Der Blick auf die Pendants zur UN Regulierung Nr. 155: Überblick über die weltweite Automotive Cybersecurity Regulierung (Mitte 2025)

Die immense Bedeutung der UN Regulierung Nr. 155 als effektiver Rahmen für die Berücksichtigung von Cybersicherheit rund um das Fahrzeug zeigt sich aktuell auch darin, dass die Regulierung nicht nur regions- und länderübergreifend als Maßstab herangezogen wird, sondern auch ihr Geltungsbereich zunehmend erweitert wird.

So besteht eine bedeutende Erweiterung darin, dass Fahrzeuge der Fahrzeugkategorie L (zwei- und dreirädrige Fahrzeuge, also u.a. Motorräder) in den Geltungsbereich der UN R155 fallen sollen.

Dies lässt sich einsehen in der EU-Verordnung Nr. 168/2013 (Typgenehmigung und Marktüberwachung für Motorräder/Mopeds und Quads in der EU), die nun auch die Notwendigkeit von Cybersicherheitsgrundsätzen umfasst (siehe Artikel 68).

Erste Vorschläge für eine entsprechende Gesetzesänderung mit Blick auf die UN R155 liegen auf dem Tisch: Demzufolge soll die Typgenehmigung für die hiermit betroffenen Fahrzeuge ab dem 1. Juli 2029 in den Geltungsbereich der UN R155 fallen.

Die Akteure der zugehörigen Wertschöpfungskette tun gut daran, den Notwendigkeiten der zugehörigen Cybersicherheitsanforderungen frühzeitig ausreichend Priorität (und Ressourcen!) einzuräumen. Nicht zuletzt weil sich der Zeitplan auch noch beschleunigen kann – etwa durch den Cyber Resilience Act (CRA).

Gleichzeitig ist die inhaltliche Weiterentwicklung der Voraussetzungen für erfolgreiche Cybersicherheit mit der UN R155 nicht abgeschlossen. So werden derzeit die Verantwortlichkeiten und nötigen Aktivitäten für die Cybersicherheit bis bzw. am Ende des Produktlebenszyklus diskutiert.

Ein Positionspapier des VDA-Arbeitskreises Cybersicherheit, das derzeit erarbeitet wird, könnte hierzu in Kürze eine wichtige Position liefern. Der vertiefende Blick auf die Herausforderungen, die mit dem Ende der Fahrzeuglebensdauer aus Sicht der Cybersicherheit einhergehen, soll ergänzend Klarheit in eines der vielen noch offenen Handlungsfelder bringen.

Die UN Regulierung Nr 155 als globaler Maßstab für Cybersicherheit im Fahrzeug

In Expertenkreisen gelten die Anforderungen der UN R155 in Bezug auf Cybersicherheit rund um das Fahrzeug (und alle involvierten Handlungsfelder, strukturell, prozessual etc). Die Prinzipien rund um das CSMS haben sich sowohl auf Seiten der OEMs als auch weit in der Zulieferlandschaft durchgesetzt.

Entsprechend wurde und wird die UN R155 auch in Ländern und Regionen jenseits des UNECE-Geltungsbereichs herangezogen, wenn es darum geht, parallele Regelwerke zu entwickeln.

In den folgenden Abschnitten soll ein erster Überblick über die wichtigsten globalen Entwicklungen diesbezüglich gegeben werden.

Südkorea, die UN R155 und der Blick auf die Selbstzertifizierung – Zwischen globaler Angleichung und lokalen Besonderheiten

Südkorea ist formell Teil des von UNECE-Abkommens von 1958 und somit im Geltungsbereich der UN R155. Es nimmt jedoch eine Sonderstellung bei der Übernahme von harmonisierten technischen UN-Regelungen ein. In der Erklärung zum UN-Übereinkommen heißt es dazu einfach aber klar: „The Republic of Korea declares that it does not consider itself bound by any of the Regulations.” (Source)

Diese einzigartige Sonderstellung ermöglicht es Südkorea somit, eigene rechtsverbindliche Regelungen für die Cybersicherheit von Fahrzeugen zu entwickeln. Eine inhaltliche Bezugnahme auf internationale Rahmenwerke wie UN R155 und ISO/SAE 21434 ist jedoch weiterhin möglich.

