42021X0387

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 42021X0387 - EN

Document 42021X0387

Help

Regolament Nru 155 tan-NU — Dispożizzjonijiet uniformi dwar l-approvazzjoni ta’ vetturi fir-rigward taċ-ċibersigurtà u s-sistema tal-ġestjoni taċ-ċibersigurtà [2021/387]

PUB/2020/798

ĠU L 82, 9.3.2021, p. 30–59 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2021/387/oj

HTML

PDF

Official Journal

9.3.2021

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 82/30

It-testi oriġinali tan-NU/KEE biss għandhom effett ġuridiku skont id-dritt internazzjonali pubbliku. L-istatus u d-data ta’ dħul fis-seħħ ta’ dan ir-Regolament jenħtieġ li jiġu ċċekkjati fl-aħħar verżjoni tad-dokument tal-istatus NU/KEE TRANS/WP.29/343 disponibbli fuq: http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html

Regolament Nru 155 tan-NU — Dispożizzjonijiet uniformi dwar l-approvazzjoni ta’ vetturi fir-rigward taċ-ċibersigurtà u s-sistema tal-ġestjoni taċ-ċibersigurtà [2021/387]

Data tad-dħul fis-seħħ: 22 ta’ Jannar 2021

Dan id-dokument sar bil-ħsieb li jintuża purament bħala għodda ta’ dokumentazzjoni. It-testi awtentiċi u legalment vinkolanti huma:

—	ECE/TRANS/WP.29/2020/79

—	ECE/TRANS/WP.29/2020/94 u

—	ECE/TRANS/WP.29/2020/97

KONTENUT

REGOLAMENT

Kamp ta’ applikazzjoni

Id-definizzjonijiet

Applikazzjoni għall-approvazzjoni

Markar

Approvazzjoni

Ċertifikat ta’ Konformità għas-Sistema tal-Ġestjoni taċ-Ċibersigurtà

Speċifikazzjonijiet

Modifika tat-tip ta' vettura u estensjoni tal-approvazzjoni tat-tip

Il-konformità tal-produzzjoni

10.

Penali għal nuqqas ta’ konformità tal-produzzjoni

11.

Produzzjoni mwaqqfa għalkollox

12.

Ismijiet u indirizzi tas-Servizzi Tekniċi responsabbli mit-twettiq tat-test tal-approvazzjoni u tal-Awtoritajiet tal-Approvazzjoni tat-Tip

ANNESSI

Dokument ta’ informazzjoni

Komunikazzjoni

L-arranġament tal-marka ta’ approvazzjoni

Mudell taċ-Ċertifikat ta’ Konformità għas-CSMS

Lista ta’ theddid u mitigazzjonijiet korrispondenti

1. KAMP TA’ APPLIKAZZJONI

1.1.

Dan ir-Regolament japplika għall-vetturi tal-Kategoriji M u N, fir-rigward taċ-ċibersigurtà.

Dan ir-Regolament japplika wkoll għall-vetturi tal-Kategorija O jekk ikunu mgħammra b’tal-inqas unità waħda ta’ kontroll elettroniku.

1.2.

Dan ir-Regolament japplika wkoll għall-vetturi tal-Kategoriji L6 u L7 jekk ikunu mgħammra b’funzjonalitajiet tas-sewqan awtomatizzati mil-livell 3 ’il quddiem, kif definit fid-“Dokument ta’ referenza b’definizzjonijiet ta’ Sewqan Awtomatizzat skont id-WP.29 u l-Prinċipji Ġenerali għall-iżvilupp ta’ Regolament tan-NU dwar vetturi awtomatizzati” (ECE/TRANS/WP.29/1140).

1.3.

Dan ir-Regolament huwa mingħajr preġudizzju għal Regolamenti tan-NU, leġiżlazzjonijiet reġjonali jew nazzjonali oħra li jirregolaw l-aċċess minn partijiet awtorizzati għall-vettura, id-data, il-funzjonijiet u r-riżorsi tagħha, u l-kundizzjonijiet ta’ tali aċċess. Huwa wkoll mingħajr preġudizzju għall-applikazzjoni tal-leġiżlazzjoni nazzjonali u reġjonali dwar il-privatezza u l-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar tad-data personali tagħhom.

1.4.

Dan ir-Regolament huwa mingħajr preġudizzju għal Regolamenti tan-NU, leġiżlazzjoni nazzjonali jew reġjonali oħra li jirregolaw l-iżvilupp u l-installazzjoni/l-integrazzjoni tas-sistema ta’ partijiet u komponenti ta’ rikambju, fiżiċi u diġitali, fir-rigward taċ-ċibersigurtà.

2. ID-DEFINIZZJONIJIET

Għall-finijiet ta’ dan ir-Regolament għandhom japplikaw id-definizzjonijiet li ġejjin:

2.1.

“Tip ta’ vettura” tfisser vetturi li mhumiex differenti f’minn tal-inqas l-aspetti essenzjali li ġejjin:

(a)	Id-deżinjazzjoni tal-manifattur tat-tip tal-vettura;

(b)	Aspetti essenzjali tal-arkitettura elettrika/elettronika u tal-interfaċċi esterni fir-rigward taċ-ċibersigurtà.

2.2.	“Ċibersigurtà” tfisser il-kundizzjoni li fiha l-vetturi tat-triq u l-funzjonijiet tagħhom ikunu protetti minn theddid ċibernetiku għal komponenti elettriċi jew elettroniċi.

2.3.

“Sistema tal-Ġestjoni taċ-Ċibersigurtà (CSMS)” tfisser approċċ sistematiku bbażat fuq ir-riskju li jiddefinixxi l-proċessi organizzazzjonali, ir-responsabbiltajiet u l-governanza biex jiġi ttrattat ir-riskju assoċjat mat-theddid ċibernetiku għall-vetturi u biex dawn il-vetturi jiġu protetti minn attakki ċibernetiċi.

2.4.	“Sistema” tfisser sett ta’ komponenti u/jew subsistemi li jimplimentaw funzjoni jew funzjonijiet.

2.5.	“Fażi ta’ żvilupp” tfisser il-perjodu qabel ma tip ta’ vettura jiġi approvat għat-tip.

2.6.	“Fażi tal-produzzjoni” tirreferi għad-durata tal-produzzjoni ta’ tip ta’ vettura.

2.7.

“Fażi ta’ wara l-produzzjoni” tirreferi għall-perjodu li fih tip ta’ vettura ma jibqax jiġi prodott sakemm ma jibqgħux jintużaw il-vetturi kollha skont it-tip tal-vettura. Il-vetturi li jinkorporaw tip speċifiku ta’ vettura se jkunu operattivi matul din il-fażi iżda mhux se jibqgħu jiġu prodotti. Il-fażi tintemm meta ma jkun għad hemm l-ebda vettura operattiva ta’ tip speċifiku ta’ vettura.

2.8.	“Mitigazzjoni” tfisser miżura li qed tnaqqas ir-riskju.

2.9.	“Riskju” tfisser il-potenzjal li theddida partikolari tisfrutta l-vulnerabbiltajiet ta’ vettura u b’hekk tikkawża ħsara lill-organizzazzjoni jew lil individwu.

2.10.

“Valutazzjoni tar-Riskju” tfisser il-proċess globali tas-sejbien, tar-rikonoxximent u tad-deskrizzjoni tar-riskji (l-identifikazzjoni tar-riskju), biex tinftiehem in-natura tar-riskju u biex jiġi ddeterminat il-livell tar-riskju (analiżi tar-riskju), u tat-tqabbil tar-riżultati tal-analiżi tar-riskju mal-kriterji tar-riskju biex jiġi ddeterminat jekk ir-riskju u/jew id-daqs tiegħu huwiex aċċettabbli jew tollerabbli (evalwazzjoni tar-riskju).

2.11.

“Ġestjoni tar-Riskju” tfisser attivitajiet ikkoordinati biex jidderieġu u jikkontrollaw organizzazzjoni fir-rigward tar-riskju.

2.12.

“Theddida” tfisser kawża potenzjali ta’ inċident mhux mixtieq, li jista’ jirriżulta fi ħsara lil sistema, organizzazzjoni jew individwu.

2.13.

“Vulnerabbiltà” tfisser dgħufija ta’ kwalunkwe assi jew mitigazzjoni natura li tista’ tiġi sfruttata minn theddida waħda jew aktar.

3. APPLIKAZZJONI GĦALL-APPROVAZZJONI

3.1.

L-applikazzjoni għall-approvazzjoni ta’ tip ta’ vettura fir-rigward taċ-ċibersigurtà għandha titressaq mill-manifattur tal-vettura jew mir-rappreżentant tiegħu li jkun akkreditat kif xieraq.

3.2.

Għandha tkun akkumpanjata mid-dokumenti msemmija hawn taħt, fi tliet kopji, u mid-dettalji li ġejjin:

3.2.1.

Deskrizzjoni tat-tip ta’ vettura fir-rigward tal-punti msemmija fl-Anness 1 ta’ dan ir-Regolament.

3.2.2.

F’każijiet fejn jintwera li l-informazzjoni hija koperta minn drittijiet ta’ proprjetà intellettwali jew tikkostitwixxi għarfien espert speċifiku tal-manifattur jew tal-fornituri tiegħu, il-manifattur jew il-fornituri tiegħu għandhom jagħmlu disponibbli biżżejjed informazzjoni biex il-kontrolli msemmija f’dan ir-Regolament ikunu jistgħu jsiru kif suppost. Informazzjoni bħal din għandha tiġi ttrattata fuq bażi kunfidenzjali.

3.2.3.

Iċ-Ċertifikat ta’ Konformità għas-CSMS skont il-paragrafu 6 ta’ dan ir-Regolament.

3.3.

Id-dokumentazzjoni għandha tkun disponibbli f’żewġ partijiet:

(a)

Il-pakkett ta’ dokumentazzjoni formali għall-approvazzjoni, li fih il-materjal speċifikat fl-Anness 1 li għandu jiġi pprovdut lill-Awtorità tal-Approvazzjoni jew lis-Servizz Tekniku tagħha fil-mument tal-preżentazzjoni tal-applikazzjoni għall-approvazzjoni tat-tip. Dan il-pakkett ta’ dokumentazzjoni għandu jintuża mill-Awtorità tal-Approvazzjoni jew mis-Servizz Tekniku tagħha bħala r-referenza bażika għall-proċess tal-approvazzjoni. L-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku tagħha għandhom jiżguraw li dan il-pakkett ta’ dokumentazzjoni jibqa’ disponibbli għal mill-inqas 10 snin li jibdew jgħoddu miż-żmien meta l-produzzjoni tat-tip ta’ vettura titwaqqaf għalkollox.

(b)

Materjal addizzjonali rilevanti għar-rekwiżiti ta’ dan ir-regolament jista’ jinżamm mill-manifattur iżda jkun disponibbli għal spezzjoni fil-mument tal-approvazzjoni tat-tip. Il-manifattur għandu jiżgura li kwalunkwe materjal li jkun disponibbli għal spezzjoni fil-mument tal-approvazzjoni tat-tip jibqa’ disponibbli għal perjodu ta’ mill-inqas 10 snin li jibdew jgħoddu miż-żmien meta l-produzzjoni tat-tip tal-vettura titwaqqaf għalkollox.

4. MARKA

4.1.

Ma’ kull vettura li tikkonforma ma’ tip ta’ vettura approvat skont dan ir-Regolament, b’mod li jolqot l-għajn u f’post faċilment aċċessibbli kif speċifikat fil-formola tal-approvazzjoni, għandha titwaħħal marka tal-approvazzjoni internazzjonali magħmula minn:

4.1.1.

Ċirku madwar l-Ittra “E” segwit bin-numru li jiddistingwi l-pajjiż li jkun ta l-approvazzjoni.

4.1.2.

In-numru ta’ dan ir-Regolament, segwit bl-ittra “R”, sing u n-numru tal-approvazzjoni fuq il-lemin taċ-ċirku preskritt fil-paragrafu 4.1.1 ta’ hawn fuq.

4.2.

Jekk il-vettura tikkonforma ma’ tip ta’ vettura approvat skont Regolament wieħed ieħor jew aktar anness(i) mal-Ftehim fil-pajjiż li jkun ħareġ l-approvazzjoni skont dan ir-Regolament, is-simbolu preskritt fil-paragrafu 4.1.1 ta’ hawn fuq m’hemmx għalfejn jiġi ripetut; f’dak il-każ, in-numri tar-Regolament u tal-approvazzjoni flimkien mas-simboli addizzjonali tar-Regolamenti kollha li skonthom ingħatat l-approvazzjoni skont dan ir-Regolament għandhom jitqiegħdu f’kolonni vertikali fuq in-naħa tal-lemin tas-simbolu preskritt fil-paragrafu 4.1.1 ta’ hawn fuq.

4.3.

