Während die gesamte Automobilindustrie gegenwärtig versucht, die künftigen Entwicklungen protektionistischer Wirtschaftspraktiken vorherzusagen, sind die mit der Cybersicherheit von Fahrzeugen befassten Gewerke weiterhin aktiv. Es gilt, die sich stets weiterentwickelnde Landschaft der rechtlich verbindlichen Cybersicherheitsanforderungen weiterhin aufmerksam zu verfolgen. Für den Absatzmarkt der Europäischen Union wird es in diesem Zusammenhang unverzichtbar zu verstehen, inwieweit der Cyber Resilience Act (kurz CRA), ein EU-weiter Rechtsrahmen für verbindliche Cybersicherheitsanforderungen für alle Produkte mit digitalen Elementen, die Wertschöpfungskette der Automotive-Akteure an welchen Stellen und wie beeinflussen wird. Genau darum geht es im Folgenden.
Jan-Peter von Hunnius
Zunächst einmal möchte man meinen, dass mit der UN Regulierung Nr. 155 und dem Cybersecurity Management System sowie der zugehörigen Anwendung des Industriestandards ISO/SAE 21434 für die Cybersicherheit rund um das Automobil doch bereits ausreichend rechtsverbindlich Rahmenbedingungen auferlegt sein sollten.
Da wären wir bereits bei einer ersten zentralen Unterscheidung.
Marktzugang vs. Typgenehmigung: Zwei unterschiedliche regulatorische Perspektiven auf Cybersicherheit
Betrachten wir zunächst zwei unterschiedliche, aber komplementäre Regulierungsansätze, die marktseitigen und die typgenehmigungsseitigen Vorgaben. Sowohl der Cyber Resilience Act (CRA) als auch die UN Regulierung Nr. 155 (UN R155) setzen im weitesten Sinne auf den Schutz vor Cyberbedrohungen und die Reduzierung von Cyberrisiken, sie unterscheiden sich aber deutlich in Zweck, Anwendung und rechtlicher Durchsetzung.
Was ist der Cyber Resilience Act?
Dabei ist der Cyber Resilience Act eine marktseitige Verordnung, die neue Maßstäbe an die Cybersicherheit in allen Produkten mit digitalen Komponenten innerhalb der Europäischen Union etablieren soll. Hierbei steht die Sicherheit des Produkts über dessen gesamten Lebenszyklus im Fokus – von der Entwicklung über Updates bis zur Außerbetriebnahme. Im Kern wird dabei von Herstellern der Beweis gefordert, dass ihre Produkte „cybersecure-by-design“ sind, also Cybersicherheit von Anfang an ordnungsgemäß berücksichtigen, stets aufrechterhalten, und konkrete Verantwortlichkeiten für Mängel gegeben sind.
Wie lässt sich die UN Regulierung Nr. 155 vom CRA abgrenzen?
Während der CRA branchenübergreifend Produkte adressiert, haben qualitätsbewusste Branchen, wie eben die Automobilindustrie, bereits ihre branchenspezifischen Regelwerke, wie z.B. für Cybersicherheit die UN Regulierung Nr. 155. Die UN R155 regelt im Wesentlichen die Cybersicherheitsvoraussetzungen, die ein Fahrzeughersteller vorweisen muss, um eine Straßenzulassung für einen Fahrzeugtyp zu erhalten. Für die Typgenehmigung ist der Nachweis eines zertifizierten(!) Cyber Security Management Systems (CSMS) erforderlich. Vereinfacht gesagt liegt der Fokus auf den Prozessen und nicht primär auf dem Produkt selbst. Obwohl natürlich Prozesse, die Cybersecurity beinhalten, im Ergebnis auch das Ziel cybersichere Produkte verfolgen. So muss für Fahrzeuge auch das Durchlaufen der Prozesse nachgewiesen werden, z.B. in Form einer Fahrzeug-Risikoanalyse.)
Wie wirken Anforderungen des CRA auf Automotive-Hersteller und -Zulieferer?
Mit dem Wissen um diese Unterscheidung wird es interessant, da nun klarer wird, welche Anforderungen wo und wie gelten.
Ergänzend sei noch eingeschoben: Der CRA soll nicht gelten, wenn für bestimmte Produkte bereits spezifische Cybersecurity-Anforderungen gelten. Konkret bedeutet dies, dass branchenspezifische Regelungen, wie hier die UN R155 mit Anwendung der ISO/SAE 21434, Vorrang haben, wenn sie strengere bzw. spezifische Anforderungen an die Cybersicherheit stellen. Dies ist bei der UN R155 der Fall.
