UN R155 即将强制实施,ISO/SAE 21434 你做好准备了吗?
/ 技术交流群 /
添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群
01
首先最要了解的是 UN R155 生效时间:
UN R155 已于 2021 年初生效,有两个关键日期具有约束力:从 2022 年 7月起,在联合国欧洲经委会成员国(来自 1958 年协议)销售的所有新生产的车辆需进行型式认证,从 2024 年 7 月起,UN R155 将适用于所有新上市的车辆。
需要知道的是,UN R155 在目前的 64 个成员国中对型式认证具有法律约束力。
尽管美国和中国不属于欧洲经委会的适用领域,但有专家认为,UN R155 将发展成为“事实上的全球标准”。
02
UN R155 和 ISO/SAE 21434 有何关系?
首先,需要区分标准和法规的不同。
标准通常是行业本身在 ISO 等权威机构的管理下设计的参考点。标准被认为是最先进的参考。例如,ISO/SAE 21434 为汽车行业开发网络安全产品的要求和建议提供了框架。ISO/SAE 21434 不提供任何固定的解决方案建议,而只是抽象的框架。
相比之下,法规是由官方机构(如政府)发布的具有法律约束力的指令。
就 UN R155 而言,这些都是具有约束力的要求,必须遵守这些要求才能获得型式认证,从而获得市场准入资格。
因此,不遵守该条例可能导致相应适用领域的销售禁令(现已有 60 多个国家)。
这些法规通常使用具体标准来提供参考点并作为具体的支撑。UN R155 的支撑标准就是 ISO / SAE 21434。
UN R155 在 2020 年底发布的解释文件中特别明确,将法规的要求与 ISO / SAE21434 的各种要求相关联。
换句话说,ISO 21434 行业标准为满足 UN R155 法规的要求提供了支持。
03
UN R155 有哪些要求?
与 ISO/SAE 21434 不同,ISO/SAE 21434 没有明确规定特定的流程,而 UN R155则要求建立和实施一个侧重于车辆网络安全的管理体系(CSMS)。
网络安全管理体系对于确保汽车行业的网络安全组织至关重要。此外 CSMS 为CSMS 的合规证书提供了基础,即通过审核和获得相应的官方认证。
此外,越来越多的企业意识到 ISO/SAE 21434 不仅与产品有关,而且与项目和整个组织有关。同样,UN R155 不仅涵盖产品,还包括产品开发和组织。
一方面,UN R155 是确保组织层面的网络安全。其目标是:确保网络安全在业务及其流程的核心中实施。另一方面,与产品和型式认证有关。这里的目标是:确保车辆结构的设计,风险评估和实施了适当的安全控制。
UN R155 的要求很大程度上基于 ISO/SAE 21434 的要求,这就是为什么 ISO/SAE 21434 有助于创建 CSMS 流程以及确保型式认证获得批准的原因。
04
UN R155 是否只与原始设备制造商有关?
原始设备制造商必须证明 CSMS 在整个价值链中受到管理,并对此负责。因此,从一级供应商到 n 级零部件供应商等所有参与者都需要了解潜在的风险和差距,这意味着所有相关的零部件供应商也必须遵守 CSMS 原则。
此外,CSMS 认证首先是型式认可的先决条件,然后是与产品相关的其他详细要求。由于在组织范围创建和实施新的规则和流程可能非常缓慢,因此建议在项目的早期阶段采取必要的考虑和实施。
撰文 |吴永刚,北京安领技术服务有限公司总经理
GM When 21434 and R155 ATT&CK™
将渗透测试实践经验应用于 UN-R155网络安全合规.ppt
实施 UN R155 和 ISO/SAE 21434 的网络安全挑战和解决方案.ppt
软件更新法规要求(WP.29/R156)
网络安全(WP.29/R155)
