Cybersäkerhet är nu en grundförutsättning för fordonsindustrin. För att få sälja bilar på den europeiska marknaden krävs bevis på att säkerheten håller hela vägen från utveckling till livscykel. De nya internationella regelverken driver fram ett paradigmskifte som förändrar biltillverkningen i grunden.
Dagens bilar styrs av avancerad mjukvara och är ständigt uppkopplade mot appar, molntjänster och infrastruktur. De behöver dessutom regelbundna programuppdateringar för att fungera säkert. Men varje ny koppling innebär också en ökad risk för cyberattacker.
Uppkopplade fordon öppnar för risker
Ur en angripares perspektiv kan bilen vara nästan lika enkel att ta sig in i som en dator. Infotainmentsystem, bromskretsar och fleet management är typiska mål. Därför sätter nya regelverk ramarna för hela fordonsindustrin. Cybersäkerhet kan inte längre läggas på i slutet av utvecklingen utan måste byggas in i hela kedjan, från design till livscykelhantering.
Det vi ser under våra penetrationstester är sårbarheter i signaler, backend och informationsflöden. Ett intrång kan handla om att spåra var fordon befinner sig eller att utnyttja öppna gränssnitt
, säger Alexander Alasjö, senior säkerhetsspecialist på Assured.
- Här kan du läsa om hur vi jobbar med penetrationstester
- Här kan du läsa mer om hur vi gör fordonsindustrin säkrare
Vilka regelverk styr fordonens cybersäkerhet?
En ökad hotbild har lett till fler regler men alla är inte lika avgörande. Här är de mest centrala regelverken för tillverkare och underleverantörer just nu.
Ställer krav på ett Cyber Security Management System (CSMS)
Ställer krav på ett Software Update Management System (SUMS)
Ger detaljerade riktlinjer för hur R156 ska uppfyllas i praktiken
Styr riskhantering, hotmodellering och säker utveckling av fordonsmjukvara
EU-direktiv som skärper kraven på leverantörskedjan och IT-drift
Kommande förordning som omfattar uppkopplade produkter inklusive fordon. Ställer krav på säkerhetstestning samt en etablerad process för rapporteering och hantering av sårbarheter.
Vad innebär regelverken?
Cybersäkerhet är en grundförutsättning för att sälja bilar inom EU. Sedan 2022 kräver UNECE R155 att tillverkare har ett Cyber Security Management System (CSMS) – en struktur som styr säkerhetsarbetet genom hela produktens livscykel.
UNECE R156 ställer krav på ett Software Update Management System (SUMS), som säkerställer att alla mjukvaruuppdateringar sker spårbart och säkert, både vid verkstadsbesök och via OTA (over-the-air). Standarden ISO 24089 beskriver hur detta ska gå till i praktiken.
Tillsammans med ISO/SAE 21434, som styr riskhantering och säker utveckling, bildar regelverken grunden för typgodkännandet av fordon.
Även andra regelverk påverkar. NIS2 skärper kraven på leverantörskedjan, och den kommande Cyber Resilience Act (CRA) kommer från 2027 att gälla uppkopplade produkter, inklusive fordon.
Cybersäkerhet är bilens nya krockkudde. Det är ett skydd som måste finnas där från första designen och följa med hela fordonets livscykel. Man kan aldrig säga att en bil är säker för all framtid – det man kan säga är att kraven är uppfyllda just nu och att processer finns på plats för att hantera nya brister,
säger Alexander.
Typgodkännande – risker vid brister
EU:s Whole Vehicle Type Approval (WVTA) är certifikatet som visar att ett fordon uppfyller alla säkerhets- och teknikkrav, inklusive cybersäkerhet. För att få godkännande måste tillverkaren visa att cybersäkerheten är implementerad och verifierad genom hela produktens livscykel.
Misslyckas man kan resultatet bli nekad registrering, förseningar i lanseringar eller indragna tillstånd – vilket är en risk för stora tapp i både intäkter och marknadsandelar. Brister i cybersäkerheten kan dessutom leda till incidenter som skadar varumärke och kundförtroende.
Så uppfyller du kraven på cybersäkerhet
För att nå typgodkännande krävs ett systematiskt arbetssätt. Tillverkare och underleverantörer behöver förändra etablerade processer, införa nya metoder och integrera cybersäkerhet som en självklar del av kvalitetssäkringen. Bland annat måste man säkerställa att:
- Cyberhot identifieras, hanteras och förebyggs kontinuerligt
- Säkerheten byggs in redan i designfasen genom hotmodellering och riskanalys (TARA)
- Utvecklingsprocesserna följer etablerade metoder i linje med ISO/SAE 21434 – som här ger detaljerade riktlinjer
- Mjukvaruuppdateringar sker på ett säkert sätt, både vid verkstadsbesök och via OTA
- Incidenthantering finns på plats för snabb respons vid upptäckta sårbarheter
- Allt arbete dokumenteras och kan granskas vid revision och typgodkännande
Verifiering och bevittnade tester
När kraven är uppfyllda måste tillverkaren visa att säkerheten fungerar i praktiken. Här räcker det inte med dokument och processbeskrivningar – vid bevittnade tester väljer tillsynsmyndigheten ut särskilda moment att granska i realtid. Då prövas både fordonets cybersäkerhet och tillverkarens förmåga att visa spårbara och relevanta resultat. Utfallet kan bli avgörande för om typgodkännandet beviljas.
Från krav till konkurrensfördel
Cybersäkerhet är en självklar del av fordonsindustrins framtid. För de tillverkare som ligger steget före kan det innebära snabbare väg till marknad, starkare förtroende hos kunder och partners samt en möjlighet att ta en ledande position i en bransch under omvandling.
Kontakta oss eller lämna ett meddelande nedan för att diskutera hur vi kan hjälpa er att uppfylla kraven på cybersäkerhet och nå typgodkännande. Vi erbjuder expertis inom penetrationstester, riskhantering och säker utveckling av fordonsmjukvara.