Ab Dezember 2027 gilt die UN Regulierung Nr 155 (kurz UN R155) für neue Fahrzeugtypen der Kategorie L. Das zugehörige Cybersecurity Management System (CSMS) mit allen zugehörigen Work Products ist für betroffene OEMs dann eine abstrakte Option mehr, sondern eine harte Zulassungsvoraussetzung. Und weiterhin gilt: Die Verantwortung für die gesamte Supply Chain verbleibt beim OEM. Wir erläutern nachfolgend, was die Erweiterung des Geltungsbereichs bedeutet.
Arne-Peter Berg
Hersteller von zwei-/dreirädrigen Fahrzeugen und Quadricycles horchen derzeit auf: Cybersicherheit und die Umsetzung der UN R155 werden rechtsverbindlich. Wenngleich die nationalen Umsetzungsgesetzte variieren, steht bereits fest: ein ganz neues Marktsegment, das strukturell kaum mit dem klassischen Pkw-OEM-Umfeld vergleichbar ist, gerät nun in den regulierten Cybersecurity-Scope.
Two-Wheeler-OEMs — also Hersteller von Krafträdern, Mopeds, Trikes und Quadricycles — sehen sich damit denselben regulatorischen Anforderungen aus UN R155 gegenüber wie Pkw-OEMs seit 2022:
- ein nachweislich funktionierendes Cyber Security Management System (CSMS),
- ein Risk Assessment über den gesamten Fahrzeuglebenszyklus,
- Supplier-Verifikation mit operativer Substanz.
UN R155 vs. Motorrad: Was bedeutet das?
Die Ausgangslage in diesem Marktsegment ist eine andere. Strukturell einfacher als im Pkw-Bereich.
Wo ein moderner Pkw mehrere Dutzend vernetzte Steuergeräte mit sich führt, kommt ein Motorrad typischerweise mit fünf bis sechs ECUs aus: Motorsteuerung, ABS/IMU, Kombiinstrument, ggf. Connectivity-Modul und Keyless-Entry.
Der Angriffsflächen-Scope ist damit zunächst deutlich überschaubarer.
Was das gesamte Segment dennoch vor erhebliche Herausforderungen stellt, sind fragmentierte Zuliefererketten, kleinere Entwicklungsteams, heterogene ECU-Architekturen ohne AUTOSAR-Standard und Produktionsstandorte — insbesondere in asiatischen Raum — mit anderen Compliance-Rahmenbedingungen.
Die regulatorische Logik bleibt aber auch in diesem Umfeld dieselbe: Der OEM trägt die Verantwortung gegenüber der Typgenehmigungsbehörde, unabhängig davon, wer die Komponente entwickelt hat.
Entscheider und Security-Verantwortliche tun gut daran, frühzeitig zu verstehen, was die UN R155 konkret fordert, wo die typischen Lücken in der Two-Wheeler-Supply-Chain liegen, und welche Security Controls OEMs operativ durchsetzen müssen — bevor das Typgenehmigungsdossier auf dem Tisch des Technischen Dienstes liegt.
Die regulatorische Zeitachse der UN R155 für Motorräder & Co: Harte Fristen, wenig Vorlauf
UN R155 gilt in der aktuellen Fassung für alle Fahrzeugkategorien L, M, N und O — für Motorräder und Zweiräder bedeutet das konkret: sofern das Fahrzeug mit mindestens einer ECU ausgestattet ist, greift die Regulierung.
Wichtig ist: In der Praxis erfasst das praktisch jedes moderne Motorrad mit ECU-basierter Motorsteuerung, ABS, IMU-Funktionalität oder digitalen Connectivity-Modulen.
Die bereits fixierten Pflichttermine der UN R155 für Motorräder
Werfen wir exemplarisch einen Blick auf die EU-spezifische Umsetzung für Kategorie L, welche über die Delegierten-Verordnung (EU) 2025/1455 erfolgt und die technische Anforderungen und Prüfverfahren gegen Cyberangriffe in die L-Typgenehmigung einzieht.