Eine weitere regionale Besonderheit in der südkoreanischen Regulierungslandschaft ist die Nutzung eines Selbstzertifizierungssystems (“Self-Certification-System”) für die Typgenehmigung von Fahrzeugen.

Im Gegensatz zu vielen anderen Ländern, die sich bei der Zertifizierung von Cybersicherheitsmaßnahmen auf technische Dienste Dritter oder staatliche Typgenehmigungsbehörden verlassen, sind in Südkorea die Hersteller selbst dafür verantwortlich, die Konformität ihrer Fahrzeuge mit den geltenden Vorschriften zu beurteilen.

Dies ermöglicht einerseits eine größere Flexibilität, verlagert aber auch die Verantwortung für die Einhaltung der Vorschriften und die Haftung direkt auf den Hersteller. Ergänzt wird dies durch eine behördliche Überwachung nach dem Inverkehrbringen der Fahrzeuge und strenge Rückrufpflichten.

Zeitachse der Südkoreanischen Fahrzeug-Cybersicherheitsregulierung

Losgelöst vom ursprünglichen Zeitplan der UN R155 (neue Fahrzeugtypen: Juli 2022, alle Fahrzeuge: Juli 2024) steht für die südkoreanische Cybersicherheitsverordnung eine andere Zeitachse im Raum, der inzwischen fest steht:

• Ab dem 14. August 2025: Neue Fahrzeugtypen müssen den Vorschriften entsprechen
• Ab dem 14. August 2027: Alle Fahrzeuge (einschließlich der übernommenen Typen) müssen ab diesem Stichtag den Vorschriften entsprechen

Obwohl die Verordnung selbst noch nicht endgültig finalisiert ist, wurden bereits erste Entwürfe sowohl des Rahmenwerks für das Cybersicherheits-Managementsystem (CSMS) als auch einer vorläufigen, aktuell in Bearbeitung befindlichen, Audit-Checkliste in Umlauf gebracht.

Die aktuelle Checkliste enthält etwa 140 detaillierte Anforderungen, die sich aus folgenden Quellen speisen:

• der UN Regulierung Nr. 155
• dem zugehörigen offiziellen Interpretations-Dokument,
• und der ISO/SAE 21434.

Dieser hohe Grad an Spezifizierung stellt für viele OEMs eine Herausforderung dar, insbesondere für diejenigen, deren bestehendes CSMS dem allgemeineren und risikobasierten Ansatz der UN R155 folgt. Diese Unternehmen stehen nun vor der Herausforderung, ihre Ansätze für den Absatzmarkt Südkorea an die südkoreanische Checkliste anzupassen. Aktuell hat auch die Korea Automobile Importers & Distributors Association (KAIDA) eine Stellungnahme zum derzeitigen Vorgehen erarbeitet, die mit der zuständigen südkoreanischen Behörde diskutiert wird.

Generell kann daher festgestellt werden, dass sich die südkoreanischen Behörden in dieser Hinsicht sehr kooperativ und flexibel zeigen.

So dienen die ersten Audits hier nicht nur der Überprüfung der Konformität, sondern auch gezielt der Verfeinerung der Checkliste und der Konkretisierung der Auslegung der Anforderungen. Damit wird der Fokus auf realistische Prozesse und gängige Industriepraktiken gelegt.

Dieser offene Dialog zwischen den Regulierungsbehörden und der Industrie deutet darauf hin, dass der Ansatz zwar in Bezug auf die Granularität strenger ist, aber dennoch genügend Flexibilität für die spezifische Umsetzung bietet.

Fahrzeug-Cybersicherheitsregulierung im Vereinigten Königreich – Neupositionierung nach dem Brexit

Im Vereinigten Königreich machen die weitreichenden Folgen des Brexit auch vor den Cybersicherheitsvorschriften für die Automobilindustrie nicht halt. Mit dem Brexit ist das Vereinigte Königreich nicht mehr an die EU General Safety Regulation gebunden, die die Einhaltung der UN R155 für die Typgenehmigung innerhalb der Europäischen Union vorschreibt.

Folglich kann das Vereinigte Königreich autonom entscheiden, ob und wie es die Anforderungen der UN R155 an die Cybersicherheit auf die Straße bringt.

