Sarokba szoríthatja a szoftveres termékeket gyártó gépjárműipari beszállítókat az EU kiberreziliencáról szóló rendelete

Még mindig nem lélegezhetnek fel a magyarországi autóipari beszállítók, hiszen továbbra sem világos, hogy az EU új kiberrezilienciáról szóló rendelete az egyes kategóriákban kötelezi-e őket kettős megfelelésre: az autógyártók (OEM) által megkövetelt kiberbiztonsági szabályokon túlmenően az OEM-ektől eltérően meg kell e felelniük a rendelet előírásainak is, így az OEM-ekhez mérten jóval nagyobb  terhet magukra vállalni. A legtöbb, amit jelenleg megtehetnek, hogy vállalatra szabottan igyekeznek egyedileg megállapítani a vonatkozó felelősséget – derült ki a thyssenkrupp budapesti E/E (elektromos és elektronikus) kompetenciaközpontja és az Eötvös Loránd Tudományegyetem (ELTE) „Kiberbiztonság mindenütt” kutatási együttműködését ismertető workshopján, amely elsősorban a szabályozók oldaláról közelített a kiberbiztonság autóipari vonatkozásaihoz. Ezeknek a kérdéseknek, problémáknak a vizsgálata egy szemüvegen keresztül nem lehetséges: a különböző régiók intenzív jogszabály és szabványosítási hullámai ugyanúgy igénylik a jogi szakértelmet, mint a mérnöki tudást.

Dr. Báldy Péter, az ELTE Állam- és Jogtudományi Kara (ÁJK) Jogi Továbbképző Intézetének igazgatóhelyettese az EU-s jogfejlődésen belül két, várhatóan az autóipart is nagyban befolyásoló jogszabályt emelt ki: egyrészt az új termékfelelősségi irányelvet (Product Liability Directive, PLD), valamint a termékek kiberbiztonságára vonatkozó Cyber Resilience Act-et (CRA), amelyek néhány éven belül teljesen alkalmazandóvá válnak. A PLD kiszélesíti a korábbi irányelvet, így termékként  nevesül a szoftver, kibővül a felelősségre vonható szereplők köre (így például a hibás alkatrészt gyártó beszállító), és a szoftverfrissítésre vonatkozó elvárásokat is rögzítette az EU. Ez jelentős változásnak ígérkezik a szoftver alapú gépjárművek esetében is (Software-Defined Vehicle), hiszen a jelenlegi fejlesztési versenyben az esetleges károkozásból eredő igények könnyű érvényesíthetőségére kiemelt figyelemmel kell lenni.

A PLD-hez szorosan kapcsolódik a CRA, hiszen amíg a PLD felsorolja, hogy egy nem eléggé biztonságos termék használatából milyen károk, milyen módon érvényesíthetőek, addig a CRA új szabályokat vezet be arra vonatkozóan, hogyan kell a kiberbiztonság szempontjából is megfelelő terméket létrehozni. Az autóipar szempontjából izgalmas kérdés, hogy a CRA mennyiben érinti ezt az ágazatot: ugyan a jogszabály mentesít bizonyos gépjárműveket (M, N és O – személygépkocsi, tehergépkocsi/terepjáró, pótkocsi – kategóriák), azonban számtalan más kérdéskör merül fel (pl.: mi a helyzet a T, R, S, C kategóriájú járművekkel vagy az önállóan forgalomba hozott, szoftvert tartalmazó alkatrészekkel).

Dr. Korba Szabolcs, jogász-közgazdász, az ELTE Informatikai Karának kutatója a kínai és az indiai tendenciákat mutatta be: míg Kína az erőteljes, jogszabályokban és szabványokban is bővelkedő utat választotta (jogszabályok tekintetében ismert példák a kiberbiztonsági törvény vagy az adatbiztonsági törvény, szabványok tekintetében a gépjárművek kiberbiztonságát szabályozó GB 44495 és a szoftverfrissítésre vonatkozó GB 44496), addig India egy kevésbé egységes, a kiberbiztonság szempontjából szervezetileg is széttagoltabb modellt valósít meg, és a gépjárművek kiberbiztonságára vonatkozó szabványok (AIS 189 és AIS 190) is még csak tervezet formájában léteznek. Dr. Bencsik András, habilitált egyetemi docens, az ELTE ÁJK Közigazgatási Jogi Tanszékének oktatója és Dr. Pribelszki János a brazíliai példát ismertették, ahol meglepő módon a személyes adatok védelmével kapcsolatban a GDPR tekinthető mintaadónak, a kiberbiztonsági szabványok és elvárások tekintetében azonban egyfajta átláthatatlanság jellemzi ezt a régiót.

Az előadások során visszatérő gondolat volt az, hogy jelenleg több a kérdés, mint a válasz a fentiekben felvázolt problémákra: mindenesetre a kiberbiztonsági kihívások velünk vannak és a jogalkotók törekednek ezek kezelésére.

A közös kutatás a 2021. évi Tématerületi Kiválósági Program Biztonságkritikus nemzeti szolgáltatások és ipari infrastruktúrák védelme című alprojektje keretében valósul meg és 2025. december 31. napjáig tart.

A thyssenkrupp budapesti E/E (elektromos és elektronikus) kompetenciaközpont több mint 1200 magasan képzett szoftver- és hardverfejlesztő mérnököt foglalkoztató, és a vállalaton belül is egyedülálló szervezetet magyar mérnökök ötletére alapozva 26 éve alapította a német vállalat. A thyssenkrupp a világ legnagyobb autógyárai számára Budapesten, Veszprémben és Szegeden fejlesztett „okos” elektromechanikus kormányszervói a legkülönfélébb, legújabb vezetéstámogató megoldásokat nyújtják, és alkalmasak a legmagasabb fokú önvezető rendszerekkel való együttműködésre. A thyssenkrupp a steer-by-wire (a mechanikus kapcsolatok helyett csupán elektronikus összeköttetést biztosító megoldás) rendszereken túl saját, az önvezető rendszereket támogató saját alkalmazások kifejlesztésével is foglalkozik, a vállalaton belül globálisan egyedülálló ún. „advanced development” (különleges fejlesztési) részleg pedig a távolabbi jövőbe előre tekintve ma még nem létező autóipari megoldásokat is kutat.  A központot saját szakterületén a világ legjobbjai között tartják számon.

A thyssenkrupp a fejlesztés mellett gyártással és összeszereléssel is foglalkozik hazánkban: Jászfényszarun elektromechanikus kormányszervókat, hengerfejbe integrált vezérműtengelyeket és más, elektromos autókban használt alkatrészeket is gyárt, Debrecenben stabilizátorokat és rugókat készít. Győrben futómű-összeszerelő üzemet működtet a vállalat. A thyssenkrupp mára hazánk 100 legnagyobb foglalkoztatója, illetve az 50 legnagyobb export értékesítésű vállalata közé tartozik. Jelenleg több mint 3000 munkatársa van Magyarországon, és az elmúlt 10 évben 150 milliárd forint beruházást hajtott végre az országban.

Az ELTE Informatikai Karán megvalósított Biztonságkritikus nemzeti szolgáltatások és ipari infrastruktúrák védelme kiberbiztonsági, technológiai és szabályozási eszközökkel című 4 éves kutatási projektben a kormányzati, a pénzügyi, az ipari és a szolgáltatási szektorok védelmét elősegítő informatikai alapú megoldások fejlesztésével, a digitális rendszerekre vonatkozó adatvédelmi, szabályozási és végrehajtási környezet vizsgálatával foglalkoznak.

thyssenkrupp/ELTE