- Ab 11. Dezember 2027, die Phase „Neue Fahrzeugtypen“: CSMS-Nachweis + fahrzeugtypspezifische Cybersecurity-Dokumentation sind erforderlich; Typgenehmigungen ohne CSMS Certificate of Compliance (CoC) nicht mehr möglich
- Ab 11. Juni 2029, die Phase „Bestehende Fahrzeugtypen“: Vollständige UNR155-Konformität für alle im Feld befindlichen Typen muss gewährleistet sein; Die hier besondere Herausforderung: die lange Nutzungsdauer von Motorrädern
- Laufend ab Genehmigung, die Phase „Post-Production Betrieb“: Mindestens jährliches Reporting an Behörde/Technischen Dienst wird erforderlich; Monitoring, Incident Response, Change-Notification sind verpflichtend
Was bedeutet das konkret?
Die praktische Konsequenz: Entwicklungsprogramme mit einem Start of Production (SOP) 2027/2028 müssen spätestens 2026 mit CSMS-Aufbau und Supplier-Onboarding beginnen. Erfahrungsgemäß gilt: Auditvorbereitung und Supplier-Assessment-Programme benötigen typisch 18 bis 24 Monate Vorlauf.
Wie die Praxis zeigt, ist aber fast noch kritischer der Zeitpunkt, an dem Cybersecurity erstmals in die Entwicklung einfließt.
Wer die E/E-Architektur und ECU-Auswahl festlegt, ohne Cybersecurity-Anforderungen bereits in dieser Phase zu berücksichtigen, riskiert, dass sich notwendige Mitigations später schlicht nicht mehr implementieren lassen. Einfach weil die Hardware sie nicht trägt.
Es gilt nämlich: Die UN R155 fordert Security-by-Design, keine nachträgliche Absicherung.
Wer im voranschreitenden Jahr 2026 beides — security-berücksichtigende Architekturentscheidungen und CSMS-Aufbau — noch nicht gestartet hat, steht vor dem Typgenehmigungsaudit ohne schließbare Findings-Liste.
Oder präziser: Das Risiko eines Verkaufsverbots wird ganz konkret.
Was die UN R155 konkret fordert — und was davon beim Two-Wheeler-OEM liegt
Für die einen bereits Allgemeinwissen, für eine ganze Branche eben Neuland, daher hier einführend erklärt: Die UN R155 trennt zwei Nachweisebenen, die beide erbracht werden müssen.
- Auf Organisationsebene prüft die Genehmigungsbehörde, ob ein CSMS existiert, dass alle Phasen — Entwicklung, Produktion, Post-Production — abdeckt und auditierbar ist. Das CSMS-Audit ist dabei Voraussetzung für alles Nachfolgende: Ohne gültiges CSMS-Zertifikat keine Typgenehmigung.
- Auf Fahrzeugtypebene verlangt der Antrag zur Typgenehmigung ein vollständiges Dokumentationspaket: Beschreibung der elektrischen/elektronischen Architektur und externer Interfaces, ein Risk Assessment, das die Bedrohungsszenarien aus Annex 5 berücksichtigt, Mitigation-Mapping, Testnachweis zur Wirksamkeit und Supply-Chain-Evidenz.
Die Dokumentationslogik hat einen oft unterschätzten Aspekt: Das gesamte Dossier muss mindestens zehn Jahre ab Produktionsende verfügbar bleiben. Für Motorräder im Volume-Segment — wo ein Modell durchaus über mehrere Jahre produziert wird — bedeutet das Aufbewahrungspflichten, die sich leicht über 15 Jahre und mehr erstrecken können.
Das ist keine Archivierungsfrage, sondern ein Governance-Problem. Ohne robuste Dokumentenlenkung und Retention wird CSMS-Compliance strukturell fragil, unabhängig davon, wie gut die technischen Mitigations sind.
