Dieser Artikel ist der zweite Teil einer Blogserie, die sich mit Trends in der Cybersicherheit und bewährten Verfahren befasst, die von den Akteuren in der Automobilindustrie bei der Implementierung von State-of-the-Art-Techniken und der Einhaltung von Vorschriften zu beachten sind.
Vorherige Episode
Kommende Episode
- Cybersicherheit für Straßenfahrzeuge - EP.3 - Die Geschichte eines Managementsystems
- Cybersicherheit für Straßenfahrzeuge - EP.4 - Vom Verfahren zum Produkt
- Und es wird noch mehr kommen...
In EP.1 dieser Blogserie wurden neue Cybersicherheitsanforderungen (insbesondere hinsichtlich der Auswirkungen auf Zulieferer) vorgestellt, die Fahrzeughersteller ab Juni 2022 bei der Beantragung neuer Typgenehmigungen erfüllen müssen. Hinter diesen neuen Erwartungen, die in der UN ECE R155 festgelegt sind, steht ein dreistufiger Ansatz, den die Hersteller verfolgen müssen:
1. Zertifizierung des Cybersicherheitsmanagementsystems (CSMS)
Die Fahrzeughersteller müssen den Behörden zunächst ihren Rahmen für Cybersicherheitsprozesse, auch Cybersicherheitsmanagementsystem (CSMS) genannt, nachweisen. Dieser erste Schritt ist obligatorisch, um ein CSMS-Zertifikat zu erhalten, das die erste Voraussetzung für die Beantragung einer neuen Typgenehmigung ist. Dieses Zertifikat ist nicht an ein bestimmtes Fahrzeugprogramm gebunden und stellt den Nachweis dar, dass ein Hersteller in der Lage ist organisatorische Fähigkeit die Anforderungen der UN ECE R155 zu erfüllen.
2. Fahrzeug-Typgenehmigung (VTA)
Nach Erhalt dieses CSMS-Zertifikats sind die Fahrzeughersteller berechtigt, Fahrzeugtypgenehmigungen (VTA) zu beantragen. Ziel dieses zweiten Schritts ist es, zu bewerten, dass der Prozessrahmen, der in Schritt 1 "zertifiziert" wurde, im Kontext eines bestimmten Fahrzeugprogramms/Fahrzeugtyps effektiv angewendet wurde. In dieser Phase müssen die Hersteller daher Unterlagen vorlegen, die Folgendes belegen Fahrzeugsicherheit die Umsetzung des Prozesses (z. B. für den Prozess der Risikobewertung Nachweis einer vollständigen Risikobewertung für diesen speziellen Fahrzeugtyp)
Hinweis: Für Fahrzeugprogramme, die vor der CSMS-Zertifizierung eingeleitet wurden, sind Abweichungen von diesen Prozessen bis Juni 2024 zulässig, müssen aber begründet werden.
Eine Typgenehmigung ist nur der erste Meilenstein, der erreicht werden muss, um Autos auf dem Markt verkaufen zu dürfen. Um diese Genehmigung aufrechtzuerhalten, verlangen die Behörden jedoch auch regelmäßige Kontrollen, um die kontinuierliche Anwendung von Sicherheitsprozessen während der gesamten Lebensdauer eines Fahrzeugtyps zu bestätigen. Die dritte Phase dieser Reise könnte daher wie folgt beschrieben werden:
3. Berichterstattung über Rückstellungen
Nach Erteilung der Typgenehmigung müssen die Fahrzeughersteller regelmäßig (mindestens einmal pro Jahr) über die Ergebnisse ihrer Überwachungsmaßnahmen, Informationen über neue Cyberangriffe und potenzielle Vorfälle, die eine Anpassung der Sicherheitsmaßnahmen erforderlich machen könnten, berichten. Das Hauptziel dieser Berichterstattung besteht darin, dass der Hersteller gegenüber den Behörden nachweisen kann, dass die Schutzmaßnahmen nach wie vor wirksam und angemessen sind, um der sich entwickelnden Bedrohungslandschaft zu begegnen
Hinweis: Wenn die Berichterstattung oder Reaktion nicht ausreichend ist, kann die Genehmigungsbehörde beschließen, das CSMS-Zertifikat zu entziehen (und damit die Typgenehmigung auszusetzen).
Der gesamte Prozess ist im Folgenden zusammengefasst und illustriert
CertX als Ihr Partner für die Einhaltung der UN ECE R155 und/oder ISO 21434
Wenn Sie Fragen zu den neuen regulatorischen Gegebenheiten im Bereich der Cybersicherheit für die Automobilindustrie haben oder andere offene Punkte dazu, wie die Anwendung relevanter Standards und Zertifizierungen für die Einhaltung der Vorschriften genutzt werden kann, zögern Sie bitte nicht, sich an unsere Cybersicherheitsexperten