Autonomes Fahren, vernetzte Autos, Elektrofahrzeuge und Shared Mobility - diese Themen haben in den letzten Jahren die Agenda der führenden Automobilhersteller dominiert. Diese Innovationen, die auf der Digitalisierung von Systemen im Fahrzeug, der Erweiterung von IT-Systemen im Fahrzeug und der Verbreitung von Software basieren, machen moderne Autos zu Informationsdrehscheiben und gleichzeitig zu verlockenden Zielen für Cyberangriffe.

 a

Derzeit ist die Berücksichtigung von Cybersicherheitsaspekten in modernen Autos eine Frage der guten Praxis, stellt aber keine formale regulatorische Anforderung für die Beantragung einer Fahrzeugtypgenehmigung dar... Aber das war vor derVerabschiedung der neuen UNECE WP.29-Regelung R155 für CSMS (Cyber Security Management System) durch das World Forum for Harmonization of Vehicle Regulations der UNECE.

 a

Diese werden Cybersicherheit als nicht verhandelbar darstellen , um den Marktzugang und die Typenzulassung in mehr als 60 Ländern zu sichern, die Mitglieder der UNECE WP.29 sind.

Was sind die neuen regulatorischen Anforderungen?

 

Im Rahmen der UNECE WP.29-Regelungen wurden kürzlich zwei neue Dokumente angenommen, die wichtige Zukunftsthemen abdecken: Cybersicherheit (R155) und SW-Update (R156). Dieser Artikel konzentriert sich nur auf das erste dieser Dokumente, aber der Ansatz für die Entwicklung der SW-Update-bezogenen Dokumente ist recht ähnlich, wobei die Entwicklung der regulatorischen Anforderungen (WP.29/R156) parallel zur Erstellung des technischen Standards (ISO/CD 24089) erfolgt, der letztendlich von Organisationen angewendet wird, um die Einhaltung des Stands der Technik zu demonstrieren.

 a

Die neuen Anforderungen an die Cybersicherheit lassen sich in zwei Hauptkategorien unterteilen:

 a

  • Einrichtung eines Cyber Security Management Systems (CSMS), das die Richtlinien und Prozesse der Organisation für den Umgang mit Cyber-Risiken in Bezug auf den gesamten Lebenszyklus von Fahrzeugen, Ausrüstungen und Dienstleistungen umfasst
  • Aktivitäten und Dokumentationen im Zusammenhang mit der sicheren Entwicklung von Automobilteilen sowie Aktivitäten nach der Entwicklung wie Produktion, Betrieb, Wartung und Außerbetriebnahme.

 a

Diese Ziele müssen in naher Zukunft von OEMs, Tier-1s und dem Rest der Lieferkette nachgewiesen werden, um neue Fahrzeuge auf den Markt bringen zu dürfen.

In der Europäischen Union wird die neue Regelung zur Cybersicherheit (UNECE WP.29/R155) für alle neuen Fahrzeugtypen ab Juli 2022 verpflichtend sein. für alle neuen Fahrzeugtypen ab Juli 2022 und wird verpflichtend für alle neu produzierten Fahrzeuge ab Juli 2024

Wie kann man mit den neuen regulatorischen Anforderungen umgehen?

Dieses Thema stellt eine große Herausforderung für den Automobilmarkt dar, der sich der Cybersicherheitsaspekte nicht ausreichend bewusst ist. In der Tat entwickeln Automobilunternehmen von Natur aus eine robuste Sicherheitskultur, aber die starke Entwicklung von vernetzten Fahrzeugen macht diese Ansätze unzureichend, um die gesamte Landschaft der neuen Risiken rund um intelligente und sogar potenziell automatisierte Autos zu adressieren.

a

Funktionale Sicherheit ist seit Jahren ein Schlüsselthema für die gesamte Lieferkette, aber bekannte Normen wie ISO 26262 befassen sich nur mit Sicherheitsrisiken und basieren auf Methoden und Techniken, die als systemimmanent angesehen werden (z. B. systematische Fehler, zufällige HW-Fehler usw.). Diese Aktivitäten sind natürlich obligatorisch, um eine bestimmte Gruppe von Risiken zu adressieren, aber was ist mit anderen Risiken, die von außen kommen?

a

Genau hier wird Cybersicherheit aufgrund ihrer systemexternen Natur kritisch. Risikoquellen sind heutzutage zahlreich und ihre potenziellen Auswirkungen können auch über "nur" die Sicherheit hinausgehen. Typische Risikobewertungsansätze für automobilbezogene Disziplinen sind die Bewertung potenzieller Schäden auf der Grundlage von drei Hauptsäulen, nämlich der Sicherheitsauswirkung/Schweregrad, der Wahrscheinlichkeit/Exposition und der Kontrollierbarkeit eines Ereignisses. Diese Säulen sind der Schlüssel für die Quantifizierung und Priorisierung von Risiken, die durch organisatorische Rahmenbedingungen angegangen werden müssen.

a

Im Kontext der Cybersicherheit ist der Ansatz ein wenig anders. In der Tat können die potenziellen Auswirkungen von Cyber-Angriffen unterschiedlich sein und sollten stark auf die Risikobereitschaft von Unternehmen abgestimmt werden. Der typische Ansatz für die Bewertung der Auswirkungen besteht darin, sie anhand von vier Dimensionen zu bewerten: Sicherheit, Finanzen, Betrieb und Datenschutz (SFOP). Die Durchsetzung neuer Vorschriften wie der General Data Protection Regulation (GDPR) zwingt Organisationen dazu, auch über andere Risikokategorien nachzudenken.

a

Die Wahrscheinlichkeit von unerwünschten Ereignissen lässt sich bei Cybersicherheitsrisiken kaum direkt quantifizieren, daher werden in der Regel andere Kriterien in Bezug auf die Durchführbarkeit eines Angriffs für die Risikobewertung herangezogen (z. B. benötigte Ausrüstung, Fähigkeiten des Angreifers, Zeitfenster...)

