Cy­ber­se­cu­ri­ty-Richt­li­nie: Was Zu­lie­fe­rer dafür tun müssen

Der Countdown läuft bald ab. Nach Vorgaben der Europäischen Union muss bis Juli für alle neu in Betrieb genommenen Fahrzeuge ein Nachweis über ein bestehendes Cybersecurity-Management-System (CSMS) erbracht werden. Dies gilt sowohl für alte als auch neue Fahrzeug-Modellreihen.

Eine Konsequenz: Modelle wie VW Bulli T6.1, Ford Fiesta oder Porsche Macan werden nicht mehr in Europa verkauft, weil die Umsetzung der UNECE R155 für eine Zulassung wirtschaftlich nicht tragfähig wäre.

Die Anfang 2022 in Kraft getretene Norm fordert von den Fahrzeugherstellern ein CSMS zu implementieren, das über den gesamten Fahrzeuglebenszyklus die Cybersicherheit gewährleistet und auch die Lieferkette mit einbezieht.

Einheitliche Grundlage für Validierung:

Vor diesem Hintergrund hat die ENX Association, ein Zusammenschluss europäischer Automobilhersteller, -zulieferer und Verbänden, kürzlich das ENX Vehicle Cybersecurity Audit (ENX VCS) eingeführt, um die Cybersicherheit auf Zulieferer-Ebene zu zertifizieren. Die global einheitliche Prüfgrundlage soll für vergleichbare Audit-Ergebnisse sorgen.

„Die Branche hat schon lange auf eine einheitliche Prüfgrundlage für die Validierung von Cybersecurity-Management-Systemen gewartet“, sagt Christian Gerling, Geschäftsführer der Zertifizierungsgesellschaft DQS.

Zwar sorgt schon seit einigen Jahren im Zulieferbereich das Informationssicherheits-Management-System TISAX für einen sicheren Informationsfluss, allerdings widmet sich TISAX nicht dem Thema Cybersecurity.

Wichtig für die Lieferkette:

Erste Pre-Audits und Zertifizierungen schon im Vorfeld des VCS-Launches zeigen, „dass sich einige Fahrzeughersteller schon jetzt intensiv mit der Thematik beschäftigen. Deren Lieferanten bewusst, dass sie diese Zertifizierung ebenfalls brauchen, um weiter in der Lieferkette zu bleiben“, sagt DQS-Manager Ingo Unger.

Um das Zertifikat zu erhalten, müssen die Unternehmen einen festgelegten Prozess durchlaufen. Nachdem sich die Firmen für das Audit registriert haben, erhalten sie einen Fragenkatalog. Darin wird unter anderem der erwartete Umfang des Projekts abgeschätzt.

„Sobald dieser Fragenkatalog übermittelt wurde, treffen sich das Unternehmen und der Audit-Provider in einem Kick-off, um die Details der Auditierung und Anforderungen zu besprechen“, sagt Unger.

Eine Handvoll Anbieter:

Anschließend erfolgt das Audit, um die vom Unternehmen abgegebenen Dokumentationen vor Ort zu überprüfen. Der DQS-Manager rechnet damit, dass die Audits innerhalb von fünf bis zehn Tagen abgewickelt werden können.

Laut ENX Association gibt es eine Handvoll Anbieter wie DQS, die zum Start direkt loslegen können. Die Zertifizierungsgesellschaft hat gerade den ersten großen Zulieferer, der an die deutsche Automobilindustrie liefert, für ein VCS-Audit zertifiziert.

Unger: „Und es gibt etliche Nachfragen wegen Auditierungen von Unternehmen, die sowohl an die deutsche als auch internationale OEMs liefern.“

Der Beitrag erschien zuerst am 28.06.2024 auf Automobilwoche.de