Il-marka tal-approvazzjoni għandha tkun tinqara b’mod ċar u ma tkunx tista’ titħassar.

4.4.

Il-marka tal-approvazzjoni għandha titqiegħed fuq jew qrib tal-plakka li turi d-data dwar il-vettura mwaħħla mill-Manifattur.

4.5.

Anness 3 ta’ dan ir-Regolament jagħti eżempji tal-arranġamenti tal-marka tal-approvazzjoni.

5. APPROVAZZJONI

5.1.

L-Awtoritajiet tal-Approvazzjoni għandhom jagħtu, kif xieraq, l-approvazzjoni tat-tip fir-rigward taċ-ċibersigurtà, unikament lil dawk it-tipi ta’ vetturi li jissodisfaw ir-rekwiżiti ta’ dan ir-Regolament.

5.1.1.

L-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku għandhom jivverifikaw permezz ta’ verifiki tad-dokumenti li l-manifattur tal-vettura ħa l-miżuri meħtieġa rilevanti għat-tip ta’ vettura biex:

(a)	Jiġbor u jivverifika l-informazzjoni meħtieġa skont dan ir-Regolament permezz tal-katina tal-provvista sabiex juri li r-riskji relatati mal-fornitur huma identifikati u ġestiti;

(b)	Jiddokumenta l-valutazzjoni tar-riskji (imwettqa matul il-fażi tal-iżvilupp jew b’mod retrospettiv), ir-riżultati tat-testijiet u l-mitigazzjonijiet applikati għat-tip ta’ vettura, inkluża l-informazzjoni tad-disinn li tappoġġja l-valutazzjoni tar-riskju;

(c)	Jimplimenta miżuri xierqa ta’ ċibersigurtà fid-disinn tat-tip ta’ vettura;

(d)	Jidentifika u jirreaġixxi għal attakki possibbli għaċ-ċibersigurtà;

(e)	Jirreġistra data biex tiġi appoġġjata d-detezzjoni ta’ attakki ċibernetiċi u jipprovdi kapaċità forensika tad-data biex tkun tista’ ssir analiżi tal-attentati ta’ attakki ċibernetiċi jew ta’ attakki ċibernetiċi li rnexxew.

5.1.2.

L-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku għandhom iwettqu verifiki billi jittestjaw vettura tat-tip ta’ vettura biex jivverifikaw li l-manifattur tal-vettura jkun implimenta l-miżuri taċ-ċibersigurtà li jkun iddokumenta. It-testijiet għandhom jitwettqu mill-Awtorità tal-Approvazzjoni jew mis-Servizz Tekniku nnifsu jew f’kollaborazzjoni mal-manifattur tal-vettura permezz ta’ kampjunar. Il-kampjunar għandu jkun iffukat iżda mhux limitat għal riskji li huma vvalutati bħala għoljin matul il-valutazzjoni tar-riskju.

5.1.3.

L-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku għandhom jirrifjutaw li jagħtu l-approvazzjoni tat-tip fir-rigward taċ-ċibersigurtà meta l-manifattur tal-vettura ma jkunx issodisfa wieħed jew aktar mir-rekwiżiti msemmija fil-paragrafu 7.3, b’mod partikolari:

(a)	Il-manifattur tal-vettura ma wettaqx il-valutazzjoni tar-riskju eżawrjenti msemmija fil-paragrafu 7.3.3; inkluż fejn il-manifattur ma kkunsidrax ir-riskji kollha relatati mat-theddid imsemmi fl-Anness 5, il-Parti A;

(b)	Il-manifattur tal-vettura ma ħarisx it-tip ta’ vettura mir-riskji identifikati fil-valutazzjoni tar-riskju tal-manifattur tal-vettura jew ma ġewx implimentati mitigazzjonijiet proporzjonati kif meħtieġ mill-paragrafu 7;

(c)	Il-manifattur tal-vettura ma implimentax miżuri xierqa u proporzjonati biex jiżgura ambjenti dedikati fuq it-tip ta’ vettura (jekk ikunu pprovduti) għall-ħżin u l-eżekuzzjoni ta’ software, servizzi, applikazzjonijiet jew data tas-suq ta’ wara l-bejgħ;

(d)	Il-manifattur tal-vettura ma wettaqx, qabel l-approvazzjoni, ittestjar xieraq u suffiċjenti biex jivverifika l-effettività tal-miżuri ta’ sigurtà implimentati.

5.1.4.

L-Awtorità tal-Approvazzjoni li tkun qed twettaq valutazzjoni għandha tirrifjuta wkoll li tagħti l-approvazzjoni tat-tip fir-rigward taċ-ċibersigurtà meta l-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku ma jkunux irċevew biżżejjed informazzjoni mingħand il-manifattur tal-vettura biex jivvalutaw iċ-ċibersigurtà tat-tip ta’ vettura.

5.2.

L-avviż tal-approvazzjoni jew tal-estensjoni jew tar-rifjut tal-approvazzjoni ta’ tip ta’ vettura skont dan ir-Regolament għandu jiġi kkomunikat lill-Partijiet għall-Ftehim tal-1958 li japplikaw dan ir-Regolament, permezz ta’ formola li tkun konformi mal-mudell fl-Anness 2 ta’ dan ir-Regolament.

5.3.

L-Awtoritajiet tal-Approvazzjoni ma għandhom jagħtu l-ebda approvazzjoni tat-tip mingħajr ma jivverifikaw li l-manifattur ikun implimenta arranġamenti u proċeduri sodisfaċenti għall-ġestjoni adegwata tal-aspetti taċ-ċibersigurtà kif koperti minn dan ir-Regolament.

5.3.1.

L-Awtorità tal-Approvazzjoni u s-Servizzi Tekniċi tagħha għandhom jiżguraw, minbarra l-kriterji stabbiliti fl-Iskeda 2 tal-Ftehim tal-1958 li għandhom:

(a)	Persunal kompetenti b’ħiliet xierqa dwar iċ-ċibersigurtà u għarfien speċifiku dwar il-valutazzjonijiet tar-riskju awtomobilistiku (1);

(b)	Proċeduri implimentati għall-evalwazzjoni uniformi skont dan ir-Regolament.

5.3.2.

Kull Parti Kontraenti li tapplika dan ir-Regolament għandha tinnotifika u tinforma, permezz tal-Awtorità tal-Approvazzjoni tagħha lil Awtoritajiet tal-Approvazzjoni oħra tal-Partijiet Kontraenti li japplikaw dan ir-Regolament tan-NU dwar il-metodu u l-kriterji meħuda bħala bażi mill-Awtorità ta’ notifika biex tivvaluta l-adegwatezza tal-miżuri meħuda f’konformità ma’ dan ir-Regolament u b’mod partikolari mal-paragrafi 5.1, 7.2 u 7.3.

Din l-informazzjoni għandha tiġi kondiviża (a) biss qabel ma tingħata approvazzjoni skont dan ir-Regolament għall-ewwel darba u (b) kull darba li l-metodu jew il-kriterji għall-valutazzjoni jiġu aġġornati.

Din l-informazzjoni hija maħsuba biex tiġi kondiviża għall-finijiet ta’ ġbir u analiżi tal-aħjar prattiki u bil-ħsieb li tiġi żgurata l-applikazzjoni konverġenti ta’ dan ir-Regolament mill-Awtoritajiet tal-Approvazzjoni kollha li japplikaw dan ir-Regolament.

5.3.3.

L-informazzjoni msemmija fil-paragrafu 5.3.2 għandha tittella’ bl-Ingliż fil-bażi tad-data sigura “DETA” fuq l-internet, (2) stabbilita mill-Kummissjoni Ekonomika għall-Ewropa tan-Nazzjonijiet Uniti, fi żmien xieraq u mhux aktar tard minn 14-il jum qabel ma tingħata approvazzjoni għall-ewwel darba skont il-metodi u l-kriterji ta’ valutazzjoni kkonċernati. L-informazzjoni għandha tkun biżżejjed biex wieħed jifhem liema livelli minimi ta’ prestazzjoni adottat l-Awtorità tal-Approvazzjoni għal kull rekwiżit speċifiku msemmi fil-paragrafu 5.3.2 kif ukoll il-proċessi u l-miżuri li tapplika biex tivverifika li dawn il-livelli minimi ta’ prestazzjoni huma ssodisfati (3).

5.3.4.

L-Awtoritajiet tal-Approvazzjoni li jirċievu l-informazzjoni msemmija fil-paragrafu 5.3.2 jistgħu jressqu kummenti lill-Awtorità tal-Approvazzjoni notifikanti billi jtellgħuhom fid-DETA fi żmien 14-il jum wara l-jum tan-notifika.

5.3.5.

Jekk ma jkunx possibbli li l-Awtorità tal-Approvazzjoni tal-għoti tqis il-kummenti li tirċievi skont il-paragrafu 5.3.4, l-Awtoritajiet tal-Approvazzjoni li jkunu bagħtu l-kummenti u l-Awtorità tal-Approvazzjoni tal-għoti għandhom ifittxu kjarifika ulterjuri skont l-Iskeda 6 tal-Ftehim tal-1958. Il-Grupp ta’ Ħidma (4) sussidjarju rilevanti tal-Forum Dinji għall-Armonizzazzjoni tar-Regolamenti tal-Vetturi (WP.29) għal dan ir-Regolament għandu jaqbel dwar interpretazzjoni komuni tal-metodi u l-kriterji ta’ valutazzjoni (5). Dik l-interpretazzjoni komuni għandha tiġi implimentata u l-Awtoritajiet tal-Approvazzjoni kollha għandhom joħorġu approvazzjonijiet tat-tip skont dan ir-Regolament.

5.3.6.

Kull Awtorità tal-Approvazzjoni li tagħti approvazzjoni tat-tip skont dan ir-Regolament għandha tinnotifika lill-Awtoritajiet tal-Approvazzjoni l-oħra dwar l-approvazzjoni mogħtija. L-approvazzjoni tat-tip flimkien mad-dokumentazzjoni supplimentari għandhom jittellgħu bl-Ingliż mill-Awtorità tal-Approvazzjoni fi żmien 14-il jum wara l-jum li fih tingħata l-approvazzjoni lid-DETA (6).

5.3.7.

Il-Partijiet Kontraenti jistgħu jistudjaw l-approvazzjonijiet mogħtija abbażi tal-informazzjoni mtella’ skont il-paragrafu 5.3.6. F’każ ta’ opinjonijiet diverġenti bejn il-Partijiet Kontraenti dan għandu jiġi solvut skont l-Artikolu 10 u l-Iskeda 6 tal-Ftehim tal-1958. Il-Partijiet Kontraenti għandhom jinfurmaw ukoll lill-Grupp ta’ Ħidma sussidjarju rilevanti tal-Forum Dinji għall-Armonizzazzjoni tar-Regolamenti tal-Vetturi (WP.29) bl-interpretazzjonijiet diverġenti skont it-tifsira tal-Iskeda 6 tal-Ftehim tal-1958. Il-Grupp ta’ Ħidma rilevanti għandu jappoġġja s-soluzzjoni għall-fehmiet diverġenti u jista’ jikkonsulta mad-WP.29 dwar dan jekk ikun meħtieġ

5.4.

Għall-finijiet tal-paragrafu 7.2 ta’ dan ir-Regolament, il-manifattur għandu jiżgura li l-aspetti taċ-ċibersigurtà koperti minn dan ir-Regolament jiġu implimentati.

6. ĊERTIFIKAT TA’ KONFORMITÀ GĦAS-SISTEMA TAL-ĠESTJONI TAĊ-ĊIBERSIGURTÀ

6.1.

Il-Partijiet Kontraenti għandhom jaħtru Awtorità tal-Approvazzjoni biex twettaq il-valutazzjoni tal-manifattur u biex toħroġ Ċertifikat ta’ Konformità għas-CSMS.

6.2.

L-applikazzjoni għal Ċertifikat ta’ Konformità għas-Sistema tal-Ġestjoni taċ-Ċibersigurtà għandha titressaq mill-manifattur tal-vettura jew mir-rappreżentant tiegħu li jkun akkreditat kif xieraq.

6.3.

Għandha tkun akkumpanjata mid-dokumenti msemmija hawn ’l isfel, fi tliet kopji, u bid-dettall li ġej:

6.3.1.

Dokumenti li jiddeskrivu s-Sistema tal-Ġestjoni taċ-Ċibersigurtà.

6.3.2.

Dikjarazzjoni ffirmata bl-użu tal-mudell kif definit fl-Appendiċi 1 tal-Anness 1.

6.4.

Fil-kuntest tal-valutazzjoni, il-manifattur għandu jiddikjara billi juża l-mudell kif definit fl-Appendiċi 1 tal-Anness 1 u juri għas-sodisfazzjon tal-Awtorità tal-Approvazzjoni jew tas-Servizz Tekniku tagħha li huwa għandu l-proċessi meħtieġa biex jikkonforma mar-rekwiżiti kollha għaċ-ċibersigurtà skont dan ir-Regolament.

