Von der Werkstatt bis in die Cloud

Regulierungen im Europäischen Automotive-Markt: Herausforderungen für Zulieferer

Mit der Verabschiedung der Regelwerke zu Cybersicherheit und Software-Updates für vernetzte Fahrzeuge durch das UNECE World Forum for Harmonization of Vehicle Regulations (WP.29) wurden endlich klare Richtlinien geschaffen. Die UN-Regelung Nr. 155 (UN R155) verpflichtet Fahrzeughersteller (OEM) zur Einführung eines zertifizierten Cyber Security Management Systems (CSMS), während die UN-Regelung Nr. 156 den Aufbau und Betrieb eines zertifizierten Software Update Management Systems (SUMS) vorschreibt. Diese Regelungen gelten in der Europäischen Union ab Juli 2022 für alle neuen Typgenehmigungen und ab Juli 2024 für alle Neufahrzeuge.

Die Fahrzeughersteller (OEM) tragen die Verantwortung für die Cybersicherheit entlang der gesamten Lieferkette. Daher müssen sich auch Zulieferer, die möglicherweise nicht direkt in den Geltungsbereich der UN R155 fallen, an die strengen Cybersicherheitsanforderungen der OEM anpassen. Die Norm ISO/SAE 21434 "Road vehicles - Cybersecurity engineering" bietet einen Rahmen für einen effizienten Austausch zwischen OEM und Zulieferer. Das Ziel: angemessene und wirksame Cybersicherheit. Zulieferer müssen ihre "Cybersecurity Capabilities" nachweisen, wozu unter anderem ein umfassendes Risikomanagement, ein sorgfältiges Monitoring und eine effektive Reaktionsfähigkeit auf Sicherheitsvorfälle gehören.

Leitfaden für die Auditierung

Neben der ISO/SAE 21434 gibt es eine Reihe weiterer Normen und Richtlinien, die den gesamten Cybersecurity-Prozess unterstützen. Die ISO PAS 5112 "Road vehicles - Guidelines for auditing cybersecurity engineering" bietet einen Leitfaden für die Auditierung von Organisationen nach ISO/SAE 21434. Darüber hinaus werden in Kürze zwei neue Normen veröffentlicht: Die ISO/SAE PAS 8475 behandelt die Themen "Cybersecurity Assurance Levels" (CAL) und "Target Attack Feasibility" (TAF), die die Zusammenarbeit zwischen OEM und Zulieferern optimieren sollen. DieNorm „ISO/SAE PWI 8477 Road vehicles - Cybersecurity verification and validation" unterstützt den Verifizierungs- und Validierungsprozess und betrifft die Zulieferer direkt.

Neben den automobilspezifischen Vorschriften hat die Europäische Union auch branchenübergreifende Cybersicherheitsvorschriften erlassen, die viele produzierende Unternehmen direkt oder indirekt betreffen. Die EU Directive on Security of Network and Information Systems, auch bekannt als EU NIS-2 Direktive, hat zum Ziel, ein hohes Cybersicherheitsniveau auf EU-Ebene zu etablieren und den Binnenmarkt zu stärken. Der EU Cyber Resilience Act (CRA) ist ein aktueller Gesetzesentwurf, der 2023 in Kraft treten soll und die Cybersicherheit vernetzter Produkte entlang der Lieferkette und des gesamten Lebenszyklus stärken soll.

Und was bedeutet das für die Zulieferer?

Zulieferer müssen die Cybersecurity in vielen Bereichen der Produktentwicklung nachweislich beherrschen. Dazu gehört die Threat Analysis and Risk Assessment (TARA), mit dem Fokus mögliche Schwachstellen und Risiken frühzeitig zu erkennen. Auch ein umfassendes Cybersicherheitskonzept und die Integration von Cybersicherheitsmaßnahmen in die Fahrzeugtechnik sind unerlässlich.

Aber nicht nur in der Produktentwicklung, sondern auch in der Produktion sind Cybersicherheitsfähigkeiten unabdingbar. Schlüsselmanagement (Key Management) und PKI-Systeme (Public Key Infrastructure) spielen dabei eine zentrale Rolle. Die Anpassung von Produktionslinien und Werkzeugen zur Integration von Sicherheitsmaßnahmen ist ein weiterer Schritt, in der Absicht potenzielle Angriffspunkte zu minimieren. Validierung und Verifizierung der Prozesse stellen sicher, dass die Sicherheitsstandards in der Produktion eingehalten werden.

Auch nach der Produktion sind die Zulieferer gefordert. Ein effektives Incident Response Management ist unerlässlich, mit dem Ziel auf Sicherheitsvorfälle schnell und gezielt reagieren zu können. Die aktive Teilnahme am Auto-ISAC (Automotive Information Sharing and Analysis Center) ermöglicht beispielsweise eine koordinierte Zusammenarbeit innerhalb der Branche. Darüber hinaus sind Change-Management-Prozesse wichtig, mit dem Fokus Aktualisierungen und Änderungen im System sicher umzusetzen. Durch kontinuierliches Monitoring und das Vorhandensein eines Security Operations Centers (SOC) können potenzielle Bedrohungen frühzeitig erkannt und entsprechende Gegenmaßnahmen eingeleitet werden.

Es ist daher von entscheidender Bedeutung, dass sich Unternehmen über diese neuen Vorschriften informieren und die notwendigen Schritte ergreifen, um die erforderlichen Cybersicherheitsstandards in ihrer Lieferkette zu gewährleisten.