Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Nieuwe EU-regels voor cyberbeveiliging zorgen ervoor dat autofabrikanten oude modellen mijden, las ik bij Deutsche Welle (DW). Het verhaal duikt op meerdere plekken op: De Volkswagen Up en T6.1, en bij Porsche de Macan, Boxter en Cayman-modellen, worden stopgezet zonder een directe opvolger “vanwege strengere EU-cyberveiligheidseisen”. Hoe zit dat?

Antwoord: Het klopt dat zowel Volkswagen als Porsche modellen niet langer in productie houden, en daarbij cybersecurity als reden citeren:

VW brand chief Thomas Schäfer told dpa [Deutsche Presse-Agentur, AE] the measures were necessary due to the high compliance costs. “Otherwise, we would have to integrate a completely new electronic architecture [in the car model], which would simply be too expensive,” he said.

Dit klinkt natuurlijk een beetje als “we worden met onze populaire auto’s weggepest vanwege rare cybersecurity-regels uit het bureaucratische Brussel waar ze geen verstand hebben van innovatie”, een ondertoon waar ik steeds meer een hekel aan begin te krijgen.

Het grappige is wel dat het niet eens gáát om Europese regels – dus wie aan de Cyber Resilience Act of NIS2 dacht, heeft het mis. Helemaal onderaan het DW artikel wordt het correct genoemd: het is UN R155/R156, de Cyber security and cyber security management system definitie van de UNECE. Die regels zijn er al even, maar het is 1 juli 2024 dat problematisch gaat worden:

From July 2022, manufacters in the EU, obtaining approval for new vehicle types, must comply with this Regulation. The obligation will extend to all the new vehicles sold in this territory from July 1st, 2024.

To obtain the cybersecurity certification, manufacturers must show that their models are cyber protected against 70 vulnerabilities. This list of risks to avoid includes potential cyber-attacks during the whole process: development, production, and post-production of the vehicle, so those models that get the certification will be protected throughout their entire life cycle.

De kern is dus dat Volkswagen en Porsche het bij deze modellen sinds 2021 (inwerkingtreding R155) niet waardevol genoeg vonden om te investeren in een adequate cybersecurity, en daarom per 1 juli 2024 moeten stoppen met deze modellen. Dat is ook weer wat kort door de bocht (haha), want in de standaard staat letterlijk:

However, for type approvals prior to 1 July 2024, if the vehicle manufacturer can demonstrate that the vehicle type could not be developed in compliance with the CSMS, then the vehicle manufacturer shall demonstrate that cybersecurity was adequately considered during the development phase of the vehicle type concerned.

Hieruit haal ik dat VW en Porsche met deze oudere modellen alleen hoeven te laten zien dat er adequaat nagedacht is over cybersecurity ten tijde van het ontwerp (2007 voor de Up, 2014 voor Porsche). Mogelijk dat zaken als die sleutelhack uit 2016 hierin meewogen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.