6.5.

Meta din il-valutazzjoni tkun tlestiet b’mod sodisfaċenti u tkun irċeviet dikjarazzjoni ffirmata mill-manifattur skont il-mudell kif definit fl-Appendiċi 1 tal-Anness 1, għandu jingħata ċertifikat imsemmi Ċertifikat ta’ Konformità għas-CSMS kif deskritt fl-Anness 4 ta’ dan ir-Regolament (minn hawn’ il quddiem iċ-Ċertifikat ta’ Konformità għas-CSMS) lill-manifattur.

6.6.

L-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku tagħha għandhom jużaw il-mudell stabbilit fl-Anness 4 ta’ dan ir-Regolament għaċ-Ċertifikat ta’ Konformità għas-CSMS .

6.7.

Iċ-Ċertifikat ta’ Konformità għas-CSMS għandu jibqa’ validu għal massimu ta’ tliet snin mid-data tal-ħruġ taċ-ċertifikat sakemm ma jiġix irtirat.

6.8.

L-Awtorità tal-Approvazzjoni li tkun tat iċ-Ċertifikat ta’ Konformità għas-CSMS tista’ fi kwalunkwe ħin tivverifika li r-rekwiżiti għalih ikomplu jiġu ssodisfati. L-Awtorità tal-Approvazzjoni għandha tirtira ċ-Ċertifikat ta’ Konformità għas-CSMS jekk ir-rekwiżiti stabbiliti f’dan ir-Regolament ma jibqgħux jiġu ssodisfati.

6.9.

Il-manifattur għandu jinforma lill-Awtorità tal-Approvazzjoni jew lis-Servizz Tekniku tagħha bi kwalunkwe bidla li se taffettwa r-rilevanza taċ-Ċertifikat ta’ Konformità għas-CSMS. Wara konsultazzjoni mal-manifattur, l-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku tagħha għandhom jiddeċiedu jekk humiex meħtieġa verifiki ġodda.

6.10.

Fi żmien debitu, li jippermetti lill-Awtorità tal-Approvazzjoni tlesti l-valutazzjoni tagħha qabel tmiem il-perjodu ta’ validità taċ-Ċertifikat ta’ Konformità għas-CSMS, il-manifattur għandu japplika għal Ċertifikat ta’ Konformità ġdid jew għall-estensjoni taċ-Ċertifikat ta’ Konformità eżistenti għas-CSMS. L-Awtorità tal-Approvazzjoni għandha, soġġett għal valutazzjoni pożittiva, toħroġ Ċertifikat ta’ Konformità ġdid għas-CSMS jew testendi l-validità tiegħu għal perjodu ulterjuri ta’ tliet snin. L-Awtorità tal-Approvazzjoni għandha tivverifika li s-CSMS tkompli tikkonforma mar-rekwiżiti ta’ dan ir-Regolament. L-Awtorità tal-Approvazzjoni għandha toħroġ ċertifikat ġdid f’każijiet fejn il-bidliet ikunu nġiebu għall-attenzjoni tal-Awtorità tal-Approvazzjoni jew tas-Servizz Tekniku tagħha u l-bidliet ikunu ġew ivvalutati mill-ġdid b’mod pożittiv.

6.11.

L-iskadenza jew l-irtirar taċ-Ċertifikat ta’ Konformità għas-CSMS tal-manifattur għandhom jiġu kkunsidrati, fir-rigward tat-tipi ta’ vetturi li għalihom is-CSMS ikkonċernata kienet rilevanti, bħala modifika tal-approvazzjoni, kif imsemmi fil-paragrafu 8, li tista’ tinkludi l-irtirar tal-approvazzjoni jekk il-kundizzjonijiet għall-għoti tal-approvazzjoni ma jibqgħux jiġu ssodisfati.

7. SPEĊIFIKAZZJONIJIET

7.1.

Speċifikazzjonijiet ġenerali

7.1.1.

Ir-rekwiżiti ta’ dan ir-Regolament ma għandhomx jirrestrinġu d-dispożizzjonijiet jew ir-rekwiżiti ta’ Regolamenti oħra tan-NU.

7.2.

Rekwiżiti għas-Sistema tal-Ġestjoni taċ-Ċibersigurtà

7.2.1.

Għall-valutazzjoni, l-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku tagħha għandhom jivverifikaw li l-manifattur tal-vettura għandu stabbilita Sistema tal-Ġestjoni taċ-Ċibersigurtà u għandhom jivverifikaw il-konformità tagħha ma’ dan ir-Regolament.

7.2.2.

Is-Sistema tal-Ġestjoni taċ-Ċibersigurtà għandha tkopri l-aspetti li ġejjin:

7.2.2.1.

Il-manifattur tal-vettura għandu juri lill-Awtorità tal-Approvazzjoni jew lis-Servizz Tekniku li s-Sistema tal-Ġestjoni taċ-Ċibersigurtà tagħhom tapplika għall-fażijiet li ġejjin:

(a)	Fażi tal-iżvilupp;

(b)	Fażi tal-produzzjoni;

(c)	Fażi ta’ wara l-produzzjoni.

7.2.2.2.

Il-manifattur tal-vettura għandu juri li l-proċessi użati fis-Sistema tal-Ġestjoni taċ-Ċibersigurtà tiegħu jiżguraw li s-sigurtà titqies b’mod adegwat, inkluż ir-riskji u l-mitigazzjonijiet elenkati fl-Anness 5. Dan għandu jinkludi:

(a)	Il-proċessi użati fl-organizzazzjoni tal-manifattur għall-ġestjoni taċ-ċibersigurtà;

(b)	Il-proċessi użati għall-identifikazzjoni tar-riskji għat-tipi ta’ vetturi. Fi ħdan dawn il-proċessi, it-theddid fl-Anness 5, Parti A, u theddid rilevanti ieħor għandhom jiġu kkunsidrati;

(c)	Il-proċessi użati għall-valutazzjoni, il-kategorizzazzjoni u t-trattament tar-riskji identifikati;

(d)	Il-proċessi stabbiliti biex jiġi vverifikat li r-riskji identifikati huma ġestiti b’mod xieraq;

(e)	Il-proċessi użati għall-ittestjar taċ-ċibersigurtà ta’ tip ta’ vettura;

(f)	Il-proċessi użati biex jiġi żgurat li l-valutazzjoni tar-riskju tinżamm attwali;

(g)

Il-proċessi użati għall-monitoraġġ, l-identifikazzjoni ta’ attakki ċibernetiċi , tat-theddid ċibernetiku u ta' vulnerabbiltajiet fuq tipi ta’ vetturi u r-rispons għalihom, kif ukoll il-proċessi użati biex jiġi vvalutat jekk il-miżuri taċ-ċibersigurtà implimentati għadhomx effettivi fid-dawl ta’ theddid u vulnerabbiltajiet ċibernetiċi ġodda li ġew identifikati.

(h)	Il-proċessi użati biex tiġi pprovduta data rilevanti għall-appoġġ tal-analiżi ta’ attentati ta’ attakki ċibernetiċi jew ta’ attakki ċibernetiċi li rnexxew.

7.2.2.3.

Il-manifattur tal-vettura għandu juri li l-proċessi użati fis-Sistema tal-Ġestjoni taċ-Ċibersigurtà tiegħu se jiżguraw li, abbażi tal-kategorizzazzjoni msemmija fil-paragrafu 7.2.2.2(c) u 7.2.2.2(g), it-theddid ċibernetiku u l-vulnerabbiltajiet li jirrikjedu rispons mill-manifattur tal-vettura jittaffew f’perjodu ta’ żmien raġonevoli.

7.2.2.4.

Il-manifattur tal-vettura għandu juri li l-proċessi użati fis-Sistema tal-Ġestjoni taċ-Ċibersigurtà tiegħu se jiżguraw li l-monitoraġġ imsemmi fil-paragrafu 7.2.2.2(g) jkun kontinwu. Dan għandu:

(a)	Jinkludi fil-monitoraġġ il-vetturi wara l-ewwel reġistrazzjoni;

(b)

Jinkludi l-kapaċità li jiġu analizzati u identifikati t-theddid ċibernetiku, il-vulnerabbiltajiet u l-attakki ċibernetiċi minn data dwar il-vetturi u reġistri tal-vetturi. Din il-kapaċità għandha tirrispetta l-paragrafu 1.3 u d-drittijiet tal-privatezza tas-sidien jew tas-sewwieqa tal-karozzi, b’mod partikolari fir-rigward tal-kunsens.

7.2.2.5.

Il-manifattur tal-vettura għandu jkun meħtieġ juri kif is-Sistema tal-Ġestjoni taċ-Ċibersigurtà tiegħu se timmaniġġja d-dipendenzi li jistgħu jeżistu ma’ fornituri, fornituri ta’ servizzi jew suborganizzazzjonijiet tal-manifattur b’kuntratt, fir-rigward tar-rekwiżiti tal-paragrafu 7.2.2.2.

7.3.

Rekwiżiti għat-tipi ta’ vetturi

7.3.1.

Il-manifattur għandu jkollu Ċertifikat ta’ Konformità validu għas-Sistema tal-Ġestjoni taċ-Ċibersigurtà rilevanti għat-tip ta’ vettura li tkun qed tiġi approvata.

Madankollu, għall-approvazzjonijiet tat-tip qabel l-1 ta’ Lulju 2024, jekk il-manifattur tal-vettura jista’ juri li t-tip ta’ vettura ma setax jiġi żviluppat f’konformità mas-CSMS, il-manifattur tal-vettura għandu juri li ċ-ċibersigurtà ġiet ikkunsidrata b’mod adegwat matul il-fażi tal-iżvilupp tat-tip ta’ vettura kkonċernat.

7.3.2.

Il-manifattur tal-vettura għandu jidentifika u jimmaniġġja, għat-tip ta’ vettura li jkun qed jiġi approvat, ir-riskji relatati mal-fornitur.

7.3.3.

Il-manifattur tal-vettura għandu jidentifika l-elementi kritiċi tat-tip ta’ vettura u jwettaq valutazzjoni tar-riskju eżawrjenti għat-tip ta’ vettura u għandu jittratta/jimmaniġġja r-riskji identifikati b’mod xieraq. Il-valutazzjoni tar-riskju għandha tqis l-elementi individwali tat-tip ta’ vettura u l-interazzjonijiet tagħhom. Il-valutazzjoni tar-riskju għandha tqis ukoll l-interazzjonijiet ma’ kwalunkwe sistema esterna. Waqt il-valutazzjoni tar-riskji, il-manifattur tal-vettura għandu jqis ir-riskji relatati mat-theddid kollu msemmi fl-Anness 5, il-Parti A, kif ukoll kwalunkwe riskju rilevanti ieħor.

7.3.4.

Il-manifattur tal-vettura għandu jipproteġi t-tip ta’ vettura mir-riskji identifikati fil-valutazzjoni tar-riskju tal-manifattur tal-vettura. Għandhom jiġu implimentati mitigazzjonijiet proporzjonati biex jiġi protett it-tip ta’ vettura. Il-mitigazzjonijiet implimentati għandhom jinkludu l-mitigazzjonijiet kollha msemmija fl-Anness 5, il-Parti B u C li huma rilevanti għar-riskji identifikati. Madankollu, jekk mitigazzjoni msemmija fl-Anness 5, Parti B jew C, ma tkunx rilevanti jew ma tkunx biżżejjed għar-riskju identifikat, il-manifattur tal-vettura għandu jiżgura li tiġi implimentata mitigazzjoni xierqa oħra.

B’mod partikolari, għall-approvazzjonijiet tat-tip qabel l-1 ta’ Lulju 2024, il-manifattur tal-vettura għandu jiżgura li tiġi implimentata mitigazzjoni xierqa oħra jekk miżura ta’ mitigazzjoni msemmija fl-Anness 5, Parti B jew C ma tkunx teknikament fattibbli. Il-valutazzjoni rispettiva tal-fattibbiltà teknika għandha tiġi pprovduta mill-manifattur lill-awtorità tal-approvazzjoni.

7.3.5.

Il-manifattur tal-vettura għandu jimplimenta miżuri xierqa u proporzjonati biex jiġu żgurati ambjenti ddedikati fuq it-tip ta’ vettura (jekk ikunu pprovduti) għall-ħżin u l-eżekuzzjoni ta’ software, servizzi, applikazzjonijiet jew data tas-suq ta’ wara l-bejgħ.

7.3.6.

Il-manifattur tal-vettura għandu jwettaq, qabel l-approvazzjoni tat-tip, ittestjar xieraq u suffiċjenti biex jivverifika l-effettività tal-miżuri ta’ sigurtà implimentati.

7.3.7.

