Die UN R155 stellt zum ersten Mal „einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems“ auf. Sie regelt, welche Maßnahmen Hersteller während und nach der Produktion ergreifen müssen, um Internetsicherheit zu gewährleisten. Neben einer lückenlosen Risikobewertung gehört dazu unter anderem auch die Datensicherheit in bestimmten Umgebungen. Zudem werden implementierte Verfahren für eine einheitliche Bewertung verlangt.
Im Fokus: Cybersicherheit für den gesamten Lebenszyklus von Fahrzeugen
Fahrzeughersteller müssen demnach ein Cyber Security Management System einführen. Das sind Anforderungen an ein systematisch risikobasiertes Managementsystem mit organisatorischen Prozessen, Verantwortlichkeiten und Methoden zur Eindämmung von Bedrohungen und dem Schutz vor Cyberangriffen auf Fahrzeuge. Der hier anzuwendende Standard ist ISO 21434.
Die Norm ISO 21434, „Road Vehicles – Cybersecurity Engineering”, schlägt Maßnahmen für die Entwicklung vor, damit die zunehmenden Risiken durch Cyber-Attacken auf Fahrzeuge bereits während der Produktion eingedämmt werden. Der Standard befindet sich derzeit in den letzten Zügen seiner Entwicklung. Im März diesen Jahres wurde der letzte Entwurf zur Revision eingereicht.
ISO 27001 ist Pflicht und Kür
Dennoch bleibt die Norm ISO 27001 die Basis, um allumfassende Informationssicherheit zu erzielen und dies auch nachzuweisen. Sie spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Information Security Management Systems und bildet die Grundlage für ein erfolgreiches TISAX®-Assessment.
ISMS und CSMS – was ist der Unterschied?
Im Gegensatz zum ISMS zielt das Automotive CSMS auf den Schutz der Verkehrsteilnehmer und der Bevölkerung ab und hat dabei den gesamten Lebenszyklus des Fahrzeugs im Blick. Ein ISMS hingegen gewährleistet die Informationssicherheit innerhalb einer Organisation und zielt auf den Datenschutz innerhalb der Lieferkette ab. Werden beide implementiert und gepflegt, bieten sie die größtmögliche Compliance und Absicherung in Sachen Informationssicherheit.