Jan 11

Ein UN R155/ CSMS Audit erfolgreich bestehen: Best Practices und Empfehlungen

UN R155 CSMS audit

Entlang der Anforderungen der UN-Regulierung Nr. 155 bildet die Implementierung und Anwendung eines Cybersecurity Management Systems (kurz CSMS) die Grundlage für Cybersicherheit im Fahrzeug – für den gesamten Lebenszyklus. Mindestens alle drei Jahre muss der Original Equipment Manufacturer (OEM) sein aufgebautes CSMS auditieren lassen und mit einem Certificate of Compliance einen Beleg über die Erfüllung der Anforderungen liefern. Wie besteht man als Fahrzeughersteller so ein CSMS-Audit? Dieser Frage gehen wir im Folgenden nach.

Gegenwärtig befinden sich Maßnahmen zum Auf- und Ausbau von Cybersicherheit rund um das Fahrzeug weitläufig noch in Anfangsstadien. Während rund um das Massenprodukt Automobil die großen Autobauer mit ihren riesigen Flotten bereits vor Jahren begonnen haben Ressourcen rund um das Handlungsfeld CSMS aufzubauen, stehen kleinere und Nischen-OEMs einer anderen Situation gegenüber.

Mit dem Scope der UN R155 auch für Auflieger, Anhänger und weitere Sonderfahrzeuge (Rettungswagen, Müllentsorgung, Feuerwehr und mehr) sowie dem ab Juli 2029 aufkommenden Thema UN R155 für Motorräder ist die Spannweite der betroffenen Organisationen rund um das Thema CSMS groß.

Commitment des Managements als Katalysator

Dem folgend sehen sich viele Cybersicherheitsverantwortliche einer Situation ausgesetzt, in der zunächst die Mobilisierung von Ressource für das CSMS und das zugehörige Audit angestoßen werden muss.

Der weitreichende Impact der UN R155 und die besondere Priorität aufgrund der Typzulassungs-Relevanz muss der Führungsebene vollumfänglich verständlich werden.

Dabei sollte auf Managementebene klar werden, dass es mit der CSMS-Compliance nicht nur um die Einhaltung einer mit Blick auf die UNECE-Absatzmärkte rechts-verbindlichen Vorschrift geht, vielmehr sollten generell die Vorteile von Cybersicherheit als Treiber für das Fahrzeuggeschäft erkannt werden. Dabei geht es um das ordnungsgemäße Aufsetzen von Cybersicherheit als Treiber für Skalierbarkeit und Qualität sowie Chancen der Marktdurchdringung mit Cybersicherheit als Wettbewerbsvorteil.

Ziel sollte sein, angemessene Ressourcen und Budgets für die Umsetzung und Pflege des CSMS in der Organisation bereit zu stellen.

Etablierung von Arbeitskreisen, Steuerungs-Komitees, Expertengruppen etc.

Nennen Sie es wie Sie wollen, für die Steuerung eines CSMS-Audits gilt es ein spezielles Team zu ernennen, welches den gesamten Prozess der Auditierung von Anfang bis Ende koordiniert und überwacht.

Es ist unverzichtbar, geordnete Informationsflüsse, effektive Kommunikation und Zusammenarbeit zwischen allen involvierten Stakeholdern sicherzustellen.

Aufgrund der Breite und Tiefe der involvierten Funktionen, die im CSMS eine Rolle spielen – aus unserer Erfahrung geht dies in der Regel von HR über die gesamte Entwicklung bis zu Produktion und After-Sales – kommt der erfolgreichen Involvierung aller Beteiligten innerhalb der Organisation über Bereichs- und Abteilungsgrenzen hinweg eine besondere Rolle zu.

Ebenso wichtig ist der effiziente Austausch mit der prüfenden Organisation, bzw. zur Seite der involvierten Behörde, meist die nationale Entität, wie das Kraftfahrt-Bundesamt (KBA) in Deutschland.

CSMS: Wo stehen wir überhaupt?

Wo steht die eigene Organisation mit dem CSMS? Besonders vor dem Hintergrund, dass es nicht „die eine Lösung“ gibt, sondern beim Aufbau des CSMS stets organisationsspezifische Lösungsansätze gefunden werden müssen, um die allgemeinen Anforderungen zu erfüllen, ist es häufig nicht trivial, über den Reifegrad eines CSMS verbindliche Aussagen machen zu können.

Dennoch sollte genau diese Einschätzung in Vorbereitung auf ein Audit unbedingt gemeinsam erarbeitet werden.

