Die UN-Regulierung Nr. 155, herausgegeben von der United Nations Economic Commission for Europe (UNECE), ist eine bedeutende Vorschrift im Bereich der Fahrzeugsicherheit. Seit ihrer Einführung im Jahr 2021 hat die Cybersicherheitsrichtlinie erhebliche Auswirkungen auf die Automobilindustrie. Sie ist ab Juli 2024 verpflichtend für alle neuen Personenkraftwagen (“passenger cars”) im öffentlichen Straßenverkehr verpflichtend, nachdem sie zuvor ab Juli 2022 nur für neue Fahrzeugtypen galt.
Manuel Sandler
Geltungsbereich und Anforderungen
Die UN-Regulierung Nr. 155 umfasst 64 Mitgliedsländer des 1958-Abkommens, die diese Regelung in nationales Recht umsetzen müssen.
Zusammengefasst hat die Regulierung das Ziel, die Identifizierung und Begrenzung von Risiken durch Cybersicherheit zu systematisieren und verbindlich einzufordern. Dadurch wird das Risiko-Management in Bezug auf Cybersicherheit zu einem zentralenHandlungsfelder.
Die UN R155 zwingt Fahrzeughersteller dazu, ein Cybersecurity Management System (CSMS) nachzuweisen. Dieses System muss nicht nur die eigenen Prozesse auf Seiten des Herstellers abdecken, sondern auch sicherstellen, dass Zulieferer auf allen Ebenen der Wertschöpfungskette – von Tier-1- bis zu Tier-3-Zulieferern – die Prinzipien des CSMS einhalten.
Das CSMS ist ein zentrales Element, das den gesamten Lebenszyklus eines Fahrzeugs absichert. Vom ersten Konzept über die gesamte Entwicklung, den Start der Produktion und die komplette Betriebsphase bis hin zur Stilllegung – Cybersicherheit wird zu einer Aufgabe für die gesamte Lebensdauer des Fahrzeugs.
Die ordnungsgemäße Prüfung des CSMS erfolgt durch regelmäßige Audits, die mindestens alle drei Jahre durchgeführt werden müssen (s. auch UN R155 Audit). Das zugehörige Certificate of Compliance ist die Grundvoraussetzung, um die Typzulassung eines Fahrzeugs beantragen zu können.
Herausforderungen und Implementierung der UN R155
Die Umsetzung der UNR 155 stellt viele Unternehmen vor diverse Herausforderungen. Verstärkt werden diese durch den bestehenden Fachkräftemangel im Bereich der Cybersicherheit, der die gesamte Branche stark belastet. Organisationen stehen weiter vor der Aufgabe, eigene Ansätze zu entwickeln und bestehende Strukturen anzupassen, um den neuen Anforderungen gerecht zu werden. Der ISO/SAE 21434-Standard, der bewusst abstrakt gehalten ist, kann hier unterstützen, er lässt verschiedene Wege der Implementierung zu.
Gegenwärtig lassen sich firmenübergreifend die größten Herausforderungen wie folgt zusammen:
- Zeit- und Kostendruck: Sämtliche Anpassungen auf Ebene der Organisation, in Prozessen sowie für einzelne Entwicklungsvorhaben gehen einher mit erheblichen Ressourcenaufwänden, zeitlich und letztendlich finanziell. Den Spagat zwischen Effizienz und ordnungsgemäßer Implementierung (die sich gegenüber Dritten belastbar nachweisen lässt) meistern wird zur Königsdizsiplin.
- Schneller werdende Entwicklungszyklen, einhergehend mit steigender Komplexität: Aktuelle Entwicklungsarbeiten, etwa mit Blick auf ADAS-Systeme, E-Mobilität und steigende Vernetzung, sind komplexer und zeitintensive. Das Zusammenbringen mit Cybersicherheitsanforderungen darf der Einhaltung von Fristen und Budgets nicht gegenüberstehen.
- Unzureichende Best Practices und Lessons Learned: Die gesamte Branche (nicht nur die Akteure der Wertschöpfungskette, sondern auch die Technical Services, die hier für die Abnahme hinzugezogen werden) hat erst vor wenigen Jahren damit begonnen, Cybersicherheitsnotwendigkeiten in ihre Abläufe zu integrieren. Erfahrungswerte und Best Practices sind noch immer rar.