Der Scope vernetzter Systeme bei modernen Motorrädern
Moderne Motorräder und Zweiräder, insbesondere E-Motorräder und das Premium-Segment, verfügen zunehmend über Bluetooth Low Energy Smartphone-Pairing, OTA-Update-Fähigkeit für ECU-Software, Ride-Telemetrie und Cloud-Anbindung, Keyless-Entry und digitale Schlüsselsysteme sowie V2X-Prototypen und ADAS-Funktionen.
Jede dieser Schnittstellen ist ein potenzieller Angriffsvektor und unterliegt damit dem CSMS-Nachweis.
Hinzu kommt ein physischer Angriffsvektor, der in diesem Segment nicht zu unterschätzen ist: Die kompakte Bauform eines Motorrads macht ECUs in der Regel deutlich leichter physisch erreichbar. Wo beim Pkw Karosserie, Motorraum und Verkleidung natürliche Hindernisse bilden, liegen Steuergeräte am Motorrad häufig näher an der Oberfläche — mit entsprechend geringerem Aufwand für direkten Hardware-Zugriff, Debug-Interface-Angriffe oder Manipulation im geparkten Zustand. Das ist kein theoretisches Risiko: Keyless-Entry-Systeme und OBD-Schnittstellen sind am Motorrad schlicht angreifbarer als am Pkw.
Relevant für die Typabgrenzung: Die EU-spezifische Definition eines ‘type of vehicle with regard to its cybersecurity’ unterscheidet Fahrzeuge anhand der Hersteller-Type-Designation und der wesentlichen Aspekte der E/E-Architektur und externer Interfaces.
Dieser Schnitt steuert, wie Plattformen und Varianten zu Cyber-Typen gebündelt werden dürfen — und damit Aufwand, Re-Testing-Trigger und Änderungsmanagement.
Der Blick auf die Details: vier strukturelle Lücken in der Two-Wheeler-Supply-Chain
Die Verifikationspflicht des OEM geht regulatorisch weit über das Unterzeichnen von Security-Agreements hinaus. Wir reden also nicht über geduldiges Papier, um hier die UN R155-Pflichten zu erfüllen, sondern über handfestes Anpassen von Prozessen, Strukturen und Engineering-Vorgehensweisen. Typgenehmigungsbehörden werden im Rahmen von CSMS-Audits durchaus genau prüfen, ob der OEM nachweisbar sichergestellt hat, dass seine Partner die geforderten Controls tatsächlich umsetzen.
In der Praxis zeigen sich vier wiederkehrende Gaps:
- Papier vs. Realität: Ein Lieferant behauptet, Cybersecurity zu berücksichtigen — aber sie ist noch nicht Teil der Entwicklungsprozesse. Es existiert kein Security-Konzept, kein dokumentiertes Security Manual, keine nachweisbare Methodik. Derartige Findings sind bei der CSMS-Zertifizierung ein wirkliches Typgenehmigungsrisiko.
- Fehlende Traceability: Security Controls wie Key-Provisioning, Firmware-Flash-Prozesse und Debug-Deaktivierung existieren zwar, werden aber nicht von einem Risikoassessment abgeleitet und nicht mit Testergebnissen verknüpft. Die Verifikation bleibt damit ohne belastbare Grundlage — und die Nachweisführung gegenüber Behörden entsprechend lückenhaft.
- Fehlende Automotive-Erfahrung: Two-Wheeler-Zulieferer sind strukturell andere als Pkw-Zulieferer. Automotive-Prozesse sind in diesem Segment deutlich weniger etabliert — ISO 26262 nahm Motorräder erst in der zweiten Edition 2018 auf, ISO/SAE 21434 erwähnt sie gar nicht. Automotive SPICE spielt bei Herstellern, die ausschließlich Motorräder fertigen, eine untergeordnete Rolle. Das Ergebnis: Lieferanten, die zwar grundsätzlich gute Entwicklungsprozesse haben, aber keine Erfahrung mit automotive-spezifischen Cybersecurity-Anforderungen und Evidenzformaten mitbringen.