Hier können Gap-Analysen oder Pre-Audits (sowohl in einer systematischen Selbsteinschätzung als auch durch Beauftragung Dritter) durchgeführt werden, um einen Abgleich zwischen dem aktuellen Stand des CSMS und den Anforderungen der UN R155 anzustellen und gegebenenfalls Abweichungen aufzuzeigen, bzw. Lösungsansätze anzudeuten.

Auch hier gilt es, alle involvierten Stakeholder bestmöglich einzubeziehen, um ein aussagekräftiges Ergebnis zu erzielen.

Mit einem Ergebnisreport sollte sich dann ein klarer und realistischer Aktionsplan aufstellen lassen, in dem Ziele/Meilensteine, entsprechende Umfänge sowie Fristen, Zuständigkeiten und die erforderlichen Ressourcen für die Beseitigung der Defizite und die Einführung adäquater Lösungen aufgezeigt werden.

Voraussetzungen für das CSMS schaffen + Analyse der Dokumentationen

Wie in jedem Management-System ist auch das CSMS auch dadurch definiert, dass es eng verzahnt ist mit etlichen bestehenden Richtlinien, Prozessen, Verantwortlichkeiten, Vorgehensweisen und Rollen.

Hier gilt es zu Fragestellungen der Gewährleistung von Cybersicherheit die entsprechenden Policies, Ziele und Strategien parat zu haben. Inklusive der Widerspiegelung des Commitments durch die Geschäftsführung, und den Notwendigkeiten des Qualitäts-Managements mit Blick auf Überwachung und Verbesserung sowie Nachweisen zu Kompetenz und Fähigkeit. (Mehr dazu auch im Artikel Aufbau des CSMS entlang der UN R155: Unser Praxis-Guide)

Besondere Bedeutung der Dokumentationen

Es kann nicht früh genug damit angefangen werden, die Überprüfung der vorhandenen Unterlagen, Dokumentationen und Nachweise entlang der Anforderungen des CSMS anzustoßen. Allzu oft werden teilweise weitreichende Aktualisierungen und Ergänzungen notwendig.

Besonders da wir hier die Produktentwicklung, Sicherheit in der Entwicklung, Testing und Validierung, das Incident-Management, kontinuierlichen Cybersicherheits-Aktivitäten sowie das Qualitäts- und das Risiko-Management berühren.

An der Vollständigkeit und Genauigkeit sowie besonders in Fragen der Konsistenz und Rückverfolgbarkeit der Prozessdokumentationen in allen Phasen und Aspekten des gesamten Produkt-Lebenszyklus des Fahrzeugs sollten keine Zweifel aufkommen.

Hier gilt: Was nicht dokumentiert ist, zählt nicht. Sowohl für das Audit als auch für die Typzulassung gilt ein nachweisbasierter („evidence based“) Ansatz der Darlegung.

Konkrete Vorbereitung für die auditierten Funktionen und Rollen

Es wird schnell klar, dass es die geschilderte Interdisziplinarität unverzichtbar macht, eine Reihe involvierter Akteure rund um das CSMS einzubeziehen.

Konkret sollte im Vorfeld allen relevanten Stakeholdern in Workshops und Vorbereitungsterminen noch einmal verdeutlicht werden, welche Informationen und Nachweise für das Audit erforderlich werden, um einen Einklang mit den Anforderungen des CSMS als Organisation gesamtheitlich zu erreichen.

Diese Workshops und der Austausch mit den involvierten Kolleginnen und Kollegen sollte generell protokolliert werden, um auch hier gesamtheitlich den Dokumentationspflichten rund um die aktive Pflege des CSMS nachzukommen.

In der Praxis empfiehlt sich darüber hinaus auch die allgemeine Zusammenarbeit mit Auditoren zu trainieren. Nicht alle Involvierten verfügen über das erforderliche Maß an Erfahrung, um angemessen mit Auditoren in den Austausch zu treten. Dies wird ebenfalls relevant aufgrund der Tatsache dass Audits je nach involviertem Technischen Service auch ganz unterschiedlich ablaufen können.

Vorbereitung der Koordinierung mit den Behörden

Mit dem erwähnten Team für die Gesamtkoordination sollte ein zentraler Hauptansprechpartner benannt werden, welcher alle Kommunikationen und Kollaborationen mit der involvierten Behörde/Institution übernimmt, welche im Rahmen des Typgenehmigungsprozesses für die Ausstellung des Zertifikats zu CSMS, bzw. die Durchführung des Audits, verantwortlich ist.

Aus der Erfahrung heraus muss dies nicht zwingend ein Cybersecurity-Verantwortlicher sein, auch im Homologations-Team kann dies aufgehängt werden.