Der Cyber Resilience Act ist eine horizontal angelegte Verordnung, sie wirkt branchenübergreifend.
Wenn nun also Fahrzeuge als Produktkategorie wie beschrieben weiterhin unter die Typgenehmigungsvorschriften nach UN R155 fallen und als solche vom CRA ausgenommen sind, können Sie hier aufhören weiterzulesen, den Browser schließen und Feierabend machen?
Nicht unbedingt.
Denn auch wenn das Fahrzeug als Ganzes nicht in den unmittelbaren Anwendungsbereich des CRA fällt, betrifft die Verordnung zahlreiche Produkte und Komponenten, die im Fahrzeug verbaut oder mit dem Fahrzeug vernetzt sind – und dadurch zahlreiche OEM-nahe Funktionen und insbesondere zahlreiche Zulieferer entlang der mannigfaltigen automobilen Lieferkette.
Exemplarisch heranzuziehende Automotive-Komponenten mit digitalen Funktionen, die nicht in der erwähnten Typgenehmigung erfasst sein können und dennoch CRA-Vorgaben erfüllen müssen sind beispielsweise:
- Steuergeräte (ECUs)
- Telematik- und Infotainmentsysteme (z.B. Lösungen, die als nachrüstbare Produkte in Fahrzeugen eingebaut werden)
- Aftermarket-Komponenten mit Internetzugang (z. Diagnosegeräte, Dongles)
- Firmware und eingebettete Software von Drittanbietern
- Vernetzte Ladeinfrastruktur (V2G-Kommunikation)
- Cloud- und Backend-Komponenten, die über APIs mit Fahrzeugfunktionen kommunizieren
- Nicht-Straßenfahrzeuge, etwa landwirtschaftliche Maschinen, Baugeräte und industrielle Transportfahrzeuge
All diese „Produkte mit digitalen Elementen“ fallen entlang ihrer Produktklassifikation wahrscheinlich in den Geltungsbereich des CRA – unabhängig davon, ob sie in ein Fahrzeug integriert sind oder nicht.
Herausforderungen des CRA für Automobil-Zulieferer und OEMs
Dem folgend sehen sich Zulieferer, insbesondere solche der Tier-1- und Tier-2-Ebene, in der Pflicht, nachzuweisen, dass ihre Produkte und Prozesse die im CRA definierten Cybersicherheitsanforderungen erfüllen – darunter Security-by-Design, Schwachstellenmanagement und Updatefähigkeit.
Besonders branchenübergreifend aktive Zulieferer von komplexen elektronischen und digitalen Systemen müssen sich auf eine eigenständige CRA-Compliance vorbereiten.
Für Automotive-OEMs wiederum entsteht eine neue Notwendigkeit, parallel zu den mittlerweile etablierten Vorgehensweisen rund um die UN R155/CSMS-Compliance: Sie müssen sicherstellen, dass zugekaufte Komponenten und Systeme CRA-konform sind – auch wenn das Produkt „Fahrzeug“ selbst nicht reguliert ist. Das bedeutet: Beschaffungs- und Qualitätsmanagement müssen neue Kriterien und vertragliche Regelungen einführen.
Gleichzeitig kann die Nichtbeachtung des CRA bei kritischen Komponenten zu Lieferverzögerungen, Haftungsrisiken oder Zulassungsproblemen bei digitalen Diensten führen.
Die gute Nachricht: Die ISO/SAE 21434 ebnet den Weg für die CRA-Compliance
Die Herausforderungen, die der Cyber Resilience Act (CRA) für Hersteller digitaler Produkte mit sich bringt, wirken auf den ersten Blick einschüchternd – vor allem in Hinblick auf die Vielzahl technischer, organisatorischer und dokumentationsbezogener Anforderungen.
Für Akteure in der stets qualitätsbewussten Automobilindustrie, die in Fragen der ordnungsgemäßen Realisierung von Cybersicherheit nun schon einige Jahre Vorsprung hat, gibt es einen entscheidenden Vorteil: Mit der aktuell gültigen ISO/SAE 21434:2021 steht bereits ein erprobter, strukturierter und international angewandter Branchenstandard zur Verfügung, der bereits viele zentrale Anforderungen des CRA systematisch abdeckt.
Die ISO/SAE 21434 gibt bekanntermaßen einen methodischen Rahmen vor, wie Cybersicherheit über den gesamten Lebenszyklus von elektrischen/elektronischen Komponenten in Fahrzeugen organisiert, umgesetzt und nachgewiesen werden kann.