Il-manifattur tal-vettura għandu jimplimenta miżuri għat-tip ta’ vettura biex:

(a)	Jidentifika u jipprevjeni attakki ċibernetiċi fuq vetturi tat-tip ta’ vettura;

(b)	Jappoġġja l-kapaċità ta’ monitoraġġ tal-manifattur tal-vettura fir-rigward tal-identifikazzjoni ta’ theddid, il-vulnerabbiltajiet u attakki ċibernetiċi rilevanti għat-tip ta’ vettura;

(c)	Jipprovdi l-kapaċità forensika tad-data biex tkun tista’ ssir analiżi ta’ attentati ta’ attakki ċibernetiċi jew ta’ attakki ċibernetiċi li rnexxew.

7.3.8.

Il-moduli kriptografiċi użati għall-fini ta’ dan ir-Regolament għandhom ikunu konformi mal-istandards ta’ kunsens. Jekk il-moduli kriptografiċi użati ma jkunux konformi mal-istandards ta’ kunsens, il-manifattur tal-vettura għandu jiġġustifika l-użu tagħhom.

7.4.

Dispożizzjonijiet dwar ir-rapportar

7.4.1.

Il-manifattur tal-vettura għandu jirrapporta mill-inqas darba fis-sena, jew b’mod aktar frekwenti jekk rilevanti, lill-Awtorità tal-Approvazzjoni jew lis-Servizz Tekniku l-eżitu tal-attivitajiet ta’ monitoraġġ tiegħu, kif definit fil-paragrafu 7.2.2.2(g), dan għandu jinkludi informazzjoni rilevanti dwar attakki ċibernetiċi ġodda. Il-manifattur ta’ vettura għandu jirrapporta u jikkonferma wkoll lill-Awtorità tal-Approvazzjoni jew lis-Servizz Tekniku li l-mitigazzjonijiet taċ-ċibersigurtà implimentati għat-tipi ta’ vetturi tagħhom għadhom effettivi u li ttieħdet kwalunkwe azzjoni addizzjonali.

7.4.2.

L-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku għandhom jivverifikaw l-informazzjoni pprovduta u, jekk ikun meħtieġ, jirrikjedu lill-manifattur tal-vettura biex jirrimedja kwalunkwe ineffettività identifikata.

Jekk ir-rapportar jew it-tweġiba ma jkunux biżżejjed, l-Awtorità tal-Approvazzjoni tista’ tiddeċiedi li tirtira s-CSMS f’konformità mal-paragrafu 6.8.

8. MODIFIKA TAT-TIP TA' VETTURA U ESTENSJONI TAL-APPROVAZZJONI TAT-TIP

8.1.

Kull modifika tat-tip ta’ vettura li taffettwa l-prestazzjoni teknika tagħha fir-rigward taċ-ċibersigurtà u/jew id-dokumentazzjoni meħtieġa f’dan ir-Regolament għandha tiġi nnotifikata lill-awtorità tal-approvazzjoni li tkun approvat it-tip ta’ vettura. L-Awtorità tal-Approvazzjoni mbagħad tista’ jew:

8.1.1.

Tqis li l-modifiki li saru għadhom konformi mar-rekwiżiti u d-dokumentazzjoni tal-approvazzjoni tat-tip eżistenti; jew

8.1.2.

Tipproċedi għal valutazzjoni komplementari meħtieġa skont il-paragrafu 5, u tirrikjedi, fejn rilevanti, rapport tat-test ulterjuri mis-Servizz Tekniku responsabbli mit-twettiq tat-testijiet.

8.1.3.

Il-konferma jew l-estensjoni jew ir-rifjut tal-approvazzjoni, fejn jiġu speċifikati l-bidliet, għandhom jiġi kkomunikati permezz ta’ formola ta’ komunikazzjoni konformi mal-mudell fl-Anness 2 ta’ dan ir-Regolament. L-Awtorità tal-Approvazzjoni li toħroġ l-estensjoni tal-approvazzjoni għandha tassenja numru tas-serje għal tali estensjoni u għandha tinforma b’dan lill-Partijiet l-oħrajn għall-Ftehim tal-1958 li japplikaw dan ir-Regolament permezz ta’ formola ta’ komunikazzjoni li tkun konformi mal-mudell fl-Anness 2 ta’ dan ir-Regolament.

9. IL-KONFORMITÀ TAL-PRODUZZJONI

9.1.

Il-Proċeduri tal-Konformità tal-Produzzjoni għandhom ikunu konformi ma’ dawk stabbiliti fl-Iskeda 1 għall-Ftehim tal-1958, (E/ECE/TRANS/505/Rev.3), bir-rekwiżiti li ġejjin:

9.1.1.

Id-detentur tal-approvazzjoni għandu jiżgura li r-riżultati tat-testijiet għall-konformità tal-produzzjoni huma rreġistrati u li d-dokumenti annessi jibqgħu disponibbli għal perjodu ddeterminat fi ftehim mal-Awtorità tal-Approvazzjoni jew is-Servizz Tekniku tagħha. Dan il-perjodu ma għandux jaqbeż l-10 snin li jibdew jgħoddu miż-żmien meta l-produzzjoni titwaqqaf għalkollox;

9.1.2.

L-Awtorità tal-Approvazzjoni li tkun tat l-approvazzjoni tat-tip tista’ fi kwalunkwe ħin tivverifika l-metodi għall-kontroll tal-konformità applikati f’kull faċilità tal-produzzjoni. Il-frekwenza normali ta’ dawn il-verifiki għandha tkun ta’ darba kull tliet snin.

10. PENALI GĦAL NUQQAS TA’ KONFORMITÀ TAL-PRODUZZJONI

10.1.

L-approvazzjoni mogħtija fir-rigward ta’ tip ta’ vettura skont dan ir-Regolament tista’ tiġi rtirata jekk ma jkunx hemm konformità mar-rekwiżiti stabbiliti f’dan ir-Regolament jew jekk il-vetturi tal-kampjun jonqsu milli jkunu konformi mar-rekwiżiti ta’ dan ir-Regolament.

10.2.

Jekk Awtorità tal-Approvazzjoni tirtira l-approvazzjoni li kienet tat qabel, għandha minnufih tavża b’dan lill-Partijiet Kontraenti li qed japplikaw dan ir-Regolament permezz ta’ formola ta’ komunikazzjoni konformi mal-mudell fl-Anness 2 ta’ dan ir-Regolament.

11. PRODUZZJONI MWAQQFA GĦALKOLLOX

11.1.

Jekk id-detentur tal-approvazzjoni jwaqqaf għalkollox il-manifattura ta’ tip ta’ vettura approvat skont dan ir-Regolament, huwa għandu jinforma b’dan lill-awtorità li tkun tat l-approvazzjoni. Malli tirċievi l-komunikazzjoni rilevanti, dik l-awtorità għandha tinforma b’dan lill-Partijiet Kontraenti l-oħrajn għall-Ftehim li japplikaw dan ir-Regolament permezz ta’ kopja tal-formola tal-approvazzjoni li fl-aħħar tagħha jkollha, b’ittri kbar, l-annotazzjoni “PRODUZZJONI MWAQQFA” iffirmata u datata.

12. ISMIJIET U INDIRIZZI TAS-SERVIZZI TEKNIĊI RESPONSABBLI MIT-TWETTIQ TAT-TEST TAL-APPROVAZZJONI U TAL-AWTORITAJIET TAL-APPROVAZZJONI TAT-TIP

12.1.

Il-Partijiet Kontraenti għall-Ftehim li japplikaw dan ir-Regolament għandhom jikkomunikaw lis-Segretarjat tan-Nazzjonijiet Uniti l-ismijiet u l-indirizzi tas-servizzi tekniċi responsabbli għat-twettiq tat-testijiet tal-approvazzjoni u tal-Awtoritajiet tal-Approvazzjoni tat-Tip li jagħtu l-approvazzjoni, u lil min għandhom jintbagħtu l-formoli li jiċċertifikaw l-approvazzjoni jew l-estensjoni, jew ir-rifjut jew l-irtirar tal-approvazzjoni, maħruġa f’pajjiżi oħra.

(1) Eż. ISO 26262-2018, ISO/PAS 21448, ISO/SAE 21434.

(2) https://www.unece.org/trans/main/wp29/datasharing.html

(3) Gwida għall-informazzjoni dettaljata (eż. metodu, kriterji, livell ta’ prestazzjoni) li għandha tittella’ u l-format għandha tingħata fid-dokument ta’ interpretazzjoni li qed jitħejja mit-Task Force dwar iċ-Ċibersigurtà u Kwistjonijiet “Over-the-Air” għas-seba’ sessjoni tal-GRVA.

(4) Il-Grupp ta’ Ħidma dwar il-Vetturi Awtomatizzati/Awtonomi u Konnessi (GRVA)

(5) Din l-interpretazzjoni għandha tkun riflessa fid-dokument ta’ interpretazzjoni msemmi fin-nota f’qiegħ il-paġna għall-paragrafu 5.3.3.

(6) Aktar informazzjoni dwar ir-rekwiżiti minimi għall-pakkett ta’ dokumentazzjoni se tiġi żviluppata mill-GRVA matul is-seba’ sessjoni tiegħu.

ANNESS 1

Dokument ta’ informazzjoni

L-informazzjoni li ġejja, fejn applikabbli, għandha tingħata fi tliet kopji u tinkludi werrej. Kwalunkwe disinn għandu jiġi pprovdut fi skala xierqa u b’dettall suffiċjenti fuq karta ta’ daqs A4, jew fuq folder ta’ format A4. F’każ li jkun hemm xi ritratti, dawn għandhom ikunu ddettaljati biżżejjed.

Għamla (l-isem kummerċjali tal-manifattur): …

Tip u deskrizzjoni(jiet) kummerċjali ġenerali: …

Il-mezz ta’ identifikazzjoni tat-tip, jekk immarkat fuq il-vettura: …

Fejn tinsab dik il-marka: …

Kategorija/kategoriji tal-vettura: …

Isem u indirizz tal-manifattur/tar-rappreżentat tal-manifattur: …

L-isem/ismijiet u l-indirizz(i) tal-impjant(i) tal-assemblaġġ: …

Ir-ritratt(i) u/jew id-disinn/disinji ta’ vettura rappreżentattiva: …

Ċibersigurtà

9.1.

Il-karatteristiċi ġenerali tal-kostruzzjoni tat-tip ta’ vettura, inkluż:

(a)	Is-sistemi tal-vettura li huma rilevanti għaċ-ċibersigurtà tat-tip ta’ vettura;

(b)	Il-komponenti ta’ dawk is-sistemi li huma rilevanti għaċ-ċibersigurtà;

(c)	L-interazzjonijiet ta’ dawk is-sistemi ma’ sistemi oħra fi ħdan it-tip ta’ vettura u l-interfaċċi esterni.

9.2.

Rappreżentazzjoni skematika tat-tip ta’ vettura

9.3.

In-numru taċ-Ċertifikat ta’ Konformità għas-CSMS: …

9.4.

Dokumenti għat-tip ta’ vettura li għandu jiġi approvat li jiddeskrivu l-eżitu tal-valutazzjoni tar-riskju tagħha u r-riskji identifikati: …

9.5.

Dokumenti għat-tip ta’ vettura li għandu jiġi approvat li jiddeskrivu l-mitigazzjonijiet li ġew implimentati fis-sistemi elenkati, jew għat-tip ta’ vettura, u kif dawn jindirizzaw ir-riskji ddikjarati: …

9.6.

Dokumenti għat-tip ta’ vettura li għandu jiġi approvat li jiddeskrivu l-protezzjoni ta’ ambjenti ddedikati għal software, servizzi, applikazzjonijiet jew data tas-suq ta’ wara l-bejgħ: …

9.7.

Dokumenti għat-tip ta’ vettura li għandu jiġi approvat li jiddeskrivu liema testijiet intużaw biex tiġi vverifikata ċ-ċibersigurtà tat-tip ta’ vettura u s-sistemi tagħha u l-eżitu ta’ dawk it-testijiet: …

9.8.