Durch die bestimmte Kontaktperson sollte frühzeitig der Austausch initiiert werden, um vor allem die Zeitplanungen für die Audits mit ausreichend Vorlaufzeit festlegen zu können.

Gleichzeitig sollte die zentrale Koordinierung zwischen internen CSMS-Beteiligten und Behörde/Institution vorgenommen werden, um die für die Prüfung erforderlichen Informationen und Unterlagen sowie die Vorbereitung der Gespräche gesamtheitlich abstimmen zu können.

Insbesondere von der Möglichkeit in dieser Vorbereitung bereits Bedenken und Fragen vorwegzunehmen, sollte Gebrauch gemacht werden.

Seitens der auditierenden Organisation ist die Bereitschaft für Guidance und Anleitung in der Regel sehr hoch, schließlich sind CSMS-Auditierungen für beide Seiten gegenwärtig häufig noch ein gewisses Neuland.

Vorab: Den Reifegrad für das CSMS-Audit im Vorhinein überprüfen

In jedem Fall sollte seitens des Fahrzeugherstellers vor dem tatsächlichen Audit das Ganze vorab simuliert werden, etwa in einem Vor-Audit oder mit einem Probe-Audit.

So können Details zur Korrektheit und Angemessenheit in der Implementierung des CSMS bereits vorher noch einmal systematisch bewertet werden.

Ebenfalls kann durch ein Pre-Audit bereits eine Möglichkeit geschaffen werden, dass sich fertige Dokumente schon Mal angesehen werden und eine Chance entsteht die auditierende Organisation und ihre Schwerpunktsetzungen besser kennenzulernen – zumal es keine einheitliche Richtlinie zur UN R155-Auditierung gibt.

Besonders die Vollständigkeit und Genauigkeit der Nachweise entlang der UN R155-Anforderungen sollte genau geprüft und bewertet werden, um sicherzugehen, dass bereitgestellte Dokumente und Informationen ordnungsgemäß und korrekt vorliegen und für den Auditor adäquat einfach zugänglich sind.

Entdeckte Defizite oder mögliche Risiken, die sich hier identifizieren lassen sollten, sind entsprechend zu beheben, um eine Beeinträchtigung des echten Audits zu verhindern.

Außerdem empfiehlt es sich, Notfallmaßnahmen bestmöglich im Voraus zu antizipieren, falls während des Audits ein unvorhergesehenes Ereignis eintrifft.

Bonus: Cybersicherheit in der täglichen Arbeit + Kultur

Auch wenn das CSMS-Audit als ein sehr formaler Vorgang rund um das Typgenehmigungsverfahren verstanden werden kann, ist nicht zu unterschätzen welch immense Bedeutung eine starke Cybersicherheits-Kultur in der Organisation für den Erfolg des Audits haben kann.

Das gelebte Bewusstsein und Verständnis für Security als elementare Dimension rund um das Produkt Fahrzeug und die sorgfältige Auseinandersetzung mit Sicherheitsrisiken und -praktiken auf allen Ebenen macht einen gewichtigen Unterschied, inwiefern Cybersicherheit in der Praxis gelebt wird.

Da genau diese Fragestellungen von Auditoren bei der Beurteilung der effektiven Implementierung und Anwendung des CSMS zum Tragen kommen, sollte der Förderung einer Kultur, die die Einhaltung von Cybersicherheit im Alltag konkret einfordert, ausreichend Priorität zuteilwerden.

Insbesondere auch, weil eine starke Cybersicherheits-Kultur ein wesentlicher Bestandteil einer effektiven Cybersicherheitsstrategie ist und als in der ISO/SAE 21434 und der UN R155 konkret geforderter Aspekt dazu beiträgt, dass eine Organisation die Anforderungen von Cybersicherheit erfüllt.

Los geht’s

Laut PWC-Report sind für eine CSMS-Implementierung durchschnittlich rund 30 Monate zu veranschlagen (Global Automotive CSMS Survey, 2022). Für den gesamten Prozess der Auditierung – nationale Unterschiedlichkeiten stets zu berücksichtigen – lassen sich für den gesamten Prozess der Auditierung mindestens 6-9 Monate ansetzen.

Daher gilt: Frühzeitig in die Konzeption einsteigen.

Sprechen Sie mit unseren internationalen Beratungs-Teams gerne über Ihr gegebenes Szenario.

Sign up for our CYRES Consulting Automotive Cybersecurity Newsletter

Stay informed! Receive regular insights into current topics related to cybersecurity in the automotive industry directly to your inbox.

Sign up here for the newsletter, free of charge and with no obligations.

X