Diese grundlegenden Unterschiede bei der Bewertung stellen neben der Dynamik der Bedrohungslandschaft die Hauptgründe dar, warum für den Umgang mit Cyber-Risiken spezifische Ansätze erforderlich sind.

a

Um diese Ansätze und neuen Prozesse zu implementieren, wurde ein neuer Standard namens ISO/SAE 21434 veröffentlicht (letzte Veröffentlichung: FDIS: März2021), der den Rahmen definiert, den Organisationen für den Umgang mit Cybersicherheit einrichten müssen, in Übereinstimmung mit anderen relevanten Referenzen wie ISO26262

ISO/SAE 21434 als Hauptreferenz für die Einhaltung von Vorschriften

 

Wie bereits kurz erwähnt, wurden die WP.29/R155 und die ISO/SAE 21434 parallel entwickelt, um sicherzustellen, dass die regulatorischen Anforderungen durch die Anwendung bestehender Standards erfüllt werden können. Dieses Dokument stellt die Ergebnisse des Branchenkonsenses über die wichtigsten Cybersicherheitspraktiken dar, die zur Erreichung eines sicheren Zustands auf dem gesamten Automobilmarkt anzuwenden sind.

a

Der Juni 2022 ist nun sehr nah, daher müssen Organisationen so früh wie möglich mit der Arbeit beginnen und diese neue Cybersicherheitsdisziplin und diese neuen Referenzen in ihre Richtlinien und Prozesse integrieren, um bereit zu sein, die Konformität gegenüber den Behörden nachzuweisen und nicht durch zukünftige Zulassungsprogramme blockiert zu werden. Die ersten Anforderungen im Jahr 2022 werden sich auf die CSMS-Demonstration konzentrieren. Hier sollten Sie Ihre Bemühungen auf die Etablierung Ihrer organisatorischen Richtlinien und Prozesse als Rahmenwerk konzentrieren. Das nächste Ziel wird die Demonstration der realen Anwendung Ihres Frameworks bei der Entwicklung Ihrer Artikel sein. Mit anderen Worten: Sie müssen Aufzeichnungen über Arbeitsprodukte / Deliverables bis Juni 2024 vorweisen.

a

Die OEMs werden nicht die einzigen Stakeholder sein, die von diesen neuen Anforderungen betroffen sind. Tatsächlich wird ein Teil von ihnen von den OEMs verlangen, die Fähigkeiten ihrer Zulieferer nachzuweisen, die Cybersicherheit ebenso zu berücksichtigen wie die Sicherheit ihrer eigenen Artikel. Wir werden daher eine Integration der neuen Cybersicherheitsanforderungen in die gesamte Lieferkette sehen

Und nicht zuletzt wird die Einhaltung von Cybersicherheitsrichtlinien gesetzlich vorgeschrieben, aber darüber hinaus müssen Sie diese Aktivitäten in Ihr Unternehmen integrieren, um das Risiko zu verringern, gehackt und aufgrund eines kritischen Cybervorfalls vom Markt verdrängt zu werden, was sich kritisch auf Ihr Unternehmen auswirken könnte.

Wie CertX Ihre Roadmap für Compliance unterstützen kann

 

Als anerkannte Zertifizierungsstelle in der gesamten Automobilbranche kann CertX Ihr Unternehmen auf verschiedene Weise unterstützen, je nach Reifegrad und Position innerhalb der Lieferketten. Nachfolgend eine kurze Zusammenfassung der Dienstleistungen, die von unserem Cyber Security Team angeboten werden:

  • Ausbildung für Ingenieure und Manager
    • Awareness-Schulungen: maßgeschneiderte Sitzungen/Workshops zu Aktivitäten und Techniken im Bereich der Cybersicherheit, um ein umfassendes Verständnis für den aktuellen Stand der Technik zu erlangen
    • Zertifizierbare Ausbildung: ISO/SAE 21434 Automotive Cyber Security Red Belt (A-CSRB)

  • Gap-Analyse und Pre-Assessment zur Identifizierung von Schwachstellen
    • Bewertung Ihrer aktuellen Konformität mit den Anforderungen der ISO/SAE 21434 entweder auf organisatorischer Ebene (CSMS) oder auf Produktebene (produktspezifische Dokumentation), unter dem Gesichtspunkt der Konformität mit UNECE WP.29/R155

  • Zertifizierungen von Zielen der Cybersicherheit
    • Diese Aktivitäten sind abhängig von der offiziellen Veröffentlichung der ISO/SAE 21434, die für Q2-Q3 2021 geplant ist.

Wenn Sie Fragen zu den neuen regulatorischen Gegebenheiten rund um die Cybersicherheit für die Automobilindustrie haben oder andere offene Punkte, wie die Anwendung relevanter Standards und Zertifizierungen für den Compliance-Nachweis genutzt werden können, zögern Sie nicht, unseren Cybersicherheitsspezialisten zu kontaktieren: Kilian Marty