- Altlasten/Legacy, etwa durch Re-Use: Traditionell setzt die Automobilindustrie – nicht zuletzt aufgrund des Zeit- und Kostendrucks – in hohem Maße auf die Wiederverwendung von Komponenten, Hard- und Software. Viele Produkte in modernen Fahrzeugen wurden entwickelt, bevor Cybersicherheit überhaupt ein Thema war.
- Beschränkte Ressource in eingebetteten Systemen: Cybersicherheitsmechanismen gehen einher mit Ressourcenbedarf, der in eingebetteten Systemen oftmals nicht ohne Weiteres aufgebracht werden kann. Rechenleistungen hinzufügen, Bauteile nachträglich austauschen – selbst einfache Cybersicherheitsanforderungen können im Einzelfall weitreichende Implikationen auf Architekturen und Systeme haben.
Auswirkungen auf die Wertschöpfungskette
Nicht nur Fahrzeughersteller, sondern auch deren Zulieferer sind stark von der UNR 155 betroffen. Die Regulierung verlangt von Herstellern, die Risiken, die von ihren Zulieferern ausgehen, ebenfalls zu identifizieren und zu managen. Dies bedeutet, dass die gesamte Lieferkette in den Cybersicherheitsprozess eingebunden werden muss. Das bedeutet für Hersteller einen immensen zusätzlichen Koordinations- und Managementaufwand und für die Zulieferer eine Vielzahl zusätzliche Anforderungen zu den ohnehin schon umfangreichen Auflagen an ihre Arbeit.
Erweiterung auf andere Fahrzeugkategorien
Neben PKWs werden auch andere Fahrzeugkategorien von der UNR 155 erfasst. Ab Juli 2029 müssen auch Motorräder ein CSMS vorweisen, und Sonderfahrzeuge wie Krankenwagen sowie Nutzfahrzeuge und Anhänger sind ebenfalls betroffen. Diese müssen alle drei Jahre auditiert werden, um sicherzustellen, dass sie den Cybersecurity-Standards entsprechen.
Diese Hersteller verfügen häufig nicht über die gleichen Strukturen, Prozesse und Vorgehensweisen wie die großen PKW-Hersteller. Gleichzeitig unterliegen sie den gleichen regulatorischen Anforderungen, so dass die ordnungsgemäße Berücksichtigung hier in vielen Fällen ein ungleich höhere Hürde darstellen dürfte.
Zukunftsaussichten und globale Bedeutung
Obwohl die UNR 155 derzeit hauptsächlich in den UNECE-Mitgliedsländern gilt, zeichnet sich ab, dass sie zu einem globalen Standard werden könnte. In Ländern wie den USA, China, und Indien, die nicht zum UNECE-Raum gehören, sind ähnliche Anforderungen bereits in der Einführung. Einige Länder erlauben bereits Selbstdeklarationen, um die Konformität mit lokalen Vorschriften sicherzustellen.
Fazit
Die UN-Regulierung Nr. 155 stellt einen bedeutenden Schritt in Richtung erhöhter Cybersicherheit in der Automobilindustrie dar. Sie zwingt Hersteller und Zulieferer, umfassende Cybersecurity-Maßnahmen zu implementieren und kontinuierlich zu überprüfen. Trotz der Herausforderungen bietet sie auch die Möglichkeit, durch standardisierte Sicherheitsprotokolle die Vertrauenswürdigkeit und Sicherheit von Fahrzeugen weltweit zu erhöhen.
Die umfassenden Anforderungen und die Notwendigkeit zur Einbindung der gesamten Wertschöpfungskette unterstreichen die Bedeutung der Cybersicherheit in der modernen Fahrzeugentwicklung. Unternehmen müssen ihre Prozesse anpassen und in entsprechende Technologien und Fachkenntnisse investieren, um den neuen Standards gerecht zu werden und auf dem globalen Markt wettbewerbsfähig zu bleiben.
