Die Korea Vehicle Cyber Security Regulierung in 2026: Neue Maßstäbe für OEMs und Zulieferer?

Die Korea Vehicle Cyber Security Regulierung gilt in Südkorea seit dem 14. August 2025. Sie betrifft neue Fahrzeugtypen und stellt lokal einen bedeutenden Schritt zur Standardisierung der Cybersicherheit im Automobilsektor dar. Unter der Verantwortung des South Korea Ministry of Land, Infrastructure and Transport (kurz MOLIT) und zugehörig zum Motor Vehicle Management Act ist hier ein länderspezifisches Pendant zur UN Regulierung Nr 155 nun final verabschiedet worden und bereits effektiv verbindlich.

Kurz-Exkurs zur regionalen Besonderheit der Fahrzeug-Cybersicherheitsregulierung in Südkorea

Nur kurz ausgeholt: Südkorea nimmt eine einzigartige Stellung innerhalb der internationalen Fahrzeug-Cybersicherheitsregulatorik ein. Obwohl das Land formell dem UNECE-Übereinkommen von 1958 angehört, hat es sich vorbehalten, nicht an einzelne UN-Regulierungen gebunden zu sein. Diese Position ermöglicht es Südkorea, eigene, auf den nationalen Markt zugeschnittene Cybersicherheitsvorschriften zu entwickeln, die zwar auf der UNR155 basieren, jedoch deutlich detaillierter und spezifischer ausfallen können.

Genau dies ist mit der nun geltenden Regulierung der Fall. Sie basiert auf einer Änderung des Motor Vehicle Control Act und führt verpflichtende Anforderungen an das Cybersecurity Management System (CSMS) ein.

Was die koreanische Regulierung von anderen internationalen Standards und Regulierungen unterscheidet, ist ihr außergewöhnlicher Detailgrad. Die vorläufige offizielle Audit-Checkliste umfasst etwa 140 detaillierte Anforderungen, die sich aus UN R155, ISO/SAE 21434 und nationalen Spezifikationen ableiten. Wichtig zu wissen: Die gegebenen UNR155-Interpretationen (die eigentlich einen informativen Charakter haben), werden als verpflichtend als verpflichtend angesehen. Dies führt zum tiefen Detailgrad, auf den im Folgenden weiter eingegangen wird.

Der zeitliche Rahmen ist bereits klar definiert: Seit August 2025 müssen neue Fahrzeugtypen konform sein, ab August 2027 gilt dies für alle im Land verkauften Fahrzeuge.

Zentrale Erfolgsfaktoren für das Korea Vehicle Cyber Security Audit

Seit dem Inkrafttreten der Regulierung im August 2025 laufen die ersten CSMS-Audits in Südkorea. Erfahrungen aus diesen Audits liefern bereits wertvolle Erkenntnisse über die Auditpraxis und die tatsächlichen Anforderungen. Anders als zunächst in der Branche befürchtet, zeigen sich die koreanischen Behörden dabei durchaus kooperativ und flexibel, sind aber gleichzeitig stark darin, die erwarteten Anforderungen konsequent einzufordern.

Die initialen Audits dienen wohl nicht nur der reinen Compliance-Überprüfung, sondern werden mutmaßlich auch genutzt, um die bestehende Audit-Checkliste zu verfeinern und die Interpretation der Anforderungen gemeinsam mit der Industrie zu klären. Der Fokus liegt dabei auf realistischen Prozessen und etablierten Industriepraktiken. Dieser offene Dialog zwischen Regulierungsbehörden und Industrie deutet darauf hin, dass der Ansatz trotz seiner hohen Detailtiefe (in der Theorie) ausreichend Flexibilität für spezifische Implementierungen bietet.

Die koreanischen Behörden sind bereit, bestehende unternehmensspezifische Prozesse anzuerkennen, sofern OEMs deren Anwendbarkeit klar, allgemeinverständlich und nachvollziehbar begründen können.

Dennoch zeigt sich: Der Übergang von einem generischen globalen CSMS basierend auf UN R155 zu einem CSMS, das den Spezifikationen der koreanischen Regulierung gerecht wird, stellt eine nicht zu unterschätzende Herausforderung dar.

