Cyber-Security & Software-Update
International
Mit den UN-Regelungen 155 (Cyber-Security) und 156 (Software-Update) werden neue Anforderungen an Hersteller und Technische Dienste gestellt: neben der Anfangsbewertung des Herstellers und der Produktprüfung durch den Technischen Dienst ist zur Erlangung einer Typgenehmigung auch der Nachweis von eingeführten und wirksamen speziellen Managementsystemen zur Cyber-Security und zu Software-Updates erforderlich.
Verantwortlichkeiten im Genehmigungsprozess gemäß UN-R155 / R156
- benennt die Technischen Dienste.
- führt eigene Prüfungen des Managementsystems und ggf. des Produkts durch.
- stellt das in den UN-Regelungen geforderte Zertifikat zum Cyber-Security Managementsystem (CSMS) und zum Software-Update Managementsystem (SUMS) auf der Grundlage der Auditberichte und sonstiger Informationen des Technischen Dienstes aus, setzt dieses ggf. aus oder entzieht es.
- erteilt die Typgenehmigung.
- bewertet in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Ad-Hoc Meldungen zu Cyber-Security relevanten Ereignissen und ergreift die ggf. erforderlichen Maßnahmen.
- organisiert Erfahrungsaustausche zwischen interessierten Parteien mit dem Ziel der Weiterentwicklung des Verfahrens.
- nimmt aktiv an Besprechungen der entsprechenden UN- und (EU-) Gremien teil.
- führt grundsätzlich die Prüfungen des Managementsystems (CSMS/SUMS) und des Genehmigungsobjekts durch.
- übermittelt Prüfberichte und relevante Informationen des Herstellers an das KBA.
- produziert unter Einhaltung harmonisierter Regelungen (u. a. UN-R155 und UN-R156).
- stellt kontinuierlich sicher, dass die nach UN-R155 und UN-R156 geforderten Managementsysteme installiert und wirksam sind bzw. aktualisiert diese entsprechend.
- überwacht gemäß der UN-R155 die eigene Fahrzeugflotte sowie die Backend-Infrastruktur und trifft Maßnahmen zu deren Absicherung gegen Cyber-Angriffe.
gewährt dem
- KBA sowie dessen Beauftragten für die Dauer der Gültigkeit des CSMS/SUMS Zertifikats und/oder der vom KBA erteilten Typgenehmigung den erforderlichen Zutritt und Zugriff auf Informationen.
- Technischen Dienst für die Dauer eines Überwachungszeitraums von 3 Jahren den erforderlichen Zutritt und Zugriff auf Informationen.
- stellt dem Technischen Dienst und dem KBA die im Rahmen der Bewertung erforderlichen Informationen, Dokumente und Aufzeichnungen zur Verfügung.
- erstattet dem KBA mind. einmal pro Jahr Bericht bzgl. der Wirksamkeit der geforderten Managementsysteme.
- teilt dem KBA unverzüglich bekannt gewordene Schwachstellen oder Angriffe, die Auswirkungen auf die Cyber-Security der Fahrzeuge haben, gemäß der UN-R155 mit.
National
Software wird im Straßenfahrzeugbereich immer wichtiger. Die in den Fahrzeugen enthaltene Software muss aktualisiert werden, um neue Funktionen zu ermöglichen oder Fehler zu beheben. Aufgrund der vielen unterschiedlichen Situationen, in denen Softwareänderungen in Fahrzeugen bereits heute durchgeführt werden, bedarf es einer Einordnung dieser in die bestehenden Prozesse des Typgenehmigungsverfahrens. Auch wenn nachfolgend auf Fahrzeuge nach der Verordnung (EU) 2018/858 Bezug genommen wird, so gilt diese Einordnung sinngemäß auch für Fahrzeuge nach den Verordnungen (EU) 167/2013 und 168/2013. Diese Einordnung berücksichtigt die Verkehrsblattverlautbarung (02/23 Nr. 6), die mit dem Datum ihrer Veröffentlichung anzuwenden ist.
