in esercizio. Una vera rivoluzione.
Entrando più nel dettaglio, la norma si divide in due macro-parti: una relativa ai processi di sviluppo e gestione della cyber sicurezza nell’organizzazione dell’azienda, e l’altra alla cyber sicurezza del prodotto. Si parla nel primo caso di Csms (Cybersecurity Management System), ovvero del fatto che un car maker deve dotarsi di un sistema di gestione della sicurezza (che dovrà essere certificato da un ente certificatore) che parte dalla gestione delle policy, passa dall’individuazione e gestione dei rischi ed arriva fino alla gestione degli eventi legati a cyber attacks. Nel secondo caso invece, la UN R 155 definisce delle classi di rischi che devono essere considerati, e rispetto alle quali il veicolo deve essere protetto, lasciando al car maker ed ai fornitori di primo livello la definizione delle tecniche e delle soluzioni. La UN R 155 infatti non entra nel merito delle soluzioni, ma definisce gli ambiti da considerare nella definizione di una strategia di protezione. Ovviamente richiede anche che vengano svolti opportuni test per verificare che le strategie implementate effettivamente funzionino e riducano i rischi ad un livello accettabile.
A supporto dell’attuazione, ovvero per supportare la “security by design” stanno nascendo delle norme e degli standard che possono essere usati come riferimento nel processo di certificazione della compliance alla normativa R155. Sicuramente la più popolare è lo standard Iso/Sae 21434, dal titolo “Road Vehicle Cyber Security Engineering”, di recente approvazione. Iso/Sae 21434 si qualifica come un ottimo strumento di lavoro per costruire un modello organizzativo e di design allineato con i requisiti della R155.
Nell’industria dell’auto si sta verificando un profondo cambiamento legato alla consapevolezza che la cyber sicurezza è un elemento abilitante dello sviluppo di un prodotto sempre più digitale e sempre più parte del complesso ecosistema della mobilità, che richiede una forte connessione ed una sempre maggiore integrazione di tutti i suoi componenti ed attori. Questa nuova consapevolezza e l’applicazione di quanto prescritto dagli enti di regolamentazione contribuiranno a sviluppare un prodotto sempre più sicuro ed affidabile per il benessere degli acquirenti e della collettività.