Deskrizzjoni tal-kunsiderazzjoni tal-katina tal-provvista fir-rigward taċ-ċibersigurtà: …

Appendiċi 1 tal-Anness 1

Mudell tad-Dikjarazzjoni ta’ Konformità tal-Manifattur għas-CSMS

Id-dikjarazzjoni ta’ konformità tal-manifattur mar-rekwiżiti għas-Sistema tal-Ġestjoni taċ-Ċibersigurtà

Isem il-Manifattur: …

Indirizz tal-Manifattur: …

… (Isem il-Manifattur) jafferma li l-proċessi meħtieġa għall-konformità mar-rekwiżiti għas-Sistema tal-Ġestjoni taċ-Ċibersigurtà stabbiliti fil-paragrafu 7.2 tar-Regolament tan-NU 155 huma installati u se jinżammu.………

Magħmul fi: … (post)

Data: …

Isem il-firmatarju: …

Funzjoni tal-firmatarju: …

…

(Timbru u firma tar-rappreżentant tal-manifattur)

ANNESS 2

Komunikazzjoni

(Format massimu: A4 (210 × 297 mm))

(1)

Maħruġa minn:

Isem l-amministrazzjoni:

…

Li tikkonċerna (2)

Approvazzjoni mogħtija

Approvazzjoni estiża

Approvazzjoni rtirata b’effett minn jj/xx/ssss

Approvazzjoni rrifjutata

Produzzjoni mwaqqfa għalkollox

ta’ tip ta’ vettura, skont ir-Regolament tan-NU Nru 155

Nru tal-Approvazzjoni: …

Nru tal-Estensjoni: …

Raġuni għall-estensjoni: …

Għamla (l-isem kummerċjali tal-manifattur): …

Tip u deskrizzjoni(jiet) kummerċjali ġenerali …

Il-mezz ta’ identifikazzjoni tat-tip, jekk immarkat fuq il-vettura: …

3.1.

Fejn tinsab dik il-marka: …

Kategorija/kategoriji tal-vettura: …

Isem u indirizz tal-manifattur / tar-rappreżentat tal-manifattur: …

L-Isem/Ismijiet u l-Indirizz(i) tal-impjant(i) tal-produzzjoni …

Numru taċ-ċertifikat ta’ konformità għas-sistema tal-ġestjoni taċ-ċibersigurtà: …

Is-Servizz Tekniku responsabbli għat-twettiq tat-testijiet: …

Data tar-rapport tat-test: …

10.

Numru tar-rapport tat-test: …

11.

Rimarki: (jekk applikabbli). …

12.

Post: …

13.

Data: …

14.

Firma: …

15.

Il-werrej għall-pakkett tal-informazzjoni ppreżentat lill-Awtorità tal-Approvazzjoni, li jista’ jinkiseb fuq talba, jinsab mehmuż:

(1) In-numru li jiddistingwi l-pajjiż li jkun ta/estenda/irrifjuta/irtira approvazzjoni (ara d-dispożizzjonijiet għall-approvazzjoni fir-Regolament).

(2) Ingassa dak li ma japplikax.:

ANNESS 3

L-arranġament tal-marka ta’ approvazzjoni

MUDELL A

(Ara l-paragrafu 4.2 ta’ dan ir-Regolament)

a = 8 mm min.

Il-marka tal-approvazzjoni ta’ hawn fuq imwaħħla ma’ vettura turi li t-tip ikkonċernat ta’ vettura tat-triq ġie approvat fin-Netherlands (E 4), skont ir-Regolament Nru 155, u bin-numru tal-approvazzjoni 001234. L-ewwel żewġ ċifri tan-numru tal-approvazzjoni juru li l-approvazzjoni ngħatat skont ir-rekwiżiti ta’ dan ir-Regolament fil-forma oriġinali tiegħu (00).

ANNESS 4

Mudell taċ-Ċertifikat ta’ Konformità għas-CSMS

Ċertifikat ta’ konformità għas-sistema tal-ġestjoni taċ-ċibersigurtà

flimkien mar-Regolament tan-NU Nru 155

Numru taċ-Ċertifikat [Numru ta’ Referenza]

[……. Awtorità tal-Approvazzjoni]

Jiċċertifika li

Manifattur: …

Indirizz tal-manifattur: …

jikkonforma mad-dispożizzjonijiet tal-paragrafu 7.2 tar-Regolament Nru 155

Saru l-verifiki fuq: …

skont (isem u indirizz tal-Awtorità tal-Approvazzjoni jew tas-Servizz Tekniku): …

Numru tar-rapport: …

Iċ-ċertifikat huwa validu sa […………………………………………………Data]

Magħmul fi […………………………………………………Post]

Fi […………………………………………………Data]

[…………………………………………………Firma]

Hemżiet: deskrizzjoni tas-Sistema tal-Ġestjoni taċ-Ċibersigurtà mill-manifattur.

ANNESS 5

Lista ta’ theddid u mitigazzjonijiet korrispondenti

Dan l-Anness jikkonsisti minn tliet partijiet. Il-Parti A ta’ dan l-anness tiddeskrivi l-linja bażi għat-theddid, il-vulnerabbiltajiet u l-metodi ta’ attakk. Il-Parti B ta’ dan l-anness tiddeskrivi l-mitigazzjonijiet għat-theddid li huwa maħsub għat-tipi ta’ vetturi. Il-Parti C tiddeskrivi l-mitigazzjonijiet għat-theddid li huwa maħsub għall-oqsma barra l-vetturi, eż. fuq back-ends tal-IT.

Il-Parti A, il-Parti B, u l-Parti C għandhom jitqiesu għall-valutazzjoni tar-riskju u għall-mitigazzjonijiet li għandhom jiġu implimentati mill-manifatturi tal-vetturi.

Il-vulnerabbiltà ta’ livell għoli u l-eżempji korrispondenti tagħha ġew indiċjati fil-Parti A. L-istess indiċjar ġie referenzjat fit-tabelli fil-Partijiet B u C biex kull attakk/vulnerabbiltà jiġi marbut ma’ lista ta’ miżuri ta’ mitigazzjoni korrispondenti.

L-analiżi tat-theddid għandha tikkunsidra wkoll l-impatti possibbli ta’ attakk. Dawn jistgħu jgħinu biex tiġi aċċertata s-severità ta’ riskju u jidentifikaw riskji addizzjonali. L-impatti possibbli ta’ attakk jistgħu jinkludu:

(a)	Tħaddim sikur tal-vettura affettwata;

(b)	Il-funzjonijiet tal-vettura jieqfu jaħdmu;

(c)	Software modifikat, prestazzjoni mibdula;

(d)	Software mibdul iżda l-ebda effett operattiv;

(e)	Vjolazzjoni tal-integrità tad-data;

(f)	Vjolazzjoni tal-kunfidenzjalità tad-data;

(g)	Telf tad-disponibbiltà tad-data;

(h)	Oħrajn, inkluża l-kriminalità.

Parti A. Vulnerabbiltà jew metodu ta’ attakk relatati mat-theddid

Deskrizzjonijiet ta’ livell għoli ta’ theddid u l-metodu relatat mal-vulnerabbiltà jew l-attakk huma elenkati fit-Tabella A1.

Tabella A1

Lista ta’ vulnerabbiltajiet jew metodi ta’ attakk relatati mat-theddid

Deskrizzjonijiet ta’ livell għoli u ta’ sottolivell ta’ vulnerabbiltà/theddida

Eżempju ta’ vulnerabbiltà jew metodu ta’ attakk

4.3.1.

Theddid fir-rigward ta’ back-end servers relatati ma’ vetturi fil-qasam

Servers back-end użati bħala mezz biex jattakkaw vettura jew jisiltu data

1.1

Abbuż ta’ privileġġi mill-persunal (attakk minn ġewwa)

1.2

Aċċess bl-internet mhux awtorizzat għas-server (attivat pereżempju permezz ta’ backdoors, vulnerabbiltajiet tas-software tas-sistema mhux kumpressat, attakki SQL jew mezzi oħra)

1.3

Aċċess fiżiku mhux awtorizzat għas-server (imwettaq minn pereżempju USB sticks jew mezzi oħra konnessi mas-server)

Interuzzjoni tas-servizzi minn server back-end, li taffettwa t-tħaddim ta’ vettura

2.1

Attakk fuq server back-end li jwaqqfuh milli jiffunzjona, pereżempju ma jħallihx jinteraġixxi mal-vetturi u milli jipprovdi servizzi li jiddependu fuqhom

Data relatata mal-vettura miżmuma fuq servers back-end li tintilef jew tiġi kompromessa (“vjolazzjoni tad-data”)

3.1

Abbuż ta’ privileġġi mill-persunal (attakk minn ġewwa)

3.2

Telf ta’ informazzjoni fil-cloud. Data sensittiva tista’ tintilef minħabba attakki jew inċidenti meta d-data tinħażen minn fornituri terzi tas-servizzi tal-cloud

3.3

Aċċess bl-internet mhux awtorizzat għas-server (attivat pereżempju permezz ta’ backdoors, vulnerabbiltajiet tas-software tas-sistema mhux kumpressat, attakki SQL jew mezzi oħra)

3.4

Aċċess fiżiku mhux awtorizzat għas-server (imwettaq pereżempju minn USB sticks jew mezzi oħra konnessi mas-server)

3.5

Vjolazzjoni ta’ informazzjoni permezz ta’ kondiviżjoni mhux intenzjonata tad-data (eż. żbalji amministrattivi)

4.3.2.

Theddid għall-vetturi fir-rigward tal-kanali ta’ komunikazzjoni tagħhom

Spoofing ta’ messaġġi jew ta’ data riċevuta mill-vettura

4.1

Spoofing ta’ messaġġi permezz ta’ impersonazzjoni (eż. 802.11p V2X matul il-platooning, messaġġi GNSS, eċċ.)

4.2

Attakk Sybil (sabiex isir spoofing ta’ vetturi oħra daqslikieku hemm ħafna vetturi fit-triq)

Il-kanali ta’ komunikazzjoni użati biex jitwettqu manipulazzjoni, tħassir jew emendi oħra mhux awtorizzati għall-kodiċi/id-data miżmuma mill-vettura

5.1

Il-kanali ta’ komunikazzjoni jippermettu injezzjoni tal-kodiċi, pereżempju, il-binarju tas-software mbagħbas jista’ jiġi injettat fil-fluss tal-komunikazzjoni

5.2

Il-kanali ta’ komunikazzjoni jippermettu manipulazzjoni tad-data/kodiċi miżmuma mill-vettura

5.3

Il-kanali ta’ komunikazzjoni jippermettu kitba fuq id-data/il-kodiċi miżmuma mill-vettura

5.4

Il-kanali ta’ komunikazzjoni jippermettu t-tħassir ta’ data/kodiċi miżmuma mill-vettura

5.5

Il-kanali ta’ komunikazzjoni jippermettu l-introduzzjoni ta’ data/kodiċi fil-vettura (kodiċi tad-data għall-ktib)

Il-kanali ta’ komunikazzjoni jippermettu l-aċċettazzjoni ta’ messaġġi mhux fdati/mhux affidabbli jew li huma vulnerabbli għal attakki ta’ ħtif tas-sessjoni/replay

6.1

Aċċettazzjoni ta’ informazzjoni minn sors mhux affidabbli jew mhux fdat

6.2

Attakk minn intermedjarju informatiku/ħtif tas-sessjoni

6.3

Attakk replay, pereżempju attakk fuq gateway ta’ komunikazzjoni jippermetti lill-aggressur inaqqas il-grad tas-software ta’ ECU jew firmware tal-gateway

L-informazzjoni tista’ tiġi żvelata faċilment. Pereżempju, permezz ta’ smigħ awdjo mhux awtorizzat dwar komunikazzjonijiet jew permess ta’ aċċess mhux awtorizzat għal fajls jew folders sensittivi

7.1

Interċettazzjoni ta’ informazzjoni /radjazzjonijiet interferenti/monitoraġġ tal-komunikazzjonijiet

7.2

Ksib ta’ aċċess mhux awtorizzat għal fajls jew data

Ċaħda ta’ attakki ta’ servizz permezz ta’ kanali ta’ komunikazzjoni biex ifixklu l-funzjonijiet tal-vetturi

8.1

Il-bgħit ta’ volum kbir ta’ data bla valur lis-sistema ta’ informazzjoni ta’ vettura, sabiex din ma tkunx tista’ tipprovdi servizzi bil-mod normali

8.2

Attakk black hole, sabiex tiġi mfixkla l-komunikazzjoni bejn il-vetturi, l-aggressur jista’ jimblokka l-messaġġi bejn il-vetturi

Utent mhux privileġġat jista’ jikseb aċċess privileġġat għas-sistemi tal-vettura

9.1

Utent mhux privileġġat jista’ jikseb aċċess privileġġat, pereżempju aċċess tar-root

Il-viruses inkorporati fil-mezzi ta’ komunikazzjoni huma kapaċi jinfettaw is-sistemi tal-vettura

10.1

Virus inkorporat fil-mezzi ta’ komunikazzjoni jinfetta s-sistemi tal-vettura

Messaġġi riċevuti mill-vettura (pereżempju X2V jew messaġġi dijanjostiċi), jew trażmessi fiha, fihom kontenut malizzjuż

11.1

Messaġġi interni (eż. CAN) malizzjużi

11.2

Messaġġi V2X malizzjużi, eż. messaġġi mill-infrastruttura għall-vettura jew mill-vettura għall-vettura (eż. CAM, DENM)

11.3

Messaġġi dijanjostiċi malizzjużi

11.4

Messaġġi proprjetarji malizzjużi (eż. dawk normalment mibgħuta minn OEM jew fornitur ta’ komponent/sistema/funzjoni)

4.3.3.

