SERMA: acceso a datos y seguridad

Debe garantizarse a los concesionarios independientes de automóviles el acceso a información de vehículos relevante para la seguridad y el robo, así como al RMI. SERMA crea los requisitos añadiendo medidas de ciberseguridad.

En lo que respecta a la infraestructura informática de las empresas, el administrador del sistema se reserva los correspondientes "derechos maestros" y mecanismos de protección. Ningún otro empleado puede añadir nuevo hardware, acceder a datos confidenciales, instalar software o ejecutar una actualización. Hay buenas razones para ello. La red, cada uno de los ordenadores, deben protegerse contra programas maliciosos, fallos de funcionamiento o incluso accesos no autorizados de terceros. Por otro lado, los automóviles modernos incorporan innumerables ordenadores pequeños, es decir, unidades de control, que realizan tareas individuales, a veces muy complejas. Y están conectados en red, se comunican entre sí, y los vehículos recopilan datos sensibles. Sin embargo, los talleres independientes necesitan información técnica de contexto y derechos de acceso para poder realizar su trabajo.

¡Solo tienen acceso las personas autorizadas!

Un profesional del mantenimiento de vehículos en el taller puede compararse con un administrador de sistemas. Si el día a día implica problemas mecánicos en cajas de cambio, embragues o frenos que son solucionados por técnicos mecatrónicos cualificados, la "programación" o "restablecimiento" del hardware, el software en general y la protección de los accesos pasan cada vez más a primer plano. En principio, según el Reglamento 2018/858 de la UE, los fabricantes de vehículos deben conceder a los talleres independientes de vehículos acceso a todos los datos y funciones relevantes para poder realizar el mantenimiento y la reparación de un vehículo de forma adecuada. Esto incluye también las actualizaciones de software. No debe existir ninguna desventaja competitiva entre los concesionarios de marca y los que no lo son.

SERMA: por fin una solución de acceso normalizada

Sin embargo, para garantizar que solo las personas autorizadas y cualificadas tengan acceso protegido a los correspondientes datos relevantes para la seguridad y el robo, el acceso a la información sobre reparación y mantenimiento (RMI, Repair and Maintenance Information) a través de los portales de los fabricantes está bloqueado desde el 1 de abril de 2024. Para acceder a los datos pertinentes después de iniciar sesión, se necesita adicionalmente un certificado SERMA electrónico personalizado. Se ha debatido durante mucho tiempo sobre una solución de acceso normalizado. SERMA lo ofrece ahora.

En Suecia, el reglamento está en vigor desde el 1 de octubre de 2023. En Dinamarca, Finlandia y Noruega desde el 1 de febrero de 2024. La fecha de inicio para Bélgica, Alemania, Luxemburgo, Países Bajos, Austria, Portugal y España fue el 1 de abril. Otros países de la UE iniciaron el procedimiento SERMI el 1 de junio o el 1 de agosto de 2024.

¿Quién necesita la certificación SERMA?

SERMA (Secure Repair and Maintenance Authorisation) es el organismo de evaluación de la conformidad y representa un sistema de acreditación armonizado a escala europea que ayuda a los agentes independientes del mercado a mantener y reparar vehículos de forma segura. Esto también se aplica si las características de seguridad del vehículo se ven afectadas (por ejemplo, por actualizaciones de software). SERMI (Secure Repair and Maintenance Information) es prácticamente la institución paneuropea creada para seguir desarrollando, implementando y manteniendo el sistema y el proceso. Las dos abreviaturas SERMA y SERMI suelen utilizarse como sinónimos.

SERMA es relevante para talleres independientes que trabajan con sistemas de diagnóstico originales del fabricante, para empresas que ofrecen un servicio de diagnóstico a distancia (servicio remoto) o para talleres autorizados que reparan otras marcas de vehículos. Pero SERMA también es relevante para los fabricantes o distribuidores de equipos de taller, herramientas o piezas de recambio, los editores de información técnica o servicios de asistencia en carretera, los proveedores de servicios de inspección y ensayo y los centros de formación y formación complementaria. Por cierto, las empresas que lleven a cabo medidas de tuneado, como cambios en la potencia nominal del motor o en el comportamiento de las emisiones, no recibirán la homologación SERMA de acuerdo con la normativa de la UE.