- Unvollständige Vulnerability-Visibility durch heterogene Entwicklungsumgebungen: Unterschiedliche Entwicklungswerkzeuge und -umgebungen je Standort führen dazu, dass SBOM-Generierung nicht standardisiert ist und sich blinde Flecken in der Vulnerability-Abdeckung einschleichen — mit direkten Konsequenzen für die OTA-Patch-Validierung.
Das Kernproblem dahinter ist strukturell: Viele Tier-1- und Tier-2-Lieferanten im Two-Wheeler-Segment wurden bislang nicht nach ISO/SAE 21434 auditiert und haben historisch keine Automotive-Cybersecurity-Prozesse etabliert.
Gleichzeitig sind die Stückzahlen im Motorradmarkt, mit Ausnahme weniger globaler Volumenhersteller, deutlich geringer als im Pkw-Bereich, was die Durchsetzungsfähigkeit gegenüber Lieferanten entsprechend begrenzt.
Produktionsstandorte in Südostasien und auf dem indischen Subkontinent — Vietnam, Malaysia, Indonesien, Philippinen, Indien — operieren faktisch unter anderen Compliance-Rahmenbedingungen. Technische Dienste sind zwar auch in diesen Regionen präsent, was On-Site-Assessments grundsätzlich ermöglicht; der koordinative Aufwand für konsistente, standortübergreifende Verifikation bleibt dennoch erheblich.
Wo OEMs frühzeitig ansetzen sollten: Einforderung von Security Controls im Produktionskontext
Realistisch gesehen beginnt die Arbeit mit den Anforderungen der UN R155 irgendwo im Cybersecurity-Kontext, noch recht nah angegliedert an das Headquarter, die zentralen Unternehmensfunktionen. Aber wie steht es um die Produktion, die vielleicht auch extern vergeben wird?
Basierend auf ISO/SAE 21434 und dem ENISA-Framework ergeben sich für den Produktionskontext fünf Kontrollebenen, die OEMs gegenüber Lieferanten technisch spezifiziert — messbar und prüffähig — einfordern müssen. Diese gilt es sich frühzeitig zu vergegenwärtigen und entsprechend abzuarbeiten.
- Secure Production Environment: Zugangskontrollen zu produktionsrelevanten Systemen (HSM-Zugriff, Key-Provisioning-Infrastruktur), Netzwerksegmentierung zwischen Produktions-IT und Office-IT, Protokollierung und Monitoring von Zugriffen auf sicherheitskritische Produktionssysteme.
- Secure Key Provisioning & Device Identity: Nachweis eines HSM-basierten Key-Injection-Prozesses (kein Fertigungsschritt im engeren Sinne, aber ein kritischer produktionsnaher Sicherheitsprozess), eindeutige Device-Identitäten pro Fahrzeug-ECU, Dokumentation des Key-Lifecycle (Generierung, Einbrennen, Archivierung, Löschprozess).
- Software Integrity im Produktionsprozess: Code-Signing-Pflicht für alle Firmware-Images vor dem Flash-Prozess, SBOM als Pflichtlieferant je Fahrzeugvariante und SW-Version, Verifikation der Firmware-Integrität im Produktionsablauf via Hash-Vergleich und Signaturprüfung.
- Debug Interface Management: Nachweis der Deaktivierung bzw. kryptografischen Absicherung von JTAG, UART und USB-Debug-Interfaces vor Auslieferung; dokumentierter Prozess für autorisierte Ausnahmen in Field-Service- und Recall-Szenarien.
- Supply Chain Transparency & Vulnerability Management: SBOM-Verfügbarkeit auf Tier-2-/Tier-3-Ebene mindestens auf Anfrage; Vulnerability-Disclosure-Prozess mit maximal 72 Stunden Benachrichtigungsfrist für kritische Vorfälle; vertraglich gesicherter Incident-Response-Prozess.