Derzeit führt das britische Verkehrsministerium (Department for Transport, kurz DfT) eine offene Erhebung mit dem Titel „GB Type Approval Scheme: Cyber Security and Software Update Requirements“ (Source) durch, bei der sowohl Branchenvertreter als auch die Öffentlichkeit um Input gebeten werden.

Diese bis Ende April 2025 laufende Untersuchung macht bereits deutlich, dass sich Großbritannien generell an den Prinzipien der UN R155 orientieren will, wenngleich es in der finalen Umsetzung auch zu lokalen Anpassungen kommen kann.

Besonders hervorzuheben ist an dieser Stelle die hohe Transparenz und Inklusivität des aktuellen britischen Prozesses.

Durch das aktive Einholen von Feedback von OEMs, Zulieferern und Cybersicherheitsexperten strebt Großbritannien eine ausgewogene Regulierung an, die Cybersicherheit und Schutzmaßnahmen einerseits und die praktischen Auswirkungen auf die Industrie andererseits berücksichtigt.

Dementsprechend ist derzeit davon auszugehen, dass sich die Kernanforderungen der UN R155 in der britischen Regulierung widerspiegeln werden, wenn auch im Rahmen einer rein nationalen Typgenehmigung. Dies zeigt die eingangs erwähnte hohe Bedeutung, die die UN R155 heute weltweit hat.

Fahrzeug-Cybersicherheits-Regulierung in China – Technisch anspruchsvoll und stets evidenzbasiert

China hat mit der Veröffentlichung der GB 44495:2024 eines der detailliertesten und technisch anspruchsvollsten Regelwerke für die Cybersicherheit von Kraftfahrzeugen geschaffen. Insbesondere auch mit Blick auf die Zeitachse:

• Ab Januar 2026: Wirksamkeit für alle neuen Fahrzeugtypen.
• Ab Januar 2028: Wirksamkeit für alle Fahrzeugtypen.

Im Gegensatz zur UN R155, die weitgehend risikobasiert und prozessorientiert ist, legt der chinesische Ansatz einen starken Schwerpunkt auf die technische Verifizierung und die Erbringung konkreter Nachweise.

Ein wichtiger Schritt in dieser Entwicklung wurde bereits 2021 unternommen, als das Ministerium für Industrie und Informationstechnologie (MIIT) einen Verordnungsentwurf mit dem Titel „Technische Anforderungen an die Cybersicherheit von Fahrzeugen“ veröffentlichte.

Dieses Dokument legte den Grundstein für das, was Chinas nationales Pendant zur UN R155 werden sollte, und spiegelt ähnliche Prinzipien wider, ist jedoch an die regulatorischen und technologischen Gegebenheiten Chinas angepasst.

Im Mittelpunkt des aktuellen Regelwerks stehen die Anforderungen an das Cybersecurity Management System (CSMS), das sich inhaltlich eng an die Konzepte von UN R155 und ISO/SAE 21434 anlehnt, aber in Bezug auf Struktur und Erwartungen noch weiter geht:

• Die Operation Guidance enthält eine detaillierte Checkliste, in der jede Cybersicherheitsanforderung (als „Key Point“ bezeichnet) einem bestimmten Prozess und den zugehörigen Evidenzen zugeordnet ist.
• Dies macht das chinesische System zu einem stark evidenzbasierten Ansatz, bei dem OEMs über den gesamten Fahrzeuglebenszyklus hinweg nachvollziehbare Dokumentationen und Implementierungsdetails vorlegen müssen.

Ein Blick auf Auditierungen des CSMS in China gemäß GB 44495:2024

Auch in China haben systematische CSMS-Audits bereits begonnen, und erste Erfahrungen zeigen, dass der Übergang von einem allgemeinen, globalen CSMS auf Basis der UN R155 zu einem CSMS, das die Besonderheiten der chinesischen GB 44495-Regulierung berücksichtigt, eine nicht zu unterschätzende Herausforderung darstellen kann.

Aber auch hier lässt sich festhalten, dass die chinesischen Behörden bei Prüfungen durchaus bereit sind, bestehende organisationsspezifische Prozesse anzuerkennen, sofern OEMs deren Anwendbarkeit eindeutig begründen können.