Die nachfolgenden Kategorien von Softwareänderungen wurden unter der Prämisse definiert, dass
- harmonisiertem Recht Rechnung getragen wird;
- Fahrzeughersteller jeweils nur ihre eigene Software ändern;
- es sich bei den Fahrzeugen um bereits zugelassene und somit im Verkehr befindliche Fahrzeuge handelt;
- die Durchführung der Softwareänderung technologieneutral ist;
- für die Durchführung einer Softwareänderung keine Hardwareänderung an dem betroffenen Fahrzeug notwendig ist;
- die Dokumentation, Prüfung und erfolgreiche Durchführung der Softwareänderung in der Verantwortung des Fahrzeugherstellers liegt, diese den Grundsätzen der UN-Regelung Nr. 156 oder ähnlichen Regelwerken folgt und sofern erforderlich die Typgenehmigungsbehörde miteinschließt;
- Softwareänderungen im Rahmen der Marküberwachung grundsätzlich geprüft werden können;
- sich das Fahrzeug zum Zeitpunkt der Softwareänderung in einem typgenehmigten Zustand befindet.
Diese Kategorie ist in Artikel 14 der VO (EU) 2018/858 geregelt.
Die Typgenehmigungsbehörde ist vom Hersteller über die Nichtkonformität (z. B. fehlerhafte Sensorkalibrierung) und alle ergriffenen Maßnahmen zu unterrichten. Der Hersteller kann in der Regel eigenverantwortlich die Softwareänderung durchführen und somit die Konformität zur Typgenehmigung oder Vorschrift wiederherstellen. Die Typgenehmigungsbehörde akzeptiert die vom Hersteller vorgeschlagenen Maßnahmen oder ordnet ggfs. weitere Maßnahmen an.
Die Betriebserlaubnis sowie die Typgenehmigungs- und nationalen Fahrzeugdokumente bleiben durch die Softwareänderung unberührt.
Bei dieser Kategorie werden keine sicherheits-/umwelt-/typgenehmigungsrelevanten Eigenschaften des Fahrzeugs tangiert (z. B. Sitzfunktion der hinteren Sitzreihe) und der genehmigte Zustand des Fahrzeugs bleibt von der Softwareänderung unberührt.
Ergibt die rechtliche Prüfung des Herstellers gegen die Anforderungen von Artikel 33 VO (EU) 2018/858 sowie § 19 StVZO, dass keine Einbindung der Typgenehmigungsbehörde zu erfolgen hat, muss die Typgenehmigungsbehörde nicht eingebunden werden.
Die Betriebserlaubnis sowie die Typgenehmigungs- und nationalen Fahrzeugdokumente bleiben durch die Softwareänderung unberührt.
In dieser Kategorie geht es um Softwareänderungen zur Aktivierung zusätzlicher sicherheits-/umwelt-/typgenehmigungsrelevanter Funktionen, die durch eine gültige System-Typgenehmigung zum Zeitpunkt des erstmaligen Inverkehrbringens des Fahrzeugs abgedeckt sind, jedoch beim erstmaligen Inverkehrbringen des Fahrzeugs noch nicht durch den Hersteller aktiviert waren (z. B. Aktivierung einer in der UN-Regelung Nr. 79 genannten Assistenzfunktion).
Der Hersteller hat zu prüfen, dass die durch die Softwareänderung hervorgerufenen Änderungen keinen Einfluss auf die Fahrzeug- oder Typgenehmigungsdokumente haben. Da die Änderung durch die Softwareänderung bereits mit der System-Typgenehmigung durch die Typgenehmigungsbehörde abgeprüft war, ist keine erneute Prüfung durch die Typgenehmigungsbehörde erforderlich.
Die Betriebserlaubnis sowie die Typgenehmigungs- und nationalen Fahrzeugdokumente bleiben durch die Softwareänderung unberührt.
