Im Juni 2020 hat die UNECE die Regulierungen R155 und R156 zur Einführung eines Software-Update-Management-Systems (SUMS) und eines Cyber-Security-Management-Systems (CSMS) für die Automobilindustrie veröffentlicht. Die beiden Regulierungen hängen inhaltlich stark zusammen. Sie adressieren zwei Kernthemen der Automobilbranche: den Umgang mit Softwareentwicklung und die Cybersicherheit. Die wird immer wichtiger. Denn von Over-the-Air Updates über Fahrerassistenzsysteme bis hin zum autonomen Fahren baut in modernen Fahrzeuggenerationen alles auf Bits & Bytes auf.
SUMS und CSMS: Herausforderung für alle Abteilungen
Das Besondere an den SUMS- und CSMS-Anforderungen ist: Sie betreffen nicht nur dedizierte Unternehmensbereiche, sondern beinahe alle Organisationseinheiten. So müssen sich nicht etwa nur IT-Abteilungen mit SUMS und CSMS befassen. Vielmehr ist die Umsetzung der regulatorischen Vorgaben auch eine Herausforderung für die Bereiche Entwicklung, Qualitätsmanagement und Security, Aftersales, Homologation und Governance. Die Anforderungen erstrecken sich über den kompletten Fahrzeuglebenszyklus.
Die neuen UNECE-Vorgaben – eine Mammutaufgabe
Was OEMs im Zusammenhang mit den neuen UNECE-Vorgaben zu tun haben bzw. erreichen müssen, zeigen die folgenden Beispiele:
- Struktur und Prozesse. Organisationsstruktur und verbindliche Prozesse sowie Risk Governance (Managementsysteme) aufbauen
- Security Engineering. Secure Development (Security-by-Design) einführen
- Supply Chain. Wirksame Mechanismen zur Durchsetzung der Cybersicherheit in der gesamten Lieferkette etablieren
- Risikomanagement. Bedrohungsanalysen und Risikobewertungen regelmäßig aktualisieren
- Software Updates. Auswirkungen von Software Updates bewerten einschließlich des Verfallrisikos von Vehicle Type Approvals (VTAs), Software Updates selbst durch Integrity Validation Data validieren und gegen Manipulation schützen
- Software-Nachverfolgbarkeit. Software anhand der Software-Referenznummer RxSWIN identifizierbar und verfolgbar machen
- Rezertifizierung. SUMS und CSMS alle drei Jahre rezertifizieren
Auch Supplier sind betroffen
Die Regulierungen betreffen auch die Zuliefererbranche, insbesondere Tier-1- und Tier-2-Supplier. Es ist zu erwarten, dass OEMs von ihren Lieferanten Nachweise zur Einhaltung von Regulierungsanforderungen verlangen werden. So erfordert die CSMS-Regulierung die Einführung von „Security-by-Design“. Das heißt: (Cyber)Security muss künftig als zentraler Baustein im Entwicklungsprozess berücksichtigt werden, damit Software, Funktionen und Komponenten entsprechend sicher konzipiert werden. Das heißt konkret:
- Cybersecurity- und Softwareentwicklungsprozesse zwischen OEMs und Zulieferern bestmöglich integrieren
- Incident Management und Application Lifecycle Management von OEM und Tier-X Suppliern stärker miteinander verzahnen
- Development Interface Agreements (DIA) um Cybersecurity-Aspekte und Verantwortung für den Software Lifecycle erweitern
Kurzum: Supplier, die ihre internen Prozesse und Organisationsstrukturen entsprechend anpassen und somit Compliance mit den neuen UNECE-Vorgaben nachweisen können, sind für OEMs die Partner ihrer Wahl – ein riesiger Wettbewerbsvorteil.
Governance von zentraler Bedeutung
Zur erfolgreichen Einführung der beiden neuen Management-Systeme SUMS und CSMS ist eine zentrale Governance in den Unternehmen notwendig. Die Voraussetzungen für eine erfolgreiche Umsetzung von Regulierungsanforderungen (Implementierung von SUMS und CSMS) sind:
- enge Zusammenarbeit über Organisationsgrenzen hinweg – alle Beteiligten müssen einbezogen werden
- hoher Grad an Integration von unterschiedlichen Unternehmensprozessen
Der Lebenszyklus von Fahrzeugen ist lang. Deshalb ist es wichtig, GRC (Governance, Risk & Compliance) von Anfang an zu integrieren. Nur so lässt sich sicherzustellen, dass GRC in jeder Phase angewendet wird. Es gilt, alle Unternehmensbereiche zu sensibilisieren, mindestens aber diejenigen, die direkt von den Auswirkungen der UNECE-Regulierung betroffen sind. Dazu empfehlen sich folgende Maßnahmen:
- Change-Kommunikation. Prozesse, Methoden, Arbeitsabläufe von SUMS und CSMS bekanntmachen und etablieren
- Change-Management. SUMS und CSMS organisatorisch verankern, ggf. bestehende Rollen und Verantwortlichkeiten neu zuschneiden bzw. anpassen
Systems Engineering, Homologation, Software Update Engineering, V-SOC – NTT DATA ist Ihr End-to-End Partner für die Umsetzung der UNECE-Anforderungen.
NTT DATA berät OEMs und Supplier u. a. in folgenden Themen, die durch UNECE R155 und R156 noch wichtiger werden:
- Systems Engineering. Bei der Einführung von Systems Engineering berücksichtigen wir die UNECE-Anforderungen. Wir schaffen Transparenz und Nachvollziehbarkeit über den gesamten Entwicklungsprozess hinweg.
- Homologation. Mit unserer cloudbasierten Kollaborationsplattform wird die künftig noch häufiger notwendige komplexe Homologation einfacher und effizienter.
- Software Update Engineering. Unsere OEM- und Supplier-Kunden profitieren von unserem fundierten IT-Know-how sowie unserer jahrzehntelangen Automotive-Erfahrung – gerade in punkto OTA-Update & Flottenmanagement sowie Application Lifecycle Management (ALM).
- V-SOC. Das Vehicle Security Operation Center (V-SOC) von NTT DATA bietet mit End-to-End-Monitoring und Künstlicher Intelligenz deutlich mehr Sicherheit als herkömmliche SOCs.