Die größte Hürde stellt jedoch das spezielle Typgenehmigungsverfahren dar, das hier vorgesehen ist:

• Unklarheiten bezüglich des Fahrzeug-Typs: Das chinesische Konzept der Fahrzeuggruppierung (d. h. „Familienbildung“) für die Typgenehmigung von Fahrzeugen scheint noch nicht vollständig ausdefiniert zu sein. Dies kann unter Umständen dazu führen, dass einzelne Typgenehmigungen erforderlich sind, obwohl Fahrzeuge die gleiche E/E-Architektur haben.
• Herausforderungen mit „Legacy vehicles“: Eine zentrale Herausforderung liegt in der weitläufigen Unklarheit, wie mit Altfahrzeugen umzugehen ist. Also mit Fahrzeugen, die bereits auf dem Markt sind oder vor Jahren entwickelt wurden. Dies ist insbesondere dann relevant, wenn hier Entwicklungsprozesse stattgefunden haben, bevor strukturierte Cybersicherheitspraktiken notwendig wurden. Innerhalb der UN R155 ist für diese Fahrzeuge ein Passus heranzuziehen, der bewusst vereinfachend besagt, dass hier „die Cybersicherheit angemessen berücksichtigt wurde“.

Übergreifend besteht nach wie vor regulatorische Unsicherheit darüber, inwieweit eine rückwirkende Einhaltung der Vorschriften erwartet wird. Die berechtigten Diskussionen dauern an.

Zwar scheinen die Behörden bereit zu sein, die Erwartungen bei Bedarf anzupassen, insbesondere mit dem wichtigen Verständnis, dass das CSMS ein lebendiges System ist, das sich im Laufe der Zeit weiterentwickelt und sich in Tiefe und Umfang kontinuierlich verbessert.

Dennoch kann man konstatieren: Die chinesische Regulierung drängt die Branche zu einer tiefgreifenden technischen, dokumentationsbasierten Herangehensweise. Bei der Einhaltung der rechtsverbindlichen Cybersicherheitsvorschriften geht es nicht nur darum, auf die richtigen Prozesse zu setzen, sondern auch darum, diese im Detail, belastbar nachweisen und verteidigen zu können, um eine effektive Compliance zu erreichen.

Automotive Cybersecurity im Rest der Welt – Ein Blick auf zukünftige Vorschriften und unterschiedliche Wege

Es ist nicht von der Hand zu weisen, dass in Fragen der Automotive Cybersicherheit letztlich alle Absatzmärkte mit ihren jeweiligen Vorgaben in den Blick genommen werden müssen. Auf einer Fachkonferenz dieser Tage sorgte die Frage nach den geltenden Regularien im Vatikan für erstaunte Blicke.

Bemühen wir uns also zunächst, die etwas größeren Rechtsräume in den Blick zu nehmen.

Neue Automotive Cybersecurity Regulierungen in Indien – auf dem Weg zu einem nationalen Standard

Indien hat bereits früh die Ambition gezeigt, eine eigene Cybersicherheitsverordnung für die Automobilindustrie zu definieren. Seit 2023 arbeitet das Automotive Industry Standards Committee (AISC) – ein gemeinsames Gremium, an dem das Ministerium für Straßenverkehr und Autobahnen (Ministry of Road Transport and Highways, kurz MoRTH) und die Automotive Research Association of India (kurz ARAI) beteiligt sind – aktiv an einer eigenen Verordnung. Sie trägt den Namen AIS-189.

Die ersten Entwürfe der AIS-189 waren recht fortschrittlich und bezogen sogar von Anfang an bereits Fahrzeuge der Kategorie L (zwei- und dreirädrige Fahrzeuge) mit ein. Diese Einbeziehung wurde jedoch später revidiert und in nachfolgenden Entwürfen gestrichen.

Zeitplan der AIS-189 für verbindliche Cybersicherheitsanforderungen in Indien

Die AIS-189 Verordnung hat nun nun einen festgelegten Umsetzungszeitplan:

• Ab 1. Oktober 2025: Wirksamkeit für neue Fahrzeugtypen (NT)
• Ab 1. Oktober 2028: Wirksamkeit für alle Fahrzeugtypen (AT)

Die AIS-189 lehnt sich in Struktur und Absicht eng an die UN R155 an. Sie spiegelt jedoch auch die nationalen Gesetzgebungsverfahren und die Bedürfnisse des indischen Automobilmarktes wider. Obwohl die endgültige Verabschiedung noch aussteht, zeigt sich, dass Indien auf einem klaren Weg zur verpflichtenden Einhaltung von Cybersicherheit ist.

