Cybersecurity
-
De RDW zag vroegtijdig in dat toenemende digitalisering en cybercrime invloed heeft op de veiligheid. Daarom hebben we het Vehicle Safety & Security Framework ontwikkeld. Dit is een set van regels en instrumenten waarmee we de veiligheid van de digitalisering van voertuigen kunnen beoordelen. De fabrikant is verantwoordelijk voor de cybersecurity en alle systemen eromheen. De RDW controleert of de fabrikant die verantwoordelijkheid neemt.
Ook werken we samen met partners zoals andere toelatingsautoriteiten, fabrikanten en (buitenlandse) technische diensten aan een veilig verkeersbeleid voor de toekomst.
-
Sinds januari 2021 geldt er regelgeving voor cybersecurity van de Economische Commissie voor Europa (UNECE): de R155. De RDW was nauw betrokken bij de totstandkoming van deze regelgeving. Met de R155 is een belangrijke stap gezet in de digitale veiligheid van voertuigen. Het is onderdeel van een reeks regels met het oog op digitale veiligheid van het voertuig. Hieronder vallen ook de R156 Software Updates en R157 Automated Lane Keeping System.
Cybersecurity managementsysteem
De 155-regelgeving eist dat de typegoedkeuringsautoriteit en de aangewezen technische diensten over deskundig personeel beschikken met de juiste cybersecurity-vaardigheden en specifieke kennis voor de beoordeling voor voertuigen en processen van fabrikanten.
Een ander belangrijk onderdeel van deze regelgeving is dat connected cars moeten zijn aangesloten op een managementsysteem voor cyberbeveiliging (CSMS), zodat ze continu zijn beschermd tegen cyberaanvallen. De fabrikant legt vast en maakt zichtbaar hoe hij de kwaliteit van het systeem borgt, monitort en bijhoudt. Als het CSMS af is, toetst de RDW of het aan de eisen voldoet. Zo ja, dan geeft de RDW een Certificate of Compliance (COC) af. Daarmee kan de fabrikant starten met praktische testen om te toetsen of een voertuig cyberveilig is. Vervolgens beoordelen de experts van de RDW de testen of voeren zelf testen uit.
Na het afronden van de testen kan de fabrikant een typegoedkeuringsaanvraag indienen bij de RDW. Als aan alle eisen is voldaan, dan keurt de RDW het voertuig goed en mag het op deze wijze geproduceerd worden. Fabrikanten blijven gedurende de hele levenscyclus van een voertuig verantwoordelijk voor het goed functioneren van de digitale dienst en de interactie met de automechaniek. Doel is om het voertuig up-to-date bescherming te bieden tegen cyberaanvallen, door continu te monitoren en eventuele verbeteringen door te voeren in geval van een cyberdreiging, gevaar of kwetsbaarheid, zoals een software-update. -
- 6 juli 2022: Cybersecurity-regelgeving (UNECE 156) verplicht voor nieuwe, relevante voertuigtypen in Europa.
- 7 juli 2024: Cybersecurity-regelgeving (UNECE 156) ook verplicht voor voertuigen die vanaf dat moment worden geproduceerd (ook onder bestaande typegoedkeuringen).
-
- Interview met Bernd van Nieuwenhoven en Elles Meinster in de RDWijzer (nr 1 2021, blz 28 en 29)