Adgang til sikkerheds- og tyverirelevante køretøjsoplysninger og RMI skal garanteres for uafhængige automobilvirksomheder. SERMA skaber forudsætningerne, cybersikkerhedsforanstaltningerne kommer senere.
Hvad IT-infrastrukturen i virksomheden angår, forbeholder systemadministratoren sig de tilsvarende "masterrettigheder" og beskyttelsesmekanismer. Ingen anden medarbejder kan tilføje ny hardware, få adgang til følsomme data, installere software eller foretage opdateringer. Det er der gode grunde til. Netværket og hver enkelt computer skal beskyttes mod ondsindet software, funktionsfejl for ikke at tale om endda uautoriseret adgang fra tredjeparter. Moderne motorkøretøjer har også utallige små computere, dvs. styreenheder, som udfører individuelle, nogle gange meget komplekse opgaver. Og de er netværksforbundne, kommunikerer med hinanden, og køretøjerne indsamler følsomme data. Men uafhængige værksteder har brug for teknisk baggrundsinformation og adgangsrettigheder for at kunne udføre deres arbejde.
En medarbejder på værkstedet kan sammenlignes med en systemadministrator. Hvis den daglige forretning involverer mekaniske problemer, gearkasser, koblinger, bremser, som udbedres af kvalificerede mekatronikteknikere, kommer "indlæring" eller "nulstilling" af hardware, software generelt og adgangsbeskyttelse mere og mere i forgrunden. I princippet skal bilproducenter ifølge EU-forordning 2018/858 give uafhængige bilværksteder adgang til alle relevante data og funktioner for at kunne servicere og reparere et køretøj i overensstemmelse hermed. Det gælder også softwareopdateringer. Der må ikke være nogen konkurrencemæssige forskelle mellem mærkeværksteder og frie værksteder.
Men for at sikre, at kun autoriserede og kvalificerede personer har beskyttet adgang til de pågældende sikkerheds- og tyverirelevante data, har adgangen til reparations- og vedligeholdelsesoplysninger (RMI) via producentportalerne været blokeret siden 1. april 2024. For at få adgang til de pågældende data efter login skal du også have et personligt, elektronisk SERMA-certifikat. En standardiseret adgangsløsning blev diskuteret i meget lang tid. Den tilbyder SERMA nu.
I Sverige har forordningen været i kraft siden 1. oktober 2023. I Danmark, Finland og Norge fra 1. februar 2024. Startdatoen for Belgien, Tyskland, Luxembourg, Holland, Østrig, Portugal og Spanien var 1. april. Andre EU-lande startede SERMI-proceduren den 1. juni eller 1. august 2024.
SERMA (Secure-Repair and Maintenance-Authorisation) er overensstemmelses-vurderingsorganet og står for et harmoniseret akkrediteringssystem i hele Europa, der hjælper uafhængige markedsaktører med at vedligeholde og reparere køretøjer på en sikker måde. Det gælder også, hvis køretøjets sikkerhedsfunktioner påvirkes (f.eks. af softwareopdateringer). Her er SERMI (Secure-Repair and Maintenance-Information) den fælleseuropæiske institution, der blev grundlagt for at videreudvikle, drive og vedligeholde systemet og processen. De to forkortelser SERMA og SERMI bruges normalt synonymt.
SERMA er relevant for uafhængige værksteder, der arbejder med den originale producentdiagnose, for virksomheder, der tilbyder en fjerndiagnoseservice (remote-service) eller for autoriserede mærkeværksteder, der reparerer andre bilmærker. Men SERMA er også relevant for producenter eller forhandlere af værkstedsudstyr, værktøj og reservedele, for udgivere af teknisk information eller bugseringsydelser, for udbydere af inspektions- og testtjenester og for uddannelses- og videreuddannelsesinstitutioner. I øvrigt: Virksomheder, der foretager tuning, som f.eks. ændringer af motorens maksimale effekt eller emissioner, vil ikke blive godkendt til SERMA i overensstemmelse med EU-reglerne.
Det elektroniske certifikat kan fås af virksomheder, der arbejder med personbiler og erhvervskøretøjer og mekatronikteknikere til motorkøretøjer efter indsendelse af en online ansøgning, f.eks. via SERMA-ansøgningsportalen (https://register.serma.eu). Der kan også ansøges via andre certificerede tjenesteudbydere, såsom KIWA eller Global Network Group TIC. Under alle omstændigheder kræves der en udskrift af handelsregistret, bevis for virksomhedens ansvarsforsikring og aktuelle certifikater for god opførsel for de respektive medarbejdere. Overensstemmelses-vurderingsorganet SERMA har derefter til opgave at kontrollere ansøgningen om godkendelse og autorisation af dine medarbejdere.
Hvis resultatet er positivt, giver SERMA adgangsautorisation til netop denne tyveri- og sikkerhedsrelaterede reparations- og vedligeholdelsesinformation (RMI). Autoriserede medarbejdere modtager et personligt elektronisk certifikat direkte på deres smartphone via en app (Digidentity Wallet-appen). Det er gyldigt i fem år. Kontrollen udføres i overensstemmelse med den EU-dækkende SERMI-ordning og typegodkendelsesforordningen (EU) 2018/858.
Fra og med juli 2024 vil også EU-direktiv ECE R155 (cybersikkerhed) gælde for alle nyproducerede køretøjer. Det forpligter producenterne til at beskytte deres køretøjer mod sikkerhedsrisici i hele deres livscyklus ved hjælp af et cybersikkerheds-styringssystem (CSMS). Det sikres blandt andet af producenternes cyber security gateways, som forhindrer generel ekstern adgang til kontrolenhederne.
Med et SERMA-certifikat er automobilvirksomheden autoriseret til at få adgang til sikkerheds- og tyverirelevante data via producentens portal. Betyder det også, at spørgsmålet om cyber security gateways er overstået? Nej, ikke ifølge eksperterne hos Hella Gutmann. De to sikkerhedsbarrierer bør betragtes hver for sig. Derfor er funktionen "Cyber Security Management" (CSM), som er gratis for værkstederne, blevet implementeret i softwaren til diagnosetesterne i Mega Macs-serien. Denne funktion kan også bruges til at kommunikere med sikrede køretøjer via en sikkerhedsgateway. Hella Gutmann tilbyder den såkaldte "Remote Service" til evt. tilfælde for komponentaktivering. Hvis man ønsker det, giver SERMA-certifikatet og CSM-funktionen dig således alle administratorrettigheder.
Gennemsigtighed og sikkerhed er i fokus, ikke mindst fordi mange bilproducenter også tilbyder opdateringer "over the air" eller online-aktivering af ekstra funktioner (eller har gjort det til en forretningsmodel). Også bilværksteder foretager i stigende grad opdateringer eller opgraderinger for deres kunder på denne måde.
Dataoverførsel sker via mobiltelefonnettet eller wi-fi. Disse muligheder er ikke altid tilgængelige på en stabil måde, og opdateringer bliver undertiden afbrudt. Dataintegritet skal derfor garanteres for at undgå fejl. Det er fastlagt i EU-direktiv R156 (softwareopdateringer), som også vil gælde for alle nye køretøjer, der sælges fra juli 2024. Ifølge direktivet skal bilproducenten under alle omstændigheder sørge for, at softwaren installeres sikkert, og at manipulation og uautoriseret adgang forhindres. Desuden skal køretøjsejerne informeres tydeligt på forhånd. Grundlæggende gælder følgende: Kun autoriserede opdateringer må installeres!