Die nachfolgend aufgezeigten Besonderheiten und zugehörige Empfehlungen sollen einen ersten Überblick für besonders kritische Handlungsfelder rund um das Korea Vehicle Cyber Security Audit geben:

1. Know your Documents als Erfolgsfaktor – Ganzheitliches Verständnis und konsistente Nachvollziehbarkeit als Schlüssel

Der zentrale Erfolgsfaktor für ein erfolgreiches Audit zur Korea Vehicle Cyber Security Regulierung liegt im systematischen Evidenzmanagement. Was fast trivial klingen mag, ist von fundamentaler Bedeutung, um der Behörde die eigenen Umsetzungen zur Cybersicherheit nachzuweisen.

Die Zeiten oberflächlich anmutender Nachweise und Dokumentationen scheinen in der Fahrzeugcybersicherheit vorbei: Gefordert ist eine lückenlose Nachvollziehbarkeit über alle Entwicklungsphasen und Komponenten hinweg. Da eine vorhandene internationale UNR155-CSMS-Zertifizierung die koreanische Zertifizierung nicht ersetzt, stehen OEMs in der Pflicht, die gesamte Breite und Tiefe des CSMS mit allen relevanten Artefakten durchgängig darlegen, erklären und dokumentieren zu können.

OEMs müssen verstehen, dass Compliance hier kein reines Organisations- und Zertifizierungsthema ist, sondern ein tiefgehender dokumentengetriebener Nachweisprozess. Die Notwendigkeit einer durchgängigen Dokumentationslandschaft mit Fokus auf echter Evidenz erhält damit neue Priorität. Nicht die Existenz des CSMS steht im Fokus, sondern dessen nachvollziehbare, konsistente und prüffähige Dokumentation.

Dies umfasst die vollständige Erfassung von Richtlinien, Prozessen, Risikoanalysen, Verantwortlichkeiten und technischen Nachweisen. Jede technische Anforderung, jede Designentscheidung und jede Sicherheitsmaßnahme muss gegenüber der Behörde dokumentiert und mit entsprechenden Evidenzen erklärbar sein.

Als Faustregel gilt: Ein CSMS gilt regulatorisch nur dann als belastbar, wenn dessen Dokumente inhaltlich verstanden, aktuell gehalten und widerspruchsfrei miteinander verknüpft sind.

Traceability als durchgängige Erklärungskette

Im koreanischen CSMS-Verständnis ist Traceability keine formale Eigenschaft einzelner Dokumente, sondern eine durchgängige Erklärungskette über Organisation, Technik und Lieferkette. OEMs müssen im Audit jederzeit schlüssig darlegen können, wie Cyberrisiken entlang des gesamten Fahrzeuglebenszyklus erkannt, bewertet, behandelt und überwacht werden – anhand konkret verknüpfter Nachweise.

Cybersicherheit in der Lieferkette

Zentral ist die Rolle der Zulieferer. Verträge, Bestellungen und technische Aufträge werden zu kritischen Dokumentationsartefakten. Sie müssen explizite Cybersicherheitsanforderungen enthalten und dürfen sich nicht auf implizite Erwartungen oder allgemeine Qualitätsklauseln beschränken. Die Einhaltung dieser Vorgaben muss dokumentiert, überprüfbar und auditfähig sein. Jeder Zuliefererauftrag wird damit zu einem potenziellen Audit-Einstiegspunkt.

Lebenszyklusübergreifende Konsistenz

Diese Zusammenhänge müssen über den gesamten Produktlebenszyklus konsistent bleiben. Traceability beginnt bei der Anforderungserhebung und setzt sich über Entwicklung, Produktion und Betrieb bis in die Post-Production-Phase fort. Besonders relevant: Die Risikoanalyse als lebender Prozess. Risiken dürfen nicht als einmalige Momentaufnahme dokumentiert sein, sondern müssen als kontinuierlich überprüfte Entscheidungsgrundlage erkennbar werden, die auf neue Bedrohungen, Systemänderungen oder Erkenntnisse aus dem Feld reagiert.

„Know your Documents” bedeutet für OEMs, die inhaltlichen Zusammenhänge zwischen Verträgen, Systemarchitektur, Risikoanalysen und organisatorischen CSMS-Vorgaben jederzeit erklären zu können.

Erst diese ganzheitliche, lebenszyklusübergreifende Traceability schafft die regulatorisch geforderte Transparenz und bildet die Grundlage für ein erfolgreiches Audit.

