作為全球第一個(gè)汽車(chē)網(wǎng)絡(luò)安全強(qiáng)制性法規(guī)，UN R155的發(fā)布不僅意味著車(chē)輛的信息安全已經(jīng)從符合標(biāo)準(zhǔn)進(jìn)入到遵從法規(guī)的時(shí)代，同時(shí)也對(duì)汽車(chē)行業(yè)帶來(lái)了巨大的挑戰(zhàn)。

為什么要制定法規(guī)和標(biāo)準(zhǔn)？

隨著汽車(chē)產(chǎn)業(yè)在智能化、網(wǎng)聯(lián)化方向的深入發(fā)展，車(chē)輛功能更加多樣，數(shù)據(jù)信息也更加開(kāi)放。車(chē)載T-BOX、IVI系統(tǒng)、OBU車(chē)載設(shè)備等外連端口的增加也給汽車(chē)帶來(lái)更多潛在的入侵途徑，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與日俱增。

為了應(yīng)對(duì)這些挑戰(zhàn)，汽車(chē)行業(yè)采取措施刻不容緩，首當(dāng)其沖的必然是相關(guān)的標(biāo)準(zhǔn)法規(guī)建設(shè)。這些舉措由聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)（UNECE）的世界車(chē)輛法規(guī)協(xié)調(diào)論壇（UN WP.29）、汽車(chē)工程學(xué)會(huì)（SAE）和國(guó)際標(biāo)準(zhǔn)化組織（ISO）帶頭實(shí)施。ISO/SAE 21434 和UN R155就是這些工作的成果。

UN R155與ISO/SAE 21434有什么關(guān)系？

UN R155是法規(guī)，是官方機(jī)構(gòu)發(fā)布的具有法律約束力的指令。車(chē)型必須遵循該法規(guī)要求才能獲得型式批準(zhǔn)，從而獲得適用UN R155法規(guī)的60多個(gè)國(guó)家市場(chǎng)準(zhǔn)入資格。法規(guī)通常使用具體標(biāo)準(zhǔn)來(lái)提供參考并作為具體的支撐。

ISO/SAE 21434是由SAE和ISO聯(lián)合起草發(fā)布的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)通常是在ISO等權(quán)威機(jī)構(gòu)的管理下，由行業(yè)本身設(shè)計(jì)的先進(jìn)的參考性文件。該標(biāo)準(zhǔn)支持在整個(gè)供應(yīng)鏈的組織中實(shí)施R155的要求。

換言之，UN R155與ISO/SAE 21434互為補(bǔ)充，共同規(guī)定了汽車(chē)的網(wǎng)絡(luò)安全要求。

除了ISO/SAE 21434之外，還有UN/WP.29《信息安全與信息安全管理系統(tǒng)》的解讀文件、ISO/PAS 5112《道路車(chē)輛信息安全工程審計(jì)》以及VDA QMC CSMS紅皮書(shū)等作為R155落地實(shí)踐工作的間接或直接支撐。

什么是車(chē)輛型式審批？

這里提到了車(chē)輛型式批準(zhǔn)，或稱為車(chē)輛型式認(rèn)證。是指車(chē)輛通過(guò)官方確認(rèn)和批準(zhǔn)證明車(chē)輛產(chǎn)品能夠達(dá)到法律法規(guī)要求的過(guò)程，通常是由官方指定的檢測(cè)機(jī)構(gòu)和技術(shù)服務(wù)機(jī)構(gòu)對(duì)車(chē)輛進(jìn)行相關(guān)合規(guī)測(cè)試。簡(jiǎn)而言之，車(chē)輛想要上市銷(xiāo)售，必須先通過(guò)當(dāng)?shù)氐男褪秸J(rèn)證。UN R155法規(guī)即規(guī)定了在1958協(xié)議成員國(guó)銷(xiāo)售的車(chē)輛需要獲得網(wǎng)絡(luò)安全系統(tǒng)型式認(rèn)證。