Theddid għal vetturi rigward il-proċeduri ta’ aġġornament tagħhom

Użu ħażin jew kompromess tal-proċeduri ta’ aġġornament

12.1

Kompromess tal-proċeduri ta’ aġġornament tas-software “over the air”. Dan jinkludi l-fabbrikazzjoni tal-programm jew tal-firmware ta’ aġġornament tas-sistema

12.2

Kompromess tal-proċeduri ta’ aġġornament ta’ software lokali/fiżiku. Dan jinkludi l-fabbrikazzjoni tal-programm jew tal-firmware ta’ aġġornament tas-sistema

12.3

Is-software jiġi manipulat qabel il-proċess ta’ aġġornament (u għalhekk jiġi korrott), għalkemm il-proċess ta’ aġġornament huwa intatt

12.4

Kompromess ta’ ċwievet kriptografiċi tal-fornitur tas-software biex jippermetti aġġornament invalidu

Huwa possibbli li jiġu miċħuda aġġornamenti leġittimi

13.1

Ċaħda ta’ attakk tas-Servizz fuq server jew network ta’ aġġornament biex jiġi evitat it-tifrix ta’ aġġornamenti kritiċi ta’ software u/jew il-ftuħ ta’ karatteristiċi speċifiċi għall-klijent

4.3.4.

Theddid għal vetturi rigward azzjonijiet umani mhux intenzjonati li jiffaċilitaw attakk ċibernetiku

L-atturi leġittimi huma kapaċi jieħdu azzjonijiet li jiffaċilitaw attakk ċibernetiku mingħajr ma jkunu konxji

15.1

Vittma innoċenti (eż. is-sid, l-operatur jew l-inġinier tal-manutenzjoni) tiġi mġiegħla tieħu azzjoni biex tillowdja malware b’mod mhux intenzjonat jew tippermetti attakk

15.2

Proċeduri definiti ta’ sigurtà ma jiġux segwiti

4.3.5.

Theddid għall-vetturi fir-rigward tal-konnettività u l-konnessjonijiet esterni tagħhom

Il-manipulazzjoni tal-konnettività tal-funzjonijiet tal-vetturi tippermetti attakk ċibernetiku, dan jista’ jinkludi t-telematika; sistemi li jippermettu operazzjonijiet mill-bogħod; u sistemi li jużaw komunikazzjoni bla fili fuq medda qasira

16.1

Manipulazzjoni ta’ funzjonijiet imfassla biex is-sistemi jitħaddmu mill-bogħod, bħal ċavetta għall-kontroll mill-bogħod, immobilizzatur, u punti għall-iċċarġjar

16.2

Manipulazzjoni tat-telematika tal-vettura (eż. manipulazzjoni tal-kejl tat-temperatura ta’ oġġetti sensittivi, ftuħ mill-bogħod tal-bibien tal-merkanzija)

16.3

Interferenza ma’ sistemi jew sensuri bla fili fuq medda qasira

Software ta’ parti terza ospitat, eż. applikazzjonijiet ta’ divertiment, li jintużaw bħala mezz biex jiġu attakkati s-sistemi tal-vettura

17.1

Applikazzjonijiet korrotti, jew dawk b’nuqqas ta’ sigurtà tas-software, li jintużaw bħala metodu biex jiġu attakkati s-sistemi tal-vetturi

Apparati konnessi ma’ interfaċċi esterni eż. ports USB, port tal-OBD, li jintużaw bħala mezz biex jiġu attakkati s-sistemi tal-vetturi

18.1

Interfaċċi esterni bħal ports USB jew ports oħra li jintużaw bħala punt ta’ attakk, pereżempju permezz ta’ injezzjoni ta’ kodiċi

18.2

Mezzi infettati b’virus imqabbda ma’ sistema ta’ vettura

18.3

Aċċess dijanjostiku (eż. dongles fil-port tal-OBD) li jintuża biex jiffaċilita attakk, eż. manipulazzjoni tal-parametri tal-vettura (direttament jew indirettament)

4.3.6.

Theddid għal data/kodiċi tal-vettura

Estrazzjoni tad-data/kodiċi tal-vettura

19.1

Estrazzjoni tad-drittijiet tal-awtur jew software proprjetarju minn sistemi ta’ vettura (piraterija ta’ prodotti)

19.2

Aċċess mhux awtorizzat għall-informazzjoni dwar il-privatezza tas-sid bħall-identità personali, l-informazzjoni dwar il-kont tal-pagamenti, l-informazzjoni dwar il-ktieb tal-indirizzi, l-informazzjoni dwar il-post, l-ID elettronika tal-vettura, eċċ.

19.3

Estrazzjoni ta’ ċwievet kriptografiċi

Manipulazzjoni tad-data/il-kodiċi tal-vettura

20.1

Bidliet illegali/mhux awtorizzati fl-ID elettronika tal-vettura

20.2

Frodi tal-identità. Pereżempju, jekk utent jixtieq juri identità oħra meta jikkomunika mas-sistemi ta’ pedaġġ, il-back-end tal-manifattur

20.3

Azzjoni biex jiġu evitati s-sistemi ta’ monitoraġġ (eż. hacking/tbagħbis/imblukkar ta’ messaġġi bħad-data tat-Tracker tal-ODR, jew l-għadd ta’ sessjonijiet)

20.4

Manipulazzjoni tad-data biex tiġi ffalsifikata d-data dwar is-sewqan tal-vettura (eż. kilometraġġ, veloċità tas-sewqan, direzzjonijiet tas-sewqan, eċċ.)

20.5

Bidliet mhux awtorizzati fid-data dijanjostika tas-sistema

Tħassir tad-data/tal-kodiċi

21.1

Tħassir/manipulazzjoni mhux awtorizzati tar-reġistru tal-avvenimenti tas-sistema

Introduzzjoni ta’ malware

22.2

Introduzzjoni ta’ software malizzjuż jew attività ta’ software malizzjuż

Introduzzjoni ta’ software ġdid jew kitba fuq software eżistenti

23.1

Manifattura ta’ software tas-sistema ta’ kontroll tal-vettura jew tas-sistema ta’ informazzjoni

Tfixkil tas-sistemi jew l-operazzjonijiet

24.1

Iċ-ċaħda tas-servizz, pereżempju dan jista’ jiġi attivat fuq in-network intern billi jsir flooding ta’ CAN bus, jew billi jiġu provokati ħsarat fuq ECU permezz ta’ rata għolja ta’ messaġġi

Manipulazzjoni tal-parametri tal-vettura

25.1

Aċċess mhux awtorizzat jew falsifikazzjoni tal-parametri tal-konfigurazzjoni tal-funzjonijiet ewlenin tal-vettura, bħad-data dwar il-brejkijiet, il-limitu użat għall-airbag, eċċ.

25.2

Aċċess mhux awtorizzat jew falsifikazzjoni tal-parametri tal-iċċarġjar, bħall-vultaġġ tal-iċċarġjar, il-potenza tal-iċċarġjar, it-temperatura tal-batterija, eċċ.

4.3.7.

Vulnerabbiltajiet potenzjali li jistgħu jiġu sfruttati jekk ma jkunux protetti jew imsaħħa biżżejjed

It-teknoloġiji kriptografiċi jistgħu jiġu kompromessi jew ma jiġux applikati biżżejjed

26.1

Kombinament ta’ ċwievet kriptografiċi qosra u perjodu twil ta’ validità jippermetti lill-aggressur jiddeċifra l-kriptaġġ

26.2

Użu insuffiċjenti ta’ algoritmi kriptografiċi għall-protezzjoni ta’ sistemi sensittivi

26.3

Użu ta’ algoritmi kriptografiċi li ma għadhomx jintużaw jew li mhux se jibqgħu jintużaw daqt

Partijiet jew provvisti jistgħu jiġu kompromessi u b’hekk jippermettu li l-vetturi jiġu attakkati

27.1

Hardware jew software, maħduma biex jippermettu attakk jew jonqsu milli jissodisfaw il-kriterji tad-disinn biex iwaqqfu attakk

L-iżvilupp tas-software jew tal-hardware jippermetti vulnerabbiltajiet

28.1

Bugs tas-software. Il-preżenza ta’ bugs tas-software tista’ tkun bażi għal vulnerabbiltajiet potenzjali li jistgħu jiġu sfruttati. Dan huwa partikolarment minnu jekk is-software ma jkunx ġie ttestjat biex jiġi vverifikat li ma jkunx hemm kodiċi ħażin/bugs magħrufa u jitnaqqas ir-riskju li jkun hemm kodiċi ħażin/bugs mhux magħrufa

28.2

L-użu ta’ dak li jifdal mill-iżvilupp (eż. ports tad-debugs, ports tal-JTAG, mikroproċessuri, ċertifikati tal-iżvilupp, passwords tal-iżviluppaturi,...) jista’ jippermetti l-aċċess għall-ECUs jew jippermetti lill-aggressuri jiksbu privileġġi ogħla

Id-disinn tan-network jintroduċi vulnerabbiltajiet

29.1

Ports superfluwi tal-internet li tħallew miftuħa, u b’hekk jipprovdu aċċess għas-sistemi tan-networks

29.2

Evitar tas-separazzjoni tan-network biex jinkiseb kontroll. Eżempju speċifiku huwa l-użu ta’ gateways mhux protetti, jew punti ta’ aċċess (bħal gateways tat-trakkijiet u t-trailers), biex jiġu evitati l-protezzjonijiet u jinkiseb aċċess għal segmenti oħra tan-network biex jitwettqu atti malizzjużi, bħall-bgħit ta’ messaġġi arbitrarji ta’ CAN bus

Trasferiment mhux intenzjonat ta’ data jista’ jseħħ

31.1

Vjolazzjoni ta’ informazzjoni. Id-data personali tista’ tiġi żvelata meta l-karozza tibdel l-utent (eż tinbiegħ jew tintuża bħala vettura tal-kiri minn kerrejja ġodda)

Il-manipulazzjoni fiżika tas-sistemi tista’ tippermetti attakk

32.1

Manipulazzjoni ta’ hardware elettroniku, eż. hardware elettroniku mhux awtorizzat miżjud ma’ vettura biex jippermetti attakk minn intermedjarju informatiku

Sostituzzjoni ta’ hardware elettroniku awtorizzat (eż. sensuri) b’hardware elettroniku mhux awtorizzat

Manipulazzjoni tal-informazzjoni miġbura minn sensur (pereżempju, bl-użu ta’ kalamita għat-tbagħbis bis-senser tal-effett Hall imqabbad mal-gerboks)

Parti B. Mitigazzjonijiet għat-theddid maħsub għall-vetturi

Mitigazzjonijiet għall-“Kanali ta’ komunikazzjoni tal-vettura”

Il-mitigazzjonijiet għat-theddid li huwa relatat mal-“Kanali ta’ komunikazzjoni tal-vettura” huma elenkati fit-Tabella B1.

Tabella B1

Mitigazzjoni għat-theddid li huwa relatat mal-“Kanali ta’ komunikazzjoni tal-vettura”