2. Prüffähige Evidenz auf Fahrzeug- und Komponenten-Ebene statt formaler CSMS-Behauptungen

Wie bereits aufgezeigt, markiert die Korea-Regulierung einen Paradigmenwechsel: Pauschale Aussagen zur Cybersicherheit werden durch konkrete, überprüfbare Evidenzen ersetzt. Der OEM muss deklarieren, dass das Fahrzeug gemäß CSMS entwickelt wurde und sicher ist, was auch die Beteiligung der Zulieferer umfasst.

So weit so gut.

Diese Deklaration prüft der involvierte technische Dienst im Zuge des Audits nun systematisch auf mehreren Ebenen:

• Auf Komponentenebene erfolgt beispielsweise eine Analyse einzelner elektronischer Steuergeräte und deren spezifischer Sicherheitsmerkmale.
• Auf Systemebene wird die Interaktion zwischen verschiedenen Fahrzeugsystemen bewertet.
• Auf Fahrzeugebene schließlich erfolgt eine ganzheitliche Betrachtung aller Sicherheitsaspekte im Zusammenspiel.

Ein reines Self-Assessment oder anders gesagt die reine These, in der ein OEM pauschal behauptet, alle Cybersicherheitsanforderungen zu erfüllen, reicht nicht mehr aus. Im Zweifel können die koreanischen Behörden diese Deklarationen durch eigene Tests sogar überprüfen oder Fahrzeuge aus dem Verkehr ziehen.

Das bedeutet bereits im Audit: Jede Aussage zur Cybersicherheit muss durch konkrete Evidenzen untermauert werden können.

Detaillierte Nachweise für jeden Entwicklungsschritt

Allgemeine Informationen oder nur (vorbereitete) Beispiele reichen somit in der Regel nicht mehr aus. Der technische Dienst erwartet detaillierte Nachweise für jeden einzelnen Entwicklungsschritt.

Dies beginnt bei der initialen Risikoanalyse, die nicht nur durchgeführt, sondern mit konkreten Bedrohungsszenarien, Bewertungen und Begründungen dokumentiert sein muss.

Die Implementierung von Schutzmaßnahmen muss ebenso nachvollziehbar dargelegt werden wie deren Validierung, auch mit Blick auf die involvierten Zulieferer und ihre Zuarbeiten. Auch die kontinuierliche Überwachung im Feld erfordert konkrete Evidenzen – Monitoring-Berichte, Incident-Logs und Response-Dokumentationen.

Bemerkenswert ist die besondere Kenntnis der lokalen technischen Dienste über Märkte, Hersteller und aktuelle Fahrzeugprodukte: Sie scheinen implizit oder systematisch Quervergleiche zwischen verschiedenen OEMs am südkoreanischen Markt durchzuführen.

Dies reduziert den Interpretationsspielraum erheblich und zwingt Hersteller, ihre spezifischen Entwicklungsschritte und Vorgehensweisen detailliert zu begründen.

• Warum wurde diese Sicherheitsmaßnahme gewählt?
• Welche Alternativen wurden geprüft?
• Wie wurde die Wirksamkeit validiert?

Diese Fragen verlangen nach substanziellen, evidenzbasierten Antworten.

Die koreanische Cybersecurity-Regulatorik bedeutet somit insbesondere für OEMs mit jahrelang gewachsenen Strukturen einen grundlegenden Wandel in zweierlei Hinsicht:

• Erstens müssen sie ihre internen Methoden – vor allem im Cybersecurity Engineering und Management auf Fahrzeugebene – so offenlegen, dass externe Prüfer diese wirklich in der Tiefe verstehen und bewerten können. Was bisher möglicherweise selbstverständlich als gegeben angesehen wurde, muss nun explizit beschrieben werden: gewachsene Praktiken, interne Logiken und stillschweigende Annahmen.
• Zweitens müssen OEMs im Zweifel auch nachvollziehbar darlegen, warum ihre Prozesse oder Entscheidungen von Branchenstandards (z.B. der ISO/SAE 21434) abweichen – sofern dies der Fall ist. Solche Abweichungen erfordern eine nachvollziehbare Begründung, klare Dokumentation und eine konsistente Einbindung ins übergeordnete CSMS.

