Sie entwickeln ECUs in der Automobilindustrie?
Im Jahr 2022 wurde die UNECE R 155 Verordnung verabschiedet. Alle OEMs werden verpflichtet für sich selbst und in ihren Lieferketten (TIER 1, TIER 2, etc.) im Bereich der ECU Entwicklung ein CSMS z.B. auf Grundlage der ISO/SAE 21434 einzuführen. Ohne diesen Nachweis wird kein Fahrzeug mehr in der EU zugelassen werden.
Für ein CSMS werden Prozesse für die Fahrzeugentwicklung definiert, sodass Risiken durch Cyber-Angriffe minimiert werden.
Cybersecurity im Zusammenhang mit anderen Normen und Begriffen
Informationssicherheit ist der Oberbegriff. Er befasst sich mit dem Schutz von Informationen in allen
- Erscheinungsformen, z. B. mündlich weitergegebene Informationen, papierbasierte Informationen oder elektronisch verwaltete Informationen
IT-Sicherheit befasst sich mit Informationen auf elektrischen oder elektronischen IT-Systemen (Speicherung, Übertragung,
- Etablierte Disziplin relativ gut verstanden, erhält weltweit viel Unterstützung und Aufmerksamkeit
- Betrieb und Wartung von Systemen ist das Hauptaugenmerk
- Die in diesem Bereich tätigen Personen sind hauptsächlich IT-Experten (Administratoren, Sicherheitsexperten,
- IT-Komponenten werden als Allzweckprodukte entwickelt , die auf Annahmen über ihre Verwendung basieren („Out of Kontext“).
Cybersicherheit konzentriert sich auf die Integrität von cyberphysischen Systemen (Steuergeräte, Sensoren,
- Aufstrebende Disziplin, die in letzter Zeit mehr Aufmerksamkeit erhält, da die Konnektivität die Angriffsfläche erheblich vergrößert
- Entwicklung zur Erfüllung anwendungsspezifischen Cybersicherheitszielen ist ein wesentlicher Teil („build a secure product“)
- Menschen, die in diesem Bereich arbeiten, haben ein gutes Verständnis für Embedded-Entwicklung (Ingenieure, Sicherheits Experten, …)
Cybersecurity-bezogene Komponenten, insbesondere in der Automobilindustrie, haben in der Regel eine spezielle Funktion, sind oft und haben sehr spezifische Sicherheitsfunktionen, die sie bieten sollen.
High level structure der ISO/SAE 21434
![](https://mabs-compliance.de/wp-content/uploads/2024/10/image-1.png)
Der normative Inhalt ist in 15 Abschnitte gegliedert
- 4 Einleitende Klauseln
- 1. Anwendungsbereich
- 2. Normative Verweise
- 3. Begriffe, Definitionen und abgekürzte Begriffe
- 4. Allgemeine Überlegungen