UN-Regelung 155 (UN-R155)
Was ist die UNECE und WP.29?
Was ist die UNECE World Forum for Harmonisation of Vehicle Regulation (WP.29) ist ein weltweites Reglulierungsforum im institutionellen Rahmen des INECE Inland Transport Committee. Der rechtliche Rahmen bilden drei UN-Übereinkommen aus den Jahren 1958, 1997 und 1998, welche es ermöglicht, Regulierungen für Kraftfahrzeuge und Kraftfahrzeugausrüstung zu schaffen. Die Mitgliedsländer treffen sich dreimal im Jahr und erlassen UN-Vorschriften und UN-Regelungen.
Was sind UN-Vorschriften und UN-Regelungen?
UN-Vorschriften und UN-Regelungen enthalten für Fahrzeuge, ihre Systeme, Teile sowie Ausrüstung Bestimmungen in Bezug auf Sicherheits- und Umweltaspekte. Diese werden konkretisiert in Prüfungsanforderungen sowie Verwaltungsverfahren. Die Verwaltungsverfahren betreffen die Typgenehmigung von Fahrzeugsystemen, Teilen und Ausrüstungen, die Konformität der Produktion (d.h .die Mittel zum Nachweis der Fähigkeit der Hersteller, eine Reihe von Produkten herzustellen, die genau den Typgenehmigungsspezifikationen entsprechen) und die gegenseitige Anerkennung der von den Vertragsparteien erteilten Typgenehmigungen. Weiterhin werden auch regelmäßige technische Inspektionen von Fahrzeugen geregelt.
UN-R155
Die UNECE WP.29 hat mit der UN-R155 neue Anforderungen für den Schutz von Fahrzeugen gegen die Bedrohungen der Cybersicherheit festgelegt.
Herzstück hierfür ist die Entwicklung, Aufbau, Implementierung, Betrieb und ständige Verbesserung eines Cybersicherheitsmanagementsystem (CSMS) in allen Unternehmen, die Fahrzeuge in den Verkehr bringen. Wichtig ist dabei, dass der gesamte Lebenszyklus zu beherrschen ist und damit endet die Verpflichtung nicht mehr beim „Start of Production (SOP)“.
Die Verpflichtung bedeutet eine fortlaufende Überprüfung der Cybersicherheit eines Fahrzeuges, inklusive Nachbesserungen und Fahrzeugtypen-Updates. Da derzeit der OEM sehr viele Teile seiner Softwareentwicklung an Dritte vergeben hat (über 70 %) muss der OEM auch die Risiken der Zulieferer bei der Softwareentwicklung kennen und beherrschen. Damit werden die Zulieferer zum Bestandteil der Anforderungen für die Typenzulassung und müssen ebenfalls ein CSMS zukünftig nachweisen können. Das CSMS des OEM muss somit Cybersicherheit ganzheitlich abdecken – vom Security-by-Design, bis zur Datenverwaltung bzw. -löschung am Ende des Lebenszyklus.
Die Regelungen zu einem Cybersicherheitsmanagementsystem (CSMS) werden in der UN-R155 in Kapitel 6 und 7 festgelegt.
Dazu werden eingeführte Verfahren für eine einheitliche Bewertung verlangt. Das CSMS ist ebenso wie andere Managementsystem auszugestalten und hat folgende Merkmale:
- Organisation des CSMS,
- Risikomanagement mit Prozessen zur Risikoerkennung, Risikobewertung und -minderung von Cyber-Bedrohungen
- Fortlaufende Überwachung und Reaktionen bezüglich Cyber-Bedrohungen,
- Schwachstellenmanagement, um mit neuen Updates gegen Bedrohungen reagieren zu können,
- Beherrschung der Risiken im Bereich der Cybersicherheit der Lieferanten und Beherrschung dieser,
- Erstmalige externe Begutachtung des CSMS durch ein zugelassene Prüfungsorganisation mit Prüfungsbericht und einer Gültigkeit von drei Jahren.
Um die UN-R155 zu konkretisieren und prüfbar zu gestalten, wurde die Norm ISO/SAE 21434 „Road Vehicles – Cybersecurity Engineering” entwickelt. Diese schlägt umfangreiche Maßnahmen für die
- Organisation des CSMS,
- Projektabhängige Maßnahmen,
- Maßnahmen vom Design, Entwicklung, Betrieb bis zu Ende des Lebenszyklus
vor und ermöglicht Unternehmen somit die Umsetzung der UN-R155 in der Praxis. Prüfungsorganisationen bieten an, die konforme Umsetzung der ISO/SAE 21434 zu bestätigen.