Así funciona el proceso de registro y verificación SERMA

El certificado electrónico se puede obtener como concesionario de automóviles/vehículos comerciales o como técnico mecatrónico de automóviles tras presentar una solicitud en línea, por ejemplo, a través del portal de solicitudes SERMA (https://register.serma.eu). También hay otros proveedores de servicios certificados, como KIWA o el Global Network Group TIC, a través de los cuales es posible presentar una solicitud. En cualquier caso, se requiere un extracto del registro mercantil, un certificado del seguro de responsabilidad civil de la empresa y certificados de buena conducta vigentes de los respectivos empleados. A continuación, el organismo de evaluación de la conformidad SERMA se encarga de comprobar la solicitud de homologación y de autorizar a sus empleados.

Si el resultado de la prueba es positivo, SERMA concede la autorización de acceso a la información de reparación y mantenimiento (RMI) relevante para la seguridad y el robo. Los empleados autorizados reciben un certificado electrónico personalizado directamente en su smartphone a través de una aplicación (Digidentity Wallet). Tiene una validez de cinco años. El procedimiento de ensayo se lleva a cabo para toda la UE de acuerdo con el esquema SERMI y el Reglamento de homologación de tipo 2018/858 (UE).

Ciberseguridad y pasarelas

Desde julio de 2024, la directiva europea ECE R155 (ciberseguridad) se aplica también a todos los vehículos de nueva producción. Esto obliga a los fabricantes a proteger sus vehículos contra los riesgos de seguridad a lo largo de todo su ciclo de vida con la ayuda de un sistema de gestión de la ciberseguridad (CSMS). De ello se encargan, entre otros, las pasarelas de ciberseguridad de los fabricantes, que impiden el acceso general externo a las unidades de control.

Con el certificado SERMA, el concesionario está autorizado a acceder a los datos de seguridad y de robo a través del portal del fabricante. ¿Significa esto también que se da por zanjado el tema de las pasarelas de ciberseguridad? No, según los expertos de Hella Gutmann. Las dos barreras de seguridad deben considerarse por separado. Por eso se ha implementado la función "Gestión de la ciberseguridad" (CSM), gratuita para los talleres, en el software de los equipos de diagnóstico de la serie Mega Macs. Esta función también puede utilizarse para comunicarse con vehículos protegidos a través de una pasarela de seguridad. Hella Gutmann ofrece el llamado "servicio remoto" para posibles casos de activación de componentes. Si se desea, con el certificado SERMA y la función CSM se dispondrá de todos los derechos de administrador.

Actualizaciones de software "over the air"

Debido al hecho de que muchos fabricantes de vehículos también ofrecen actualizaciones "por aire" o la activación en línea de funciones adicionales (o han hecho de ello un modelo de negocio), la atención se centra en la transparencia y la seguridad. Los talleres de automóviles también llevan a cabo cada vez más actualizaciones o mejoras para sus clientes de esta forma.

Los datos se transfieren a través de la red de telefonía móvil o WLAN. Estas no siempre están disponibles de forma estable y a veces se cancelan las actualizaciones. Por tanto, hay que garantizar la integridad de los datos para evitar errores. Así lo establece la Directiva R156 de la UE (actualizaciones de software), que también se aplicará a todos los vehículos nuevos vendidos a partir de julio de 2024. Según la directiva, el fabricante del vehículo debe garantizar en cualquier caso que el software se instale de forma segura y que se impida su manipulación y el acceso no autorizado. Además, los propietarios de los vehículos deben ser informados previamente de forma transparente. Una regla básica: solo se pueden instalar actualizaciones autorizadas.