Die drei Ebenen der UN R155-Verifikationspflichten verstehen
Die regulatorische Logik ist in einer Sache eindeutig: Der OEM ist verantwortlich, nicht sein Lieferant.
Damit entsteht eine komplexe Verifikationspflicht, die sich über drei Ebenen erstreckt. Die dokumentarische Ebene allein ist für den UN R155-Nachweis nicht ausreichend. (Eben kein Papiertiger, s. oben!)
Diese Ebenen und ihre Maßnahmen sind stets zu erwarten:
- Dokumentarisch: Dazu gehören Security-Questionnaires, Selbstauskünfte, Zertifikatsnachweise; Dies ist in der Regel nur die Mindestanforderung; dies allein ist nicht ausreichend als UN R155-Nachweis.
- Technisch-analytisch: Hier geht es in die Tiefe, etwa mit Vulnerability Scanning, Firmware-Analyse, Pen-Test-Ergebnisse u.a.; Der OEM steht hier in der Pflicht, Artefakte einzufordern, aufzubewahren und regelmäßig zu aktualisieren. (Dadurch erhält auch das Tooling, etwa mit Blick auf die Aktualisierung des Cyber Risk Assessments/TARA, neue Aufmerksamkeit.)
- On-Site / Remote Audit: Supplier Security Assessments nach definiertem Framework (ISO/SAE 21434 in Kombination mit ISO PAS 5112 oder eigenem Standard) werden definitiv eher mehr als weniger. Der OEM muss das Audit-Recht vertraglich sichern, mit risikoadäquater Frequenz, mind. 1x/Jahr für kritische Lieferanten
Empfehlenswert ist eine Risikoklassifizierung der Supply Chain nach High/Medium/Low anhand der Kriterien Zugang zu sicherheitskritischen Systemen, Vernetzungsgrad der gelieferten Komponente und Marktanteil im eigenen Portfolio.
High-Risk-Lieferanten sollten entweder jährlich auditiert oder für jedes Produkt ein Assessment durchgeführt werden, Medium-Risk alle zwei Jahre, Low-Risk per Self-Assessment mit stichprobenartiger Verifikation.
Strukturelle Besonderheiten der UN R155-Compliance im Two-Wheeler- und Motorrad-Segment
Generell gilt: Die Anforderungen aus der UN R155 sind übertragbar aus dem Pkw-Bereich. Sie müssen aber auf die strukturellen Bedingungen des Segments angepasst werden.
Die Unterschiede werden in einer direkten Gegenüberstellung sichtbar.
Nehmen wir einen ganz typischen Pkw-OEM, soweit sich das sagen lässt:
- Cybersecurity-Team: dedizierte Abteilungen, mit fünfzig bis teilweise mehreren hundert Spezialisten
- Tier-1-Landschaft: Bosch, Continental, ZF (eben „die Großen“) — idR. alle mit eigenem CSMS
- Elektronikkomplexität: Mehrere Dutzend hochvernetzte Steuergeräte (ECUs) pro Fahrzeug
- ECU-Architektur: etablierte standardisierte Plattformen (AUTOSAR)
- Software-Update/OTA-Infrastruktur: weitgehend etabliert
- Kostendruck: hoch, aber Margin (noch?) vorhanden
Auf Seiten der Two-Wheeler-OEMs sieht die Ausgangslage anders aus:
- Cybersecurity-Team: oft nur 2 bis zehn Kolleginnen und Kollegen; häufig in Elektrik/Elektronik integriert
- Tier-1-Landschaft : idR. regionale/kleinere Lieferanten, oft ohne eine Auditierung gegen die ISO/SAE 21434 o.Ä.
- Elektronikkomplexität: Typischerweise 5–6 ECUs mit deutlich geringerer Systemvernetzung
- ECU-Architektur: heterogen; teils proprietäre Stacks ohne AUTOSAR (was nicht zwingend ein Nachteil ist!)