In dieser Kategorie geht es um Softwareänderungen zur Aktivierung zusätzlicher sicherheits-/umwelt-/typgenehmigungsrelevanter Funktionen, die noch nicht durch eine gültige System-Typgenehmigung zum Zeitpunkt des erstmaligen Inverkehrbringens des Fahrzeugs abgedeckt sind (z. B. neuartige Fahrerassistenzsysteme nach zukünftigen UN-Regelungen). In der Regel werden solche Softwareänderungen vom Fahrzeughalter initiiert.
Die Änderung durch die Softwareänderung muss durch eine nach dem erstmaligen Inverkehrbringen des Fahrzeugs vorgenommene Erweiterung der Fahrzeug-Typgenehmigung abgedeckt sein. Der Hersteller hat diese Erweiterung vor der Durchführung der Softwareänderung bei der Typgenehmigungsbehörde einzuholen.
Ergibt die rechtliche Prüfung des Herstellers gegen die Anforderungen von § 19 StVZO, dass keine – über die bereits vorgenommene Erweiterung der Fahrzeug-Typgenehmigung hinausgehende – Einbindung der Typgenehmigungsbehörde zu erfolgen hat, muss die Typgenehmigungsbehörde nicht eingebunden werden. Der Hersteller hat immer die Möglichkeit, einen Nachweis gemäß § 19 Absatz 3 Nr. 1 b) StVZO bei der Typgenehmigungsbehörde zu beantragen.
Die Betriebserlaubnis sowie die nationalen Fahrzeugdokumente bleiben durch die Softwareänderung unberührt.
Über die Anforderungen der jeweiligen Kategorie (vgl. Kategorie 2 – 4 und 6) hinaus (z. B. Anpassung der maximalen Nennleistung der Antriebsmaschine) gelten die für die Änderung der Fahrzeugpapiere einschlägigen Anforderungen der Fahrzeug-Zulassungsverordnung (FZV).
In dieser Kategorie geht es insbesondere um Softwareänderungen, die nach der Einstellung der Produktion des dem Einzelfahrzeug zugrundeliegenden Fahrzeugtyps erfolgen (z. B. Behebung einer Schwachstelle in der Cyber-Sicherheit, Verbesserung des Überwachungsbereichs des Abbiegeassistenzsystems). Für diese Kategorie ist es nach harmonisiertem Recht nicht möglich, Fahrzeug-Typgenehmigungen um ggf. erforderliche technische Prüfungen oder Dokumentationen gegenüber der Typgenehmigungsbehörde zu erweitern.
Ergibt die rechtliche Prüfung des Herstellers gegen die Anforderungen von § 19 StVZO, dass keine Einbindung der Typgenehmigungsbehörde zu erfolgen hat, muss die Typgenehmigungsbehörde nicht eingebunden werden. Der Hersteller hat immer die Möglichkeit, mit einem der in § 19 Absatz 3 StVZO genannten Nachweise (z. B. ABE nach § 22 StVZO), die Vorschriftsmäßigkeit bestätigen zu lassen.
Die Betriebserlaubnis sowie die nationalen Fahrzeugdokumente bleiben durch die Softwareänderung unberührt.
Im Folgenden finden Sie einige Hinweise zu Fragestellungen. Diese Hinweise werden entsprechend der weiteren Erfahrungen und Entwicklungen nach Konsultationen mit den betroffenen Stellen überarbeitet.
Hinsichtlich der Anwendung der UN-Regelungen wird auch auf die „Interpretation Documents“ zu der jeweiligen UN-Regelung (UN-R155 und UN-R156) hingewiesen.
Checkliste ProzessprüfungPDF, 130KB, Datei ist nicht barrierefrei
Checkliste Prozessprüfung (Querformat)PDF, 141KB, Datei ist nicht barrierefrei
Checkliste PrüfprozessPDF, 127KB, Datei ist nicht barrierefrei
Checkliste Prüfprozess (Querformat)PDF, 127KB, Datei ist nicht barrierefrei
Checkliste RisikoanalysePDF, 157KB, Datei ist nicht barrierefrei