Viele dieser Maßnahmen lassen sich direkt auf die in der CRA-Verordnung formulierten Anforderungen mappen – beispielsweise das Risikomanagement, Schwachstellenmanagement, Incident Response, Sicherheits-Updates und Secure-by-Design-Prinzipien.
Organisationen und Entwicklungsprojekte, die in ihren Abläufen und Vorgehensweisen bereits gemäß der ISO/SAE 21434 arbeiten, verfügen also über eine ausgezeichnete Ausgangsbasis.
Ein Mapping zwischen ISO/SAE 21434 und Cyber Resilience Act
Damit stellt sich früh oder oder später die Frage, inwieweit sich die ISO/SAE 21434 mit den Anforderungen des CRA decken. Besonders relevant ist dies für Tier-1- und Tier-2-Zulieferer, deren Komponenten unter den CRA fallen, aber zugleich im Geltungsbereich der UN R155 und ISO/SAE 21434 stehen. Eine kluge Integration beider Anforderungskataloge im Entwicklungsprozess spart Aufwand, reduziert Redundanzen und unterstützt eine konsistente Compliance-Strategie.
Wichtig ist jedoch zu verstehen: Generell beschreibt die ISO/SAE 21434 eher das „Wie“ – also wie Prozesse, Methoden und Strukturen auszusehen haben. Der CRA hingegen versucht das „Was“ zu formulieren, also die Mindestanforderungen an die Cybersicherheit von Produkten mit digitalen Elementen zu konkretisieren.
Gleichzeitig sind natürlich auch die besonderen Verpflichtungen des CRA zu beachten, die über die ISO/SAE 21434 hinausgehen. Beispielsweise bestimmte Melde- und Dokumentationspflichten.
Der Blick über den Tellerrand: Zusammenfassung und Handlungsempfehlungen
Wir halten fest: Die regulatorischen Anforderungen an die Cybersicherheit wachsen rasant. Und das nicht nur für die Automobilindustrie. Die Europäische Union macht hier ernst, so kommt Cybersicherheit beispielweise auch in der überarbeiteten EU-Produkthaftungsrichtlinie zum Tragen.
Für Verantwortliche im Cybersecurity-Management der Automobil- und Fahrzeugindustrie ergeben sich Handlungsaufträge, die wir hier versuchen in Form von Empfehlungen darzulegen:
1. Harmonisierung und Mapping vorantreiben
Ein systematisches Mapping zwischen den Anforderungen der vertikalen Branchenregulierungen und Industriestandards mit den horizontalen branchenübergreifenden Richtlinien ist essentiell, um die bestehenden Handhabungen, Prozesse und Anforderungen systematisch übereinander zu legen und so die Synergien und Unterschiede sichtbar zu machen. Wie oben skizziert: Wer die ISO/SAE 21434 bereits anwendet, kann in Fragen der CRA-Compliance im Vorteil sein. Hier gilt es, den Überblick zu behalten.
2. Identifizierung von Gaps
Gleichzeitig ist dieses Mapping ein Teil der systematischen Gap-Analyse, die unverzichtbar wird. Es gilt, genaue Produktklassifizierungen vorzunehmen und sicherzustellen, dass Produkte korrekt eingestuft sind. Dann muss mit der systematischen Erhebung begonnen werden, um regulatorische Lücken, Defizite und Schwachstellen in Prozess und Produkt sichtbar zu machen.
3. Integration von Partnern und der Zulieferer
Was Automobilhersteller bereits von der CSMS-Compliance kennen, nämlich dass sie für die Cybersicherheitsrisiken ihrer Zulieferer verantwortlich sind, gilt auch für die CRA-Compliance. Lieferanten müssen CRA-konforme Komponenten liefern. Klare Leistungsschnittstellenvereinbarungen und vertragliche Absicherungen gewinnen weiter an Bedeutung – insbesondere mit Blick auf den gesamten Produktlebenszyklus.
4. Awareness und Kompetenzaufbau
Zugegeben, fast jeder unserer Fachartikel schließt mit dieser Handlungsempfehlung: Es gilt, verantwortliche Mitarbeiterinnen und Mitarbeiter für die neuen Anforderungen der Cybersicherheit zu sensibilisieren und erforderlichen Praxiskompetenzen auf- und auszubauen. Gerade der CRA, der auch die Konformitätsbeurteilungen konkretisiert, nennt explizit Fachwissen als Notwendigkeit auch für interne Audits und Prüfungen. Die nachhaltige Ausbildung von Mitarbeitern rund um Cybersecurity Engineering und Testing wird unabdingbar. Unabhängig davon, ob horizontale oder vertikale Cybersicherheitsanforderungen erfüllt werden.