Saudi-Arabien und die Vereinigten Arabischen Emirate – dem globalen Maßstab folgend

Saudi-Arabien und die Vereinigten Arabischen Emirate (VAE) haben ebenfalls konkrete Schritte unternommen, um nationale Vorschriften für die Cybersicherheit im Automobilsektor zu erlassen. Erste Entwürfe wurden bereits in Branchenforen und -diskussionen verbreitet.

Zwei wesentliche Beobachtungen der beiden Ansätze lassen sich zum jetzigen Zeitpunkt bereits festhalten:

• Eine starke Orientierung an der UN R155, die inhaltlich als grundlegender Bezugspunkt für die Ausgestaltung der Anforderungen dient.
• Berücksichtigung notwendiger Anpassungen an regionale Governance-Rahmenbedingungen und Infrastrukturüberlegungen.

Zum jetzigen Zeitpunkt gibt es jedoch noch keinen bestätigten Zeitplan, wann diese Regelungen rechtsverbindlich werden. Es bleibt abzuwarten, wie schnell die Golfregion vom Entwurf zur Umsetzung übergehen wird, aber das Interesse und die regulatorische Dynamik nehmen eindeutig zu.

Vereinigte Staaten – Nationale Sicherheit zuerst, Regulierung später

In den Vereinigten Staaten, wo Regulierungen derzeit eher kritisch gesehen werden, gibt es derzeit keine direkte Entsprechung zur UN R155.

Stattdessen wird die Herangehensweise an die Sicherheit vernetzter Fahrzeuge derzeit eher durch nationale Sicherheitsbedenken als durch einen strukturierten Rahmen für die Typgenehmig bestimmt.

Am 17. März 2025 trat ein neues Gesetz in Kraft, das den Verkauf und Import von Hardware- und Softwaresystemen für vernetzte Fahrzeuge bestimmter ausländischer Anbieter verbietet, die als nationales Sicherheitsrisiko eingestuft werden. (siehe auch: Neue US-Regulierungen für vernetzte Fahrzeuge)

Dieses Gesetz führt die folgenden Meilensteine ein:

• Ab dem Jahr 2027: Verbot von Softwareimporten
• Ab dem Jahr 2030: Verbot von Hardwareimporten

Dieses Gesetz befasst sich zwar mit spezifischen Risiken, ist aber weit davon entfernt, einen ganzheitlichen Cybersicherheitsrahmen für die Fahrzeugentwicklung oder die Typgenehmigung, der dem Niveau der UN R155 entspricht.

Die US-Automobilindustrie arbeitet derzeit eher mit freiwilligen Leitlinien, wie sie von der NHTSA und AutoISAC herausgegeben werden, als mit verbindlichen Vorschriften.

Da sich die globale Regulierungslandschaft derzeit mit großen Schritten weiterentwickelt, wird es interessant sein zu beobachten, ob sich die USA für die Formalisierung eines eigenen Cybersicherheitsstandards entscheiden werden – und wenn ja, ob sich dieser enger an UN R155 anlehnen oder einen eigenständigen Weg gehen wird.

Zusammenfassung und Ausblick

Erstmal super, dass Sie dieser Zusammenstellung bis hierher gefolgt sind. Wenn Sie nun hoffen, in dieser Zusammenfassung eine Abkürzung, ein Cheat-Sheet oder einen Workaround zu finden, um die zunehmende Heterogenität der globalen Automotive-Cybersecurity-Regulatorik zu vereinfachen und gesamtheitlich zu managen, seien Sie bitte nicht enttäuscht.

Ja, wir sehen eine starke Tendenz, dass die UN R155 und die damit verbundenen CSMS-Prinzipien einen wesentlichen Maßstab für die Ausgestaltung rechtsverbindlicher Cybersicherheitsvorgaben setzen, der weltweit Beachtung findet – aber die Souveränität in der regions- und länderspezifischen Ausgestaltung bleibt von zentraler Bedeutung.

Gerade in Zeiten geopolitischer Verschiebungen und turbulenter Dynamiken in den internationalen Handelsbeziehungen dürfte der spezifischen Ausgestaltung von Cybersicherheit auch in Zukunft eine besondere Bedeutung zukommen.

Also dran bleiben.