SERMA - Gegevenstoegang en veiligheid
De toegang tot veiligheids- en diefstalrelevante voertuiginformatie en RMI moet gewaarborgd zijn voor onafhankelijke autogarages. SERMA zorgt voor de randvoorwaarden, aangevuld met Cyber-Security-maatregelen.
Als het gaat om de IT-infrastructuur in bedrijven beschikt de systeembeheerder over de bijbehorende “masterrechten” en is hij verantwoordelijk voor de beschermingsmechanismen. Geen enkele andere medewerker kan nieuwe hardware toevoegen, toegang krijgen tot gevoelige gegevens, software installeren of een update uitvoeren. Daar zijn goede redenen voor. Het netwerk, elke individuele computer, moet worden beschermd tegen schadelijke software, storingen of mogelijke ongeoorloofde toegang door derden. Moderne motorvoertuigen zijn ook voorzien van talloze kleine computers, ook wel regeleenheden genoemd, die afzonderlijke, soms zeer complexe taken uitvoeren. En ze zijn onderling verbonden in een netwerk, communiceren met elkaar; de voertuigen verzamelen gevoelige gegevens. Onafhankelijke garages hebben echter technische achtergrondinformatie en toegangsrechten nodig om hun werk te kunnen doen.
Alleen bevoegde personen hebben toegang!
Een serviceprofessional in de garage kan worden vergeleken met een systeembeheerder. Als de dagelijkse werkzaamheden bestaan uit het verhelpen van mechanische problemen aan versnellingsbakken, koppelingen en remmen door gekwalificeerde mechatronicatechnici, wordt het “aanleren” of “resetten” van hardware, software in het algemeen en toegangsbeveiliging steeds belangrijker. Voertuigfabrikanten moeten volgens EU-verordening 2018/858 onafhankelijke garages in principe toegang geven tot alle relevante gegevens en functies om een voertuig te kunnen onderhouden en repareren. Hieronder vallen ook software-updates. Er mag geen concurrentienadeel ontstaan tussen merkgebonden en niet-merkgebonden bedrijven.
SERMA: eindelijk een standaard toegangsoplossing
Om er echter voor te zorgen dat alleen bevoegde en gekwalificeerde personen beveiligde toegang hebben tot relevante beveiligings- en diefstalgegevens, is de toegang tot reparatie- en onderhoudsinformatie (RMI) via de fabrikantportalen sinds 1 april 2024 geblokkeerd. Om na het inloggen toegang te krijgen tot de relevante gegevens, is ook een persoonlijk, elektronisch SERMA-certificaat nodig. Er is heel lang gesproken over een standaard toegangsoplossing. SERMA biedt deze nu aan.
In Zweden is deze regeling van kracht sinds 1 oktober 2023. In Denemarken, Finland en Noorwegen sinds 1 februari 2024. De startdatum voor België, Duitsland, Luxemburg, Nederland, Oostenrijk, Portugal en Spanje was 1 april. Andere EU-landen zijn op 1 juni of 1 augustus 2024 begonnen met de SERMI-procedure.
Wie heeft een SERMA-certificaat nodig?
SERMA (Secure-Repair and Maintenance-Authorisation) is de conformiteitsbeoordelingsinstantie en vertegenwoordigt een geharmoniseerd accreditatiesysteem voor heel Europa dat onafhankelijke marktpartijen helpt om voertuigen op een veilige manier te onderhouden en te repareren. Dit geldt ook als hierbij de veiligheidsfuncties van het voertuig worden aangepast (bijvoorbeeld door software-updates). SERMI (Secure-Repair and Maintenance-Information) is in feite het pan-Europese instituut dat is opgericht om het systeem en proces verder te ontwikkelen, beheren en onderhouden. De twee afkortingen SERMA en SERMI worden meestal als synoniemen gebruikt.