根據(jù)UN R155法規(guī)，汽車(chē)制造商必須滿足規(guī)定網(wǎng)絡(luò)安全強(qiáng)制要求，才能在歐盟或其他OECD國(guó)家獲得車(chē)型批準(zhǔn)并銷(xiāo)售新車(chē)型。

UN R155有哪些新要求和認(rèn)證？

R155法規(guī)對(duì)汽車(chē)網(wǎng)絡(luò)安全強(qiáng)制要求劃分為兩部分：一是針對(duì)汽車(chē)制造商的網(wǎng)絡(luò)安全管理體系要求；二是針對(duì)車(chē)輛產(chǎn)品的網(wǎng)絡(luò)安全能力要求。分別對(duì)應(yīng)網(wǎng)絡(luò)安全管理體系認(rèn)證（cyber security management system ，CSMS認(rèn)證）和車(chē)輛網(wǎng)絡(luò)安全型式認(rèn)證（vehicle type approval，VTA）。

CSMS認(rèn)證主要審查車(chē)輛制造商（OEM）的信息安全管理系統(tǒng)是否涵蓋開(kāi)發(fā)、生產(chǎn)和后生產(chǎn)階段，以確保汽車(chē)全生命周期中都有對(duì)應(yīng)的流程措施，從而保證信息安全設(shè)計(jì)、實(shí)施及響應(yīng)均有流程體系指導(dǎo)。

車(chē)企拿到這項(xiàng)認(rèn)證，意味著其具備覆蓋車(chē)輛全生命周期的網(wǎng)絡(luò)安全管控、數(shù)據(jù)安全保障、安全研發(fā)和測(cè)試、漏洞和威脅響應(yīng)等重要安全能力。

車(chē)輛網(wǎng)絡(luò)安全型式認(rèn)證（VTA）則是針對(duì)車(chē)輛制造商（OEM）在車(chē)型開(kāi)發(fā)過(guò)程中具體工作進(jìn)行網(wǎng)絡(luò)安全審查，旨在保證實(shí)施于車(chē)輛的信息安全防護(hù)技術(shù)在進(jìn)行審查認(rèn)證時(shí)足夠完備。

簡(jiǎn)單的說(shuō)，CSMS認(rèn)證是對(duì)組織過(guò)程能力的要求，VTA是針對(duì)車(chē)輛產(chǎn)品的技術(shù)要求。

UN R155法規(guī)生效的關(guān)鍵時(shí)間

2021年1月22日法案正式生效，開(kāi)放申請(qǐng)csms證書(shū)、VTA證書(shū)；

2022年7月起適用于新車(chē)型，從現(xiàn)有架構(gòu)推出的新車(chē)型將需要獲得網(wǎng)絡(luò)安全系統(tǒng)型式認(rèn)證，作為整車(chē)型式認(rèn)證（WVTA)過(guò)程的一部分；

2024年7月起適用于所有車(chē)型，即尚未停產(chǎn)的車(chē)型必須獲得網(wǎng)絡(luò)安全系統(tǒng)的型式認(rèn)證，才可在相關(guān)市場(chǎng)銷(xiāo)售；

2025年1月過(guò)渡期結(jié)束，要求所有架構(gòu)所有車(chē)型通過(guò)認(rèn)證（CSMS+VTA）。

UN R155僅與OEM有關(guān)嗎？

雖然從相關(guān)責(zé)任方的角度來(lái)看，UN R155法規(guī)是針對(duì)整車(chē)的型式認(rèn)證，需要進(jìn)行公告和型式認(rèn)證申請(qǐng)的只有車(chē)輛制造商。

但實(shí)際上R155法規(guī)要求OEM證明供應(yīng)商相關(guān)風(fēng)險(xiǎn)已根據(jù)CSMS進(jìn)行了識(shí)別和管理。因此，供應(yīng)商必須向OEM提供適當(dāng)?shù)淖C據(jù)。

這意味著所有相關(guān)零部件供應(yīng)商也必須建立網(wǎng)絡(luò)安全流程體系，并能夠有對(duì)應(yīng)的產(chǎn)品安全證明。