Referenza għat-Tabella A1	Theddid għall-“Kanali ta’ komunikazzjoni tal-vettura”	Ref	Mitigazzjoni
4.1	Spoofing ta’ messaġġi (eż. 802.11p V2X matul il-platooning, messaġġi GNSS, eċċ.) permezz ta’ impustura	M10	Il-vettura għandha tivverifika l-awtentiċità u l-integrità tal-messaġġi li tirċievi
4.2	Attakk Sybil (sabiex isir spoofing ta’ vetturi oħra daqslikieku hemm ħafna vetturi fit-triq)	M11	Il-kontrolli tas-sigurtà għandhom jiġu implimentati għall-ħżin ta’ ċwievet kriptografiċi (eż. l-użu ta’ Moduli tas-Sigurtà tal-Hardware)
5.1	Il-kanali ta’ komunikazzjoni jippermettu injezzjoni tal-kodiċi f’data/kodiċi miżmuma mill-vettura, pereżempju binarju tas-software mbagħbas jista’ jiġi injettat fil-fluss tal-komunikazzjoni	M10 M6	Il-vettura għandha tivverifika l-awtentiċità u l-integrità tal-messaġġi li tirċievi Is-sistemi għandhom jimplimentaw is-sigurtà mid-disinn biex jimminimizzaw ir-riskji
5.2	Il-kanali ta’ komunikazzjoni jippermettu l-manipulazzjoni tad-data/tal-kodiċi miżmuma mill-vettura	M7	It-tekniki u d-disinji tal-kontroll tal-aċċess għandhom jiġu applikati biex jipproteġu d-data/il-kodiċi tas-sistema
5.3	Il-kanali ta’ komunikazzjoni jippermettu l-kitba fuq data/kodiċi miżmuma mill-vettura
5.4 21.1	Il-kanali ta’ komunikazzjoni jippermettu t-tħassir ta’ data/kodiċi miżmuma mill-vettura
5.5	Il-kanali ta’ komunikazzjoni jippermettu l-introduzzjoni ta’ data/kodiċi għas-sistemi tal-vetturi (kodiċi tad-data għall-ktib)
6.1	Aċċettazzjoni ta’ informazzjoni minn sors mhux affidabbli jew mhux fdat	M10	Il-vettura għandha tivverifika l-awtentiċità u l-integrità tal-messaġġi li tirċievi
6.2	Attakk minn intermedjarju informatiku/ħtif tas-sessjoni	M10	Il-vettura għandha tivverifika l-awtentiċità u l-integrità tal-messaġġi li tirċievi
6.3	Attakk replay, pereżempju attakk fuq gateway ta’ komunikazzjoni jippermetti lill-aggressur inaqqas il-grad tas-software ta’ ECU jew firmware tal-gateway	M10
7.1	Interċettazzjoni ta’ informazzjoni / radjazzjonijiet interferenti / monitoraġġ tal-komunikazzjonijiet	M12	Id-data kunfidenzjali trażmessa lill-vettura jew minnha għandha tiġi protetta
7.2	Ksib ta’ aċċess mhux awtorizzat għal fajls jew data	M8	Permezz tad-disinn tas-sistema u tal-kontroll tal-aċċess, jenħtieġ li ma jkunx possibbli għal persunal mhux awtorizzat li jaċċessa data personali jew data kritika tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinsabu fl-OWASP
8.1	Il-bgħit ta’ għadd kbir ta’ data li ma tiswix lis-sistema ta’ informazzjoni ta’ vettura, sabiex din ma tkunx tista’ tipprovdi servizzi bil-mod normali	M13	Għandhom jintużaw miżuri li jidentifikaw u jirkupraw minn attakk ta’ ċaħda tas-servizz
8.2	Attakk black hole, tfixkil tal-komunikazzjoni bejn il-vetturi permezz ta’ mblokkar tat-trasferiment ta’ messaġġi lejn vetturi oħra	M13	Għandhom jintużaw miżuri li jidentifikaw u jirkupraw minn attakk ta’ ċaħda tas-servizz
9.1	Utent mhux privileġġat jista’ jikseb aċċess privileġġat, pereżempju aċċess tar-root	M9	Għandhom jintużaw miżuri għall-prevenzjoni u l-identifikazzjoni ta’ aċċess mhux awtorizzat
10.1	Virus inkorporat fil-mezzi ta’ komunikazzjoni jinfetta s-sistemi tal-vettura	M14	Jenħtieġ li jiġu kkunsidrati miżuri għall-protezzjoni tas-sistemi minn viruses/malware inkorporati
11.1	Messaġġi interni malizzjużi (eż. CAN)	M15	Jenħtieġ li jiġu kkunsidrati miżuri biex jiġu identifikati messaġġi jew attivitajiet interni malizzjużi
11.2	Messaġġi V2X malizzjużi, eż. messaġġi mill-infrastruttura għall-vettura jew mill-vettura għall-vettura (eż. CAM, DENM)	M10	Il-vettura għandha tivverifika l-awtentiċità u l-integrità tal-messaġġi li tirċievi
11.3	Messaġġi dijanjostiċi malizzjużi
11.4	Messaġġi proprjetarji malizzjużi (eż. dawk normalment mibgħuta minn OEM jew fornitur ta’ komponent/sistema/funzjoni)

Mitigazzjonijiet għall-“Proċess ta’ aġġornament”

Il-mitigazzjonijiet għat-theddid li huwa relatat mal-“Proċess ta’ aġġornament” huma elenkati fit-Tabella B2.

Tabella B2

Mitigazzjonijiet għat-theddid li huwa relatat mal-“Proċess ta’ Aġġornament”

Referenza għat-Tabella A1	Theddid għall-“Proċess ta’ aġġornament”	Ref	Mitigazzjoni
12.1	Kompromess tal-proċeduri ta’ aġġornament tas-software “over the air”. Dan jinkludi l-fabbrikazzjoni tal-programm jew tal-firmware ta’ aġġornament tas-sistema	M16	Għandhom jintużaw proċeduri siguri ta’ aġġornament tas-software
12.2	Kompromess tal-proċeduri ta’ aġġornament ta’ software lokali/fiżiku. Dan jinkludi l-fabbrikazzjoni tal-programm jew tal-firmware ta’ aġġornament tas-sistema
12.3	Is-software jiġi manipulat qabel il-proċess ta’ aġġornament (u għalhekk jiġi korrott), għalkemm il-proċess ta’ aġġornament huwa intatt
12.4	Kompromess ta’ ċwievet kriptografiċi tal-fornitur tas-software biex jippermetti aġġornament invalidu	M11	Il-kontrolli tas-sigurtà għandhom jiġu implimentati għall-ħżin ta’ ċwievet kriptografiċi
13.1	Ċaħda ta’ attakk tas-Servizz fuq server jew network ta’ aġġornament biex jiġi evitat it-tifrix ta’ aġġornamenti kritiċi ta’ software u/jew il-ftuħ ta’ karatteristiċi speċifiċi għall-klijent	M3	Il-Kontrolli tas-Sigurtà għandhom jiġu applikati għas-sistemi back-end. Fejn is-servers back-end huma kritiċi għall-forniment tas-servizzi hemm miżuri ta’ rkupru fil-każ ta’ qtugħ tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP

Mitigazzjonijiet għall-“Azzjonijiet umani mhux intenzjonati li jiffaċilitaw attakk ċibernetiku”

Il-mitigazzjonijiet għat-theddid li huwa relatat mal-“Azzjonijiet umani mhux intenzjonati li jiffaċilitaw attakk ċibernetiku” huma elenkati fit-Tabella B3.

Tabella B3

Mitigazzjonijiet għat-theddid li huwa relatat mal-“Azzjonijiet umani mhux intenzjonati li jiffaċilitaw attakk ċibernetiku”

Referenza għat-Tabella A1	Theddid relatat mal-“Azzjonijiet umani mhux intenzjonati”	Ref	Mitigazzjoni
15.1	Vittma innoċenti (eż. is-sid, l-operatur jew l-inġinier tal-manutenzjoni) tigi ingannata biex tieħu azzjoni ħalli tillowdja malware b’mod mhux intenzjonat jew tippermetti attakk	M18	Għandhom jiġu implimentati miżuri għad-definizzjoni u l-kontroll tar-rwoli tal-utenti u l-privileġġi tal-aċċess, abbażi tal-prinċipju tal-privileġġ tal-inqas aċċess
15.2	Proċeduri definiti ta’ sigurtà ma jiġux segwiti	M19	L-organizzazzjonijiet għandhom jiżguraw li l-proċeduri tas-sigurtà jiġu definiti u segwiti inkluż l-illoggjar tal-azzjonijiet u l-aċċess relatati mal-ġestjoni tal-funzjonijiet tas-sigurtà

Mitigazzjonijiet għall-“Konnettività u l-konnessjonijiet esterni”

Il-mitigazzjonijiet għat-theddid li huwa relatat mal-“konnettività u l-konnessjonijiet esterni” huma elenkati fit-Tabella B4.

Tabella B4

Mitigazzjoni għat-theddid li huwa relatat ma’ “konnettività u konnessjonijiet esterni”

Referenza għat-Tabella A1	Theddid għall-“Konnettività u l-konnessjonijiet esterni”	Ref	Mitigazzjoni
16.1	Manipulazzjoni ta’ funzjonijiet mfassla biex is-sistemi ta’ vetturi jitħaddmu mill-bogħod, bħal ċavetta għall-kontroll mill-bogħod, immobilizzatur, u punti għall-iċċarġjar	M20	Il-kontrolli tas-sigurtà għandhom jiġu applikati għal sistemi li għandhom aċċess mill-bogħod
16.2	Manipulazzjoni tat-telematika tal-vettura (eż. manipulazzjoni tal-kejl tat-temperatura ta’ oġġetti sensittivi, ftuħ mill-bogħod tal-bibien tal-merkanzija)
16.3	Interferenza ma’ sistemi jew sensuri bla fili fuq medda qasira
17.1	Applikazzjonijiet korrotti, jew dawk b’nuqqas ta’ sigurtà tas-software, li jintużaw bħala metodu biex jiġu attakkati s-sistemi tal-vetturi	M21	Is-software għandu jiġi vvalutat, awtentikat u l-integrità tiegħu tiġi protetta. Għandhom jiġu applikati kontrolli tas-sigurtà biex jiġi mminimizzat ir-riskju minn software ta’ parti terza li huwa maħsub jew previst li jiġi ospitat fuq il-vettura
18.1	Interfaċċi esterni bħal ports USB jew ports oħra li jintużaw bħala punt ta’ attakk, pereżempju permezz ta’ injezzjoni ta’ kodiċi	M22	Il-kontrolli tas-sigurtà għandhom jiġu applikati għal interfaċċi esterni
18.2	Mezzi infettat bil-viruses konnessi mal-vettura	M22
18.3	Aċċess dijanjostiku (eż. dongles fil-port tal-OBD) li jintuża biex jiffaċilita attakk, eż. manipulazzjoni tal-parametri tal-vettura (direttament jew indirettament)	M22	Il-kontrolli tas-sigurtà għandhom jiġu applikati għal interfaċċi esterni

Mitigazzjonijiet għall-“Miri potenzjali ta’, jew motivazzjonijiet għal, attakk”

Il-mitigazzjonijiet għat-theddid li huwa relatat ma’ “Miri potenzjali ta’, jew motivazzjonijiet għal, attakk” huma elenkati fit-Tabella B5.

Tabella B5

Mitigazzjonijiet għat-theddid li huwa relatat mal-“Miri potenzjali ta’, jew motivazzjonijiet għal, attakk”

Referenza għat-Tabella A1	Theddid għall-“Miri potenzjali ta’, jew motivazzjonijiet għal, attakk”	Ref	Mitigazzjoni
19.1	Estrazzjoni tad-drittijiet tal-awtur jew software proprjetarju minn sistemi ta’ vettura (piraterija tal-prodott / software misruq)	M7	It-tekniki u d-disinji tal-kontroll tal-aċċess għandhom jiġu applikati biex jipproteġu d-data/il-kodiċi tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP
19.2	Aċċess mhux awtorizzat għall-informazzjoni dwar il-privatezza tas-sid bħall-identità personali, l-informazzjoni dwar il-kont tal-pagamenti, l-informazzjoni dwar il-ktieb tal-indirizzi, l-informazzjoni dwar il-post, l-ID elettronika tal-vettura, eċċ.	M8	Permezz tad-disinn tas-sistema u tal-kontroll tal-aċċess, jenħtieġ li ma jkunx possibbli għal persunal mhux awtorizzat li jaċċessa data personali jew data kritika tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinsabu fl-OWASP
19.3	Estrazzjoni ta’ ċwievet kriptografiċi	M11	Il-kontrolli tas-sigurtà għandhom jiġu implimentati għall-ħżin ta’ ċwievet kriptografiċi eż. Moduli tas-Sigurtà
20.1	Bidliet illegali/mhux awtorizzati fl-ID elettronika tal-vettura	M7	It-tekniki u d-disinji tal-kontroll tal-aċċess għandhom jiġu applikati biex jipproteġu d-data/il-kodiċi tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP
20.2	Frodi tal-identità. Pereżempju, jekk utent jixtieq juri identità oħra meta jikkomunika mas-sistemi ta’ pedaġġ, il-back-end tal-manifattur	M7
20.3	Azzjoni biex jiġu evitati s-sistemi ta’ monitoraġġ (eż. hacking/tbagħbis/imblukkar ta’ messaġġi bħad-data tat-Tracker tal-ODR, jew l-għadd ta’ sessjonijiet)	M7	It-tekniki u d-disinji tal-kontroll tal-aċċess għandhom jiġu applikati biex jipproteġu d-data/il-kodiċi tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP. L-attakki ta’ manipulazzjoni tad-data f’sensuri jew fuq data trażmessa jistgħu jittaffew billi d-data minn sorsi differenti ta’ informazzjoni tiġi korrelatata
20.4	Manipulazzjoni tad-data biex tiġi ffalsifikata d-data dwar is-sewqan tal-vettura (eż. kilometraġġ, veloċità tas-sewqan, direzzjonijiet tas-sewqan, eċċ.)
20.5	Bidliet mhux awtorizzati fid-data dijanjostika tas-sistema
21.1	Tħassir/manipulazzjoni mhux awtorizzati tar-reġistru tal-avvenimenti tas-sistema	M7	It-tekniki u d-disinji tal-kontroll tal-aċċess għandhom jiġu applikati biex jipproteġu d-data/il-kodiċi tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP.
22.2	Introduzzjoni ta’ software malizzjuż jew attività ta’ software malizzjuż	M7	It-tekniki u d-disinji tal-kontroll tal-aċċess għandhom jiġu applikati biex jipproteġu d-data/il-kodiċi tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP.
23.1	Manifattura ta’ software tas-sistema ta’ kontroll tal-vettura jew tas-sistema ta’ informazzjoni	M7
24.1	Iċ-ċaħda tas-servizz, pereżempju dan jista’ jiġi attivat fuq in-network intern billi jsir flooding ta’ CAN bus, jew billi jiġu provokati ħsarat fuq ECU permezz ta’ rata għolja ta’ messaġġi	M13	Għandhom jintużaw miżuri li jidentifikaw u jirkupraw minn attakk ta’ ċaħda tas-servizz
25.1	Aċċess mhux awtorizzat biex jiġu ffalsifikati l-parametri tal-konfigurazzjoni tal-funzjonijiet ewlenin tal-vettura, bħad-data dwar il-brejkijiet, il-limitu użat għall-airbag, eċċ.	M7	It-tekniki u d-disinji tal-kontroll tal-aċċess għandhom jiġu applikati biex jipproteġu d-data/il-kodiċi tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP
25.2	Aċċess mhux awtorizzat għall-iffalsifikar tal-parametri tal-iċċarġjar, bħall-vultaġġ tal-iċċarġjar, il-potenza tal-iċċarġjar, it-temperatura tal-batterija, eċċ.	M7

Mitigazzjonijiet għall-“Vulnerabbiltajiet potenzjali li jistgħu jiġu sfruttati jekk ma jkunux protetti jew imsaħħa biżżejjed”

Il-mitigazzjonijiet għat-theddid li huwa relatat mal-“Vulnerabbiltajiet potenzjali li jistgħu jiġu sfruttati jekk ma jkunux protetti jew imsaħħa biżżejjed” huma elenkati fit-Tabella B6.

