Cybersicherheit für Straßenfahrzeuge - EP.1 - Mit großer Macht kommt große Verantwortung

von | 30. Mai 2022 | Automotive, Cybersecurity

LinkedIn

Dieser Artikel ist die erste Folge einer neuen Serie, die sich mit aktuellen Themen der Cybersicherheit befasst, die von den Akteuren der Automobilindustrie angegangen werden müssen, um die geforderten Konformitätsniveaus zu erreichen und die besten Sicherheitsverfahren umzusetzen.

Wie in einem unserer früheren Artikel vorgestellt (siehe UNECE WP.29 / R155 - Wie Cybersicherheit den Automobilmarkt ab Juni 2022 beeinflussen wird) vorgestellt wurde, ist die neue UN ECE R155-Regelung für die Cybersicherheit von Straßenfahrzeugen im Juni 2021 in Kraft getreten und wird ab Juli 2022 für alle Fahrzeughersteller teilweise verbindlich sein (die vollständige Einhaltung ist für Juli 2024 vorgesehen).

Wie in der Verordnung selbst angegeben, werden diese neuen Vorschriften von den Zulassungsbehörden nur den Fahrzeugherstellern auferlegt. Einige Teile dieser Vorschriften betreffen jedoch Sicherheitsaspekte in der gesamten Lieferkette und wirken sich daher auch auf jeden einzelnen Lieferanten sicherheitskritischer Elemente aus. Es liegt dann in der Verantwortung der Antragsteller für die Fahrzeugtypgenehmigung, die entsprechenden Anforderungen für ihre eigenen Zulieferer abzuleiten.Die Hersteller sind verpflichtet, eine ausreichende Menge an Nachweisen zu sammeln, um ihre Fähigkeiten zur Entwicklung, zum Betrieb und zur Aufrechterhaltung der Sicherheit der gelieferten Elemente während des gesamten Lebenszyklus des Fahrzeugs nachzuweisen (siehe Abbildung unten).

In der obigen Abbildung wurden die beiden Seiten der Zusammenarbeit vorgestellt, die die Fahrzeughersteller berücksichtigen müssen, sowie die beiden Dimensionen der Anforderungen:

 

OEM an Zulassungsbehörden

    • OEMs müssen nachweisen, dass sie über ein Cybersicherheitsmanagementsystem (CSMS = Prozessrahmen für den Umgang mit fahrzeugbezogenen Cyberrisiken während des gesamten Fahrzeuglebenszyklus) verfügen.
    • Auf der Grundlage eines etablierten und genehmigten CSMS müssen OEMs fahrzeugtypspezifische Nachweise erbringen, die angemessene Maßnahmen zur Minderung von Cyber-Risiken im Zusammenhang mit ihren Produkten belegen (z. B. eine konsistente Risikobewertung, einschlägige Maßnahmen zur Minderung usw.).

 

OEM an seine Lieferanten

    • OEMs müssen relevante Cybersicherheitsanforderungen definieren, die sie an ihre Zulieferer weitergeben müssen, um eine durchgängige Sicherheit in der gesamten Lieferkette zu gewährleisten.
    • OEMs sind dafür verantwortlich, ihre Zulieferer für die Bereitstellung sicherheitskonformer Produkte und Dienstleistungen zu qualifizieren bzw. zuzulassen.
    • Die OEMs sind dafür verantwortlich, die Abstimmung der gemeinsamen Aktivitäten mit den Zulieferern sicherzustellen, in der Regel durch Schnittstellenvereinbarungen

 

Die Fahrzeughersteller sollten sich daher darüber im Klaren sein, dass die relative Flexibilität, die sie im Umgang mit ihren Zulieferern haben, letztlich starke Auswirkungen auf ihre Fahrzeug-Typgenehmigungsverfahren haben kann. Aktuelle Methoden und bewährte Praktiken zur Einhaltung der UN ECE R155, vor allem durch die Anwendung der ISO/SAE 21434 als Leitfaden, werden in künftigen Folgen dieser Reihe ausführlich beschrieben.

 

 

Weitere geplante Episoden:

    • Cybersicherheit für Straßenfahrzeuge - EP.2 - Die Geschichte eines Managementsystems
    • Cybersicherheit für Straßenfahrzeuge - EP.3 - Von der organisatorischen Compliance bis zur Fahrzeug-Typgenehmigung
    • Cybersicherheit für Straßenfahrzeuge - EP.4 - Wie Zertifizierungen Zulassungen unterstützen können
    • Und es wird noch mehr kommen...

Wie CertX Ihre Roadmap für Compliance unterstützen kann

 

Als anerkannte Zertifizierungsstelle in der gesamten Automobilbranche kann CertX Ihr Unternehmen auf verschiedene Weise unterstützen, je nach Reifegrad und Position innerhalb der Lieferketten. Nachfolgend eine kurze Zusammenfassung der Dienstleistungen, die von unserem Cyber Security Team angeboten werden:

Ausbildungsunterstützung für Ingenieure und Manager

    • Awareness-Schulungen: maßgeschneiderte Sitzungen/Workshops zu Aktivitäten und Techniken im Bereich der Cybersicherheit, um ein umfassendes Verständnis für den aktuellen Stand der Technik zu erlangen
    • Zertifizierbare Ausbildung: ISO/SAE 21434 Automotive Cyber Security Red Belt (A-CSRB)

    Gap-Analyse und Pre-Assessment zur Identifizierung von Schwachstellen

      • Bewertung Ihrer derzeitigen Konformität mit den Anforderungen von ISO/SAE 21434 und/oder UN ECE R155 entweder auf organisatorischer Ebene (CSMS) oder auf Produktebene (produktspezifische Artefakte)
      • Für OEM zur Vorbereitung der Konformitätsprüfung mit den Zulassungsbehörden
      • Für Lieferanten, die bereit sind, die kommenden Anforderungen der OEM zu erfüllen

     

    Unterstützende Dienstleistungen für CSMS-Design und -Implementierung sowie für die Einhaltung der Produktsicherheit

      • Unterstützung bei der Einführung neuer Arbeitsweisen, Integration von Cybersicherheitspraktiken auf der Grundlage neuer Verfahren, Dokumente und Instrumente
      • In der Regel auf der Grundlage der ersten Ergebnisse der Lückenanalyse

     

    ISO/SAE 21434 - CSMS, Prozess- oder Produktzertifizierungen

      • Unabhängige und anerkannte Bewertung Ihres Managementsystems, Ihres Prozessrahmens oder Ihrer produktspezifischen Artefakte zur Erlangung offizieller ISO/SAE 21434-Zertifizierungen
      • Der Umfang hängt von Ihrer Position in der Lieferkette und Ihren strategischen Zielen ab.

    Wenn Sie Fragen zu den neuen rechtlichen Rahmenbedingungen im Bereich der Cybersicherheit für die Automobilindustrie haben oder andere offene Fragen dazu, wie die Anwendung relevanter Standards und Zertifizierungen für die Einhaltung der Vorschriften genutzt werden kann, zögern Sie bitte nicht, unsere Experten für Cybersicherheitzu kontaktieren