3. Südkorea = UNR155-Audits next Level? Über das hohe Niveau in der tiefgehenden Erhebung

Was ist unter der neuen Dimension der Prüftiefe und -intensität bei den südkoreanischen Fahrzeugcybersicherheits-Audits nun genau zu verstehen?

Ein CSMS gemäß UNR155 ist bewusst prinzipien- und risikobasiert ausgestaltet. In der Auditpraxis der UNECE-Mitgliedsstaaten hat sich daraus ein Vorgehen entwickelt, das sich stark auf Prozessbeschreibungen, formale Nachweise und Plausibilitätsprüfungen fokussiert.

Typische UNR155-Audits konzentrieren sich auf das Vorhandensein eines dokumentierten CSMS, auf definierte Rollen und Verantwortlichkeiten, auf abstrakte risikobasierte Entwicklungsarbeiten sowie auf exemplarische Evidenzen entlang des Annex 5. Die Prüfungstiefe bleibt dabei häufig auf der Ebene der Systematik: „Ist ein Prozess definiert?“ und „Ist dieser grundsätzlich geeignet, Cyberrisiken zu adressieren?“.

Die koreanische Regulierung hebt diesen Ansatz auf ein deutlich höheres fachliches und operativ tiefes gehendes Niveau. Zugespitzt formuliert, aber mit einem wahren Kern: Was in Europa (und anderen Teilen der UNECE-Welt) die letzten Jahre als ausreichend dokumentiert galt, erweist sich im koreanischen Kontext oft als zu oberflächlich.

Südkorea transformiert den durchaus generischen Rahmen der UNR155 in einen hochgranularen, operationalisierten Anforderungskatalog. (Konkret existiert eine offizielle Checkliste mit etwa 140 detaillierten Anforderungen, die sich aus UNR155, ISO/SAE 21434 und nationalen Spezifikationen ableiten. Vergleichbar mit dem ebenfalls granularen evidenzbasierten chinesischen Ansatz der GB 44495.)

Der Fokus verschiebt sich von der bloßen Existenz von Prozessen zur belastbaren Demonstration ihrer tatsächlichen Anwendung und Wirksamkeit.

Der risikobasierte Ansatz wird nicht ersetzt, sondern durch präzise Prüffragen konkretisiert, die eine tiefgehende Evidenz erzwingen. So entsteht im Audit eine Prüftiefe, die weit über bisherige Audits gemäß verschiedener Fahrzeugcybersicherheits-Regulierungen und -Standards hinausgeht.

Während gewöhnliche UNR155-Audits beispielsweise häufig mit zusammenfassenden Risikoanalysen, exemplarischen TARA-Auszügen und aggregierten Maßnahmenlisten arbeiten, verlangt der koreanische Ansatz eine nachvollziehbare Rückverfolgbarkeit bis auf Komponenten-, Funktions- und Maßnahmenebene. (Dies wird besonders relevant im Self-Assessment, in dem eben diese ganzen Details benötigt werden.)

Risiken müssen nicht nur identifiziert, sondern eindeutig einzelnen technischen Elementen, Softwareständen, Lieferantenbeiträgen und konkreten Schutzmaßnahmen zugeordnet werden. Generische Aussagen auf Systemebene ohne belastbare technische Verankerung werden nicht ohne Weiteres akzeptiert.

Ein zentraler Unterschied: die Art der Evidenzprüfung

Nur Richtlinien, Prozessbeschreibungen, Schulungskonzepte oder Management-Reviews vorlegen? Fehlanzeige.

Die koreanischen technischen Dienste verlangen gerne auch dediziert den Nachweis der tatsächlichen Umsetzung: Logs, Konfigurationsauszüge, Testberichte, Versionsstände, konkrete Tool-Ausgaben und nachvollziehbare Entscheidungsdokumentationen.

Behauptete Maßnahmen müssen verifiziert werden können – rein deklarative Aussagen verlieren ihre Gültigkeit. (Dies unterstreicht die Bedeutung von „Know your Documents“, s. oben.)

Auch die Rolle der technischen Dienste unterscheidet sich. Während UNR155-Audits in vielen Regionen stark formalisiert und checklistenorientiert ablaufen, zeigen die koreanischen Prüfer ein ausgeprägtes technisches Detailverständnis.

Der Fragenkatalog ist dabei nicht statisch, sondern wird situativ vertieft. Rückfragen zielen darauf ab, das reale Funktionsprinzip der Schutzmaßnahmen zu verstehen, nicht lediglich eine allgemeine Beschreibung zu erhalten.

Damit befinden wir uns heute in der Auditierung der Fahrzeug-Cybersicherheit (und des CSMS) auf einem deutlich anderen Niveau als noch vor einem halben Jahrzehnt, als UNR155 und ISO/SAE 21434 ihren Weg in die Praxis fanden. Auch bei technischen Diensten scheint eine kontinuierliche fachliche Weiterbildung im Bereich Vehicle Cybersecurity und der stetige Blick auf Best Practices inzwischen zum Alltag zu gehören.

Der Fahrzeug-Produktlebenszyklus im Korea Vehicle Security Audit

Besondere Bedeutung erhält auch der Fahrzeug-Produktlebenszyklus. In UNR155-Audits wurde dieser häufig nur abstrakt adressiert – etwa durch die Existenz eines Prozesses zur Risikoaktualisierung oder eines Incident-Response-Konzepts. Die koreanische Regulierung fordert hingegen den Nachweis, dass diese Prozesse tatsächlich iterativ angewendet werden.

Re-iterationen der Cyber-Risikoanalyse müssen konkret belegt sein, inklusive Auslösern, Bewertungsänderungen und daraus abgeleiteten Maßnahmen.

Post-Production-Phasen, Software-Updates und Feldbeobachtungen werden nicht als theoretische Konzepte akzeptiert, sondern ebenfalls als auditierbare Realität eingefordert.

4. Self-Assessment und spätere institutionelle Prüfung

Mit der Korea Vehicle Security Regulierung bleibt sich das South Korea Ministry of Land, Infrastructure and Transport insofern treu, dass auch hier das in Südkorea traditionell geläufige Prinzip der Selbstzertifizierung vorgesehen ist (anders als etwa die Typgenehmigungslogiken in Deutschland mit dem Kraftfahrtbundesamt.)

Gleichzeitig, beziehungsweise ergänzend dazu, etabliert die Korea-Regulierung ein strenges Regime der Marktüberwachung, das weit über bisherige Compliance-Mechanismen hinausgeht. Die Behörden verfügen dabei auch über weitreichende Kontroll- und Sanktionsmöglichkeiten.

Ganz konkret ist dabei das behördliche Prüfrecht eine Realität für OEMs. Dabei können die zuständigen koreanischen Behörden die (im Zuge des hier besprochenen Audits) erhobenen Deklarationen der OEMs durch eigene Tests überprüfen.

Dies ist kein theoretisches Szenario, sondern eine reale Möglichkeit, die in die interne Risikobewertung jedes Herstellers einfließen muss. Die Zeiten, in denen Self-Assessments (und die damit möglicherweise eingeschränkte Überprüfbarkeit durch Dritte) als ausreichend galten, sind vorbei.

Sanktionsmöglichkeiten verdeutlichen den Ernst der Lage der Fahrzeugcybersicherheit

Fest steht in Südkorea: Fahrzeuge können bei festgestellten Mängeln aus dem Verkehr gezogen werden. Diese Sanktionsmöglichkeit unterstreicht den Ernst der regulatorischen Anforderungen und macht deutlich, dass die koreanischen Behörden bereit sind, ihre Kontrollrechte auch durchzusetzen.

Für OEMs bedeutet dies: Jede Sicherheitsdeklaration muss nicht nur formal korrekt, sondern auch materiell belastbar sein.

Konkret dient das herstellerseitig realisierte Self-Assessment im Zuge des Korea Vehicle Security Audits (gegen den bereits erwähnten Kriterienkatalog) als Grundlage für die mögliche formale Prüfung/Validierung.

Auch deswegen ist klar, dass die reine Deklarierung der OEMs, dass Fahrzeuge entlang der CSMS-Prinzipien entwickelt und am Tag des Audits gemäß CSMS als sicher gelten nur der eine Teil. Der andere ist, dass behördlicherseits das Audit als Erhebung gilt, um die institutionelle spätere Prüfung der Angaben des OEMs gegebenenfalls eigenständig durchführen zu können.