Tabella B6

Mitigazzjonijiet għat-theddid li huwa relatat mal-“Vulnerabbiltajiet potenzjali li jistgħu jiġu sfruttati jekk ma jkunux protetti jew imsaħħa biżżejjed”

Referenza għat-Tabella A1	Theddid għall-“Vulnerabbiltajiet potenzjali li jistgħu jiġu sfruttati jekk ma jkunux protetti jew imsaħħa biżżejjed”	Ref	Mitigazzjoni
26.1	Kombinament ta’ ċwievet kriptografiċi qosra u perjodu twil ta’ validità jippermetti lill-aggressur jiddeċifra l-kriptaġġ	M23	Għandhom jiġu segwiti l-aħjar prattiki taċ-ċibersigurtà għall-iżvilupp tas-software u l-hardware
26.2	Użu insuffiċjenti ta’ algoritmi kriptografiċi għall-protezzjoni ta’ sistemi sensittivi
26.3	L-użu ta’ algoritmi kriptografiċi li mhux se jibqgħu jintużaw
27.1	Hardware jew software, maħduma biex jippermettu attakk jew jonqsu milli jissodisfaw il-kriterji tad-disinn biex iwaqqfu attakk	M23	Għandhom jiġu segwiti l-aħjar prattiki taċ-ċibersigurtà għall-iżvilupp tas-software u l-hardware
28.1	Il-preżenza ta’ bugs tas-software tista’ tkun bażi għal vulnerabbiltajiet potenzjali li jistgħu jiġu sfruttati. Dan huwa partikolarment minnu jekk is-software ma jkunx ġie ttestjat biex jiġi vverifikat li ma jkunx hemm kodiċi ħażin/bugs magħrufa u jitnaqqas ir-riskju li jkun hemm kodiċi ħażin/bugs mhux magħrufa	M23	Għandhom jiġu segwiti l-aħjar prattiki taċ-ċibersigurtà għall-iżvilupp tas-software u l-hardware. Ittestjar taċ-ċibersigurtà b’kopertura adegwata
28.2	L-użu ta’ dak li jifdal mill-iżvilupp (eż. ports tad-debugs, ports tal-JTAG, mikroproċessuri, ċertifikati tal-iżvilupp, passwords tal-iżviluppaturi,...) jista’ jippermetti l-aċċess għall-ECUs jew jippermetti lil aggressur jikseb privileġġi akbar
29.1	Ports superfluwi tal-internet li tħallew miftuħa, u b’hekk jipprovdu aċċess għas-sistemi tan-networks
29.2	Evitar tas-separazzjoni tan-network biex jinkiseb kontroll. Eżempju speċifiku huwa l-użu ta’ gateways mhux protetti, jew punti ta’ aċċess (bħal gateways tat-trakkijiet u t-trailers), biex jiġu evitati l-protezzjonijiet u jinkiseb aċċess għal segmenti oħra tan-network biex jitwettqu atti malizzjużi, bħall-bgħit ta’ messaġġi arbitrarji ta’ CAN bus	M23	Għandhom jiġu segwiti l-aħjar prattiki taċ-ċibersigurtà għall-iżvilupp tas-software u l-hardware. Għandhom jiġu segwiti l-aħjar prattiki taċ-ċibersigurtà għad-disinn tas-sistema u l-integrazzjoni tas-sistema

Mitigazzjonijiet għal “Telf tad-data/vjolazzjoni tad-data mill-vettura”

Il-mitigazzjonijiet għat-theddid li huwa relatat ma’ “Telf tad-data/vjolazzjoni tad-data mill-vettura” huma elenkati fit-Tabella B7.

Tabella B7

Mitigazzjonijiet għat-theddid li huwa relatat ma’ “Telf tad-data/vjolazzjoni tad-data mill-vettura”

Referenza għat-Tabella A1	Theddid ta’ “Telf tad-data/vjolazzjoni tad-data mill-vettura”	Ref	Mitigazzjoni
31.1	Vjolazzjoni ta’ informazzjoni. Tista’ sseħħ vjolazzjoni tad-data personali meta l-karozza tibdel l-utent (eż tinbiegħ jew tintuża bħala vettura tal-kiri minn kerrejja ġodda)	M24	Għandhom jiġu segwiti l-aħjar prattiki għall-protezzjoni tal-integrità u l-kunfidenzjalità tad-data għall-ħżin tad-data personali.

Mitigazzjonijiet għall-“Manipulazzjoni fiżika tas-sistemi li jippermettu attakk”

Il-mitigazzjoni għat-theddid li huwa relatat mal-“Manipulazzjoni fiżika tas-sistemi li jippermettu attakk” hija elenkata fit-Tabella B8.

Tabella B8

Mitigazzjonijiet għat-theddid li huwa relatat mal-“Manipulazzjoni fiżika tas-sistemi li jippermettu attakk”

Referenza għat-Tabella A1	Theddid għall-“Manipulazzjoni fiżika tas-sistemi li jippermettu attakk”	Ref	Mitigazzjoni
32.1	Manipulazzjoni tal-hardware tal-OEM, eż. hardware mhux awtorizzat miżjud ma’ vettura biex jippermetti attakk minn intermedjarju informatiku	M9	Għandhom jintużaw miżuri għall-prevenzjoni u l-identifikazzjoni ta’ aċċess mhux awtorizzat

Parti C. Mitigazzjonijiet għat-theddid minn barra l-vetturi

Mitigazzjonijiet għas-“Servers back-end”

Il-mitigazzjonijiet għat-theddid li huwa relatat mas-“Servers back-end” huma elenkati fit-Tabella C1.

Tabella C1

Mitigazzjonijiet għat-theddid li huwa relatat mas-“Servers back-end”

Referenza għat-Tabella A1	Theddid għas-“Servers back-end”	Ref	Mitigazzjoni
1.1 u 3.1	Abbuż ta’ privileġġi mill-persunal (attakk minn ġewwa)	M1	Il-Kontrolli tas-Sigurtà jiġu applikati għal sistemi back-end biex jiġi mminimizzat ir-riskju ta’ attakk minn ġewwa
1.2 u 3.3	Aċċess mhux awtorizzat bl-internet għas-server (attivat pereżempju permezz ta’ backdoors, vulnerabbiltajiet tas-software tas-sistema mhux kumpressat, attakki SQL jew mezzi oħra)	M2	Il-Kontrolli tas-Sigurtà jiġu applikati għal sistemi back-end biex jiġi mminimizzat l-aċċess mhux awtorizzat. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP
1.3 u 3.4	Aċċess fiżiku mhux awtorizzat għas-server (imwettaq minn pereżempju USB sticks jew mezzi oħra konnessi mas-server)	M8	Permezz tad-disinn tas-sistema u l-kontroll tal-aċċess, jenħtieġ li ma jkunx possibbli għal persunal mhux awtorizzat li jaċċessa data personali jew data kritika tas-sistema
2.1	Attakk fuq server back-end li jwaqqfuh milli jiffunzjona, pereżempju ma jħallihx jinteraġixxi mal-vetturi u milli jipprovdi servizzi li jiddependu fuqhom	M3	Il-Kontrolli tas-Sigurtà jiġu applikati għal sistemi back-end. Fejn is-servers back-end huma kritiċi għall-forniment tas-servizzi hemm miżuri ta’ rkupru fil-każ ta’ qtugħ tas-sistema. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinsabu fl-OWASP
3.2	Telf ta’ informazzjoni fil-cloud. Data sensittiva tista’ tintilef minħabba attakki jew inċidenti meta d-data tinħażen minn fornituri terzi tas-servizzi tal-cloud	M4	Il-Kontrolli tas-Sigurtà huma applikati biex jimminimizzaw ir-riskji assoċjati mal-cloud computing. Eżempji tal-Kontrolli tas-Sigurtà jistgħu jinsabu fil-gwida tal-cloud computing tal-OWASP u l-NCSC
3.5	Vjolazzjoni ta’ informazzjoni permezz ta’ kondiviżjoni mhux intenzjonata ta’ data (eż. żbalji amministrattivi, ħżin ta’ data f’servers fil-garaxxijiet)	M5	Il-Kontrolli tas-Sigurtà jiġu applikati għal sistemi back-end biex jiġu evitati vjolazzjonijiet tad-data. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinstabu fl-OWASP

Mitigazzjonijiet għall-“Azzjonijiet umani mhux intenzjonati”

Il-mitigazzjonijiet għat-theddid li huwa relatat mal-“Azzjonijiet umani mhux intenzjonati” huma elenkati fit-Tabella C2.

Tabella C2

Mitigazzjonijiet għat-theddid li huwa relatat mal-“Azzjonijiet umani mhux intenzjonati”

Referenza għat-Tabella A1	Theddid relatat mal-“Azzjonijiet umani mhux intenzjonati”	Ref	Mitigazzjoni
15.1	Vittma innoċenti (eż. is-sid, l-operatur jew l-inġinier tal-manutenzjoni) tigi ingannata biex tieħu azzjoni ħalli tillowdja malware b’mod mhux intenzjonat jew tippermetti attakk	M18	Għandhom jiġu implimentati miżuri għad-definizzjoni u l-kontroll tar-rwoli tal-utenti u l-privileġġi tal-aċċess, abbażi tal-prinċipju tal-privileġġ tal-inqas aċċess
15.2	Proċeduri definiti ta’ sigurtà ma jiġux segwiti	M19	L-organizzazzjonijiet għandhom jiżguraw li l-proċeduri tas-sigurtà jiġu definiti u segwiti inkluż l-illoggjar tal-azzjonijiet u l-aċċess relatati mal-ġestjoni tal-funzjonijiet tas-sigurtà

Mitigazzjonijiet għat-“Telf fiżiku ta’ data”

Il-mitigazzjonijiet għat-theddid li huwa relatat mat-“Telf fiżiku tad-data” huma elenkati fit-Tabella C3.

Tabella C3

Mitigazzjonijiet għat-theddid li huwa relatat mat-“Telf fiżiku tat-telf tad-data”

Referenza għat-Tabella A1	Theddid tat-“Telf Fiżiku tad-data”	Ref	Mitigazzjoni
30.1	Ħsara kkawżata minn parti terza. Data sensittiva tista’ tintilef jew tiġi kompromessa minħabba ħsarat fiżiċi f’każijiet ta’ inċident tat-traffiku jew serq	M24	Għandhom jiġu segwiti l-aħjar prattiki għall-protezzjoni tal-integrità u l-kunfidenzjalità tad-data għall-ħżin tad-data personali. Eżempji ta’ Kontrolli tas-Sigurtà jistgħu jinsabu fl-ISO/SC27/WG5
30.2	Telf minn kunflitti ta’ DRM (ġestjoni tad-drittijiet diġitali). Id-data tal-utent tista’ titħassar minħabba kwistjonijiet ta’ DRM
30.3	L-(integrità ta’) data sensittiva tista’ tintilef minħabba t-tkagħbir bl-użu ta’ komponenti tal-IT, u dan jikkawża problemi potenzjali f’kaskata (pereżempju f’każ ta’ alterazzjoni taċ-ċwievet)

Top