SERMA is relevant voor onafhankelijke garages die werken met de originele fabrieksdiagnose, voor bedrijven die een afstandsdiagnoseservice (remote service) aanbieden of voor erkende garages die andere voertuigmerken repareren. Maar SERMA is ook van belang voor fabrikanten of dealers van garage-uitrusting, gereedschap of reserveonderdelen, voor uitgevers van technische informatie of pechhulpdiensten, voor aanbieders van inspectie- en keuringsdiensten en voor opleidings- en bijscholingsinstituten. Trouwens: bedrijven die tuningmaatregelen uitvoeren, zoals wijzigingen aan het nominale vermogen of het emissiegedrag van de motor, zijn volgens de EU-regelgeving uitgesloten van SERMA-goedkeuring.
Zo werkt het registratie- en verificatieproces van SERMA
Automobielbedrijven of automechatronici kunnen het elektronische certificaat verkrijgen na het indienen van een online aanvraag, bijvoorbeeld via het SERMA-aanvraagportaal (https://register.serma.eu). Er zijn ook andere gecertificeerde dienstverleners, zoals KIWA of de Global Network Group TIC, waarbij een aanvraag kan worden ingediend. Hiervoor zijn in elk geval een uittreksel uit het handelsregister, een bewijs van bedrijfsaansprakelijkheidsverzekering en actuele verklaringen van goed gedrag voor de betreffende werknemers vereist. De conformiteitsbeoordelingsinstantie SERMA controleert vervolgens de aanvraag voor goedkeuring en autorisatie van uw werknemers.
Als het resultaat positief is, verleent SERMA toegang tot deze diefstal- en veiligheidsgerelateerde reparatie- en onderhoudsinformatie (RMI). Geautoriseerde medewerkers ontvangen een persoonlijk elektronisch certificaat rechtstreeks op hun smartphone via een app (Digidentity Wallet app). Dit certificaat is vijf jaar geldig. De testprocedure wordt uitgevoerd volgens de Europese SERMI-regeling en de EU-typegoedkeuringsverordening 2018/858.
Cyber Security + gateways
Vanaf juli 2024 geldt voor alle nieuw geproduceerde voertuigen ook de EU-richtlijn ECE R155 (Cyber Security). Deze richtlijn verplicht fabrikanten om hun voertuigen gedurende hun hele levenscyclus te beschermen tegen veiligheidsrisico's met behulp van een beheersysteem voor Cyber Security (CSMS). Dit wordt onder andere gewaarborgd door de Cyber Security-gateways van de fabrikanten, die algemene externe toegang tot de regeleenheden voorkomen.
Met het SERMA-certificaat krijgt de autogarage toegang tot beveiligings- en diefstalrelevante gegevens via het portaal van de fabrikant. Betekent dit nu dat de kwestie rond Cyber Security-gateways is beëindigd? Niet volgens de experts van Hella Gutmann. De twee beveiligingsbarrières moeten afzonderlijk worden gezien. Daarom is de functie “Cyber Security Management” (CSM), die gratis is voor garages, geïmplementeerd in de software van de diagnosetesters uit de Mega Macs-serie. Met deze functie kan ook worden gecommuniceerd met beveiligde voertuigen via een Security-gateway. Voor het activeren van onderdelen biedt Hella Gutmann de zogenoemde “Remote Service”. Op die manier beschikt u met het SERMA-certificaat en de CSM-functie over alle beheerdersrechten.
Software-updates “over the air”
Omdat veel autofabrikanten updates “over the air” of online activering van extra functies aanbieden (of hier een businessmodel van hebben gemaakt), ligt de focus op transparantie en veiligheid. Ook autogarages voeren steeds vaker op deze manier updates of upgrades uit voor hun klanten.
Gegevens worden overgedragen via het mobiele telefoonnetwerk of wifi. Beide zijn niet altijd stabiel beschikbaar en updates worden soms afgebroken. De integriteit van gegevens moet daarom worden gegarandeerd om fouten te voorkomen. Dit wordt geregeld in EU-richtlijn R156 (software-updates), die vanaf juli 2024 ook van toepassing is op alle nieuwe voertuigen die worden verkocht. Volgens de richtlijn moet de voertuigfabrikant er in ieder geval voor zorgen dat de software veilig wordt geïnstalleerd en dat manipulatie en ongeoorloofde toegang worden voorkomen. Bovendien moeten voertuigeigenaren vooraf duidelijk worden geïnformeerd. In principe geldt: alleen geautoriseerde updates mogen worden geïnstalleerd!
