Cybersecurity-Richtlinie: Was Zulieferer dafür tun müssen

Ein Audit soll die Cybersicherheit von Autos auch auf der Ebene der Zulieferer sicherstellen. Erste Prüfgesellschaften sind bereits zugelassen.

Foto: grapestock/iStock

Für mehr Sicherheit: Die ENX Association hat ein Audit eingeführt, um die Cybersicherheit bei Zulieferern zu zertifizieren.

Der Countdown läuft bald ab. Nach Vorgaben der Europäischen Union muss bis Juli für alle neu in Betrieb genommenen Fahrzeuge ein Nachweis über ein bestehendes Cybersecurity-Management-System (CSMS) erbracht werden. Dies gilt sowohl für alte als auch neue Fahrzeug-Modellreihen.

Eine Konsequenz: Modelle wie VW Bulli T6.1, Ford Fiesta oder Porsche Macan werden nicht mehr in Europa verkauft, weil die Umsetzung der UNECE R155 für eine Zulassung wirtschaftlich nicht tragfähig wäre.

Die Anfang 2022 in Kraft getretene Norm fordert von den Fahrzeugherstellern ein CSMS zu implementieren, das über den gesamten Fahrzeuglebenszyklus die Cybersicherheit gewährleistet und auch die Lieferkette mit einbezieht.

Einheitliche Grundlage für Validierung

Vor diesem Hintergrund hat die ENX Association, ein Zusammenschluss europäischer Automobilhersteller, -zulieferer und Verbänden, kürzlich das ENX Vehicle Cybersecurity Audit (ENX VCS) eingeführt, um die Cybersicherheit auf Zulieferer-Ebene zu zertifizieren. Die global einheitliche Prüfgrundlage soll für vergleichbare Audit-Ergebnisse sorgen.

"Die Branche hat schon lange auf eine einheitliche Prüfgrundlage für die Validierung von Cybersecurity-Management-Systemen gewartet", sagt Christian Gerling, Geschäftsführer der Zertifizierungsgesellschaft DQS.

Zwar sorgt schon seit einigen Jahren im Zuliefererbereich das Informationssicherheits-Management-System TISAX für einen sicheren Informationsfluss, allerdings widmet sich TISAX nicht dem Thema Cybersecurity.

Wichtig für die Lieferkette

Erste Pre-Audits und Zertifizierungen schon im Vorfeld des VCS-Launchs hätten gezeigt, "dass sich einige Fahrzeughersteller schon jetzt intensiv mit der Thematik beschäftigen. Deren Lieferanten ist bewusst, dass sie diese Zertifizierung ebenfalls brauchen, um weiter in der Lieferkette zu bleiben", sagt DQS-Manager Ingo Unger.

Um das Zertifikat zu erhalten, müssen die Unternehmen einen festgelegten Prozess durchlaufen. Nachdem sich die Firmen für das Audit registriert haben, erhalten sie einen Fragenkatalog. Darin wird unter anderem der erwartete Umfang des Projekts abgeschätzt.

"Sobald dieser Fragenkatalog übermittelt wurde, treffen sich das Unternehmen und der Audit-Provider in einem Kick-off, um die Details der Auditierung und Anforderungen zu besprechen", sagt Unger.

Zum Thema
Cyber-Richtlinie: Diesen Herstellern tut die neue Vorgabe weh
Cybersecurity: Wie sicher sind Software-definierte Autos?
Cyber-Attacken: Was die Automobilbranche angreifbar macht
Eine Handvoll Anbieter

Anschließend erfolgt das Audit, um die vom Unternehmen abgegebenen Dokumentationen vor Ort zu überprüfen. Der DQS-Manager rechnet damit, dass die Audits innerhalb von fünf bis zehn Tagen abgewickelt werden können.

Laut ENX Association gibt es eine Handvoll Anbieter wie DQS, die zum Start direkt loslegen können. Die Zertifizierungsgesellschaft hat gerade den ersten großen Zulieferer, der an die deutsche Automobilindustrie liefert, für ein VCS-Audit zertifiziert.

Unger: "Und es gibt etliche Nachfragen wegen Auditierungen von Unternehmen, die sowohl an die großen deutschen als auch internationalen OEMs liefern."

FÜR SIE EMPFOHLEN
Interview: Was der neue Valeo-Deutschland-Chef Holger Schwab plant
Lesen Sie auch:
Holger Schwab, Deutschlandchef Valeo
Interview: Was der neue Valeo-Deutschland-Chef Holger Schwab plant
Katja von Raven Bosch
Katja von Raven wird Teil der Bosch-Geschäftsführung
Olaf Schick
Continental: Rechtsvorstand Olaf Schick übernimmt Finanzressort
Hella in Lippstadt
Hella streicht 420 Stellen am Stammsitz Lippstadt
Hochvolt-Motor SEG
Wie sich SEG Automotive seit der Trennung von Bosch entwickelt hat
Informationsvorsprung Newsletter
Jetzt Newsletter bestellen