- OTA-Infrastruktur: im Aufbau; primär nur bei E-Motorrädern
- Kostendruck: idR. sehr hoch im Volume-Segment; deutlich erschwerter Invest in Security
Diese etwas vereinfachte Gegenüberstellung zeigt bereits: Two-Wheeler-OEMs können die Pkw-Playbooks nicht 1:1 übernehmen.
In der Praxis gilt eine ‘Dual-Lane’-Organisation als praxistaugliche Zielbild:
- ein stabiles, auditierbares CSMS als Managementsystem einerseits,
- und pro Fahrzeugtyp ein Engineering-Lead mit klaren Risk Criteria und strukturierten Evidenzpaketen andererseits.
Automotive SPICE for Cybersecurity (VDA QMC) bietet für die Supplier-Dimension eine sehr konkrete Work-Product-Sicht, insbesondere zu Interface Agreements mit RASIC-Klärung und Austausch von Work Products bei Vulnerabilities.
Der Product-Lifecycle für Motorräder: Was nach der Typgenehmigung kommt
Die UN R155 endet nicht mit der Typgenehmigung.
Die Regulierung fordert mindestens jährliche Berichte an Behörde und Technischen Dienst über Monitoring-Ergebnisse, neue Angriffsvektoren und die fortbestehende Wirksamkeit der Mitigations.
Bei unzureichendem Reporting oder Response kann die Behörde das CSMS-Compliance-Zertifikat entziehen — was bis zur Rücknahme von Typgenehmigungen führen kann.
Änderungen am Fahrzeugtyp, die Cyber-Performance oder Dokumentation beeinflussen, müssen der Behörde angezeigt werden.
Die Konformität der Produktion (CoP) wird von der Behörde üblicherweise im Drei-Jahres-Rhythmus geprüft.
Mit der UN R155 wird Cybersecurity nicht mehr nur zum Prüfpunkt bei der Erstgenehmigung, sondern zu einer dauerhaften Herstellerpflicht: Entscheidend ist der fortlaufende Nachweis eines wirksamen CSMS, auch wenn die Typgenehmigung als solche nicht automatisch alle drei Jahre neu erteilt wird.
Damit ist Cybersecurity auch bei Motorrädern & Co prozessual näher an Safety Management / Continuous Compliance als an klassischem Zulassungsmanagement anzusiedeln.
UN R155-Compliance für Zweiräder: Was jetzt für Two-Wheeler OEMS entscheidend ist
Zusammengefasst: Die UN R155 für Kategorie L ist keine Formalie.
Als substanzielle regulatorische Anforderung zwingt sie die Two-Wheeler-OEMs, Supply-Chain-Cybersecurity konsequent zu adressieren. Mechanismen, die operativer Überprüfung standhalten, werden unverzichtbar.
Die entscheidenden Erfolgsfaktoren sind
- technisch spezifizierte Anforderungen an Lieferanten statt generischer Security-Klauseln,
- Verifikationsmechanismen mit operativer Substanz jenseits von Fragebögen,
- SBOM-Pflicht als Basishygiene auch für kleinere Lieferanten,
- frühzeitige Einbindung von Produktionspartnern in CSMS-Prozesse
- und eine risikobasierte Audit-Frequenz.
Die Kernfrage ist nicht, ob der OEM diese Verantwortung trägt. Das ist regulatorisch geklärt.
Die Frage ist, mit welchen Mechanismen er sicherstellt, dass seine gesamte Supply Chain den geforderten Sicherheitsstandard tatsächlich erreicht und nachweisbar hält.
Hier gibt es einiges zu verstehen, aufzubauen und in der operativen Umsetzung nachzuhalten.
Fast Mitte 2026 lässt sich aus der Praxis-Perspektive festhalten: Für Two-Wheeler-OEMs, die noch in der Planungsphase sind, ist der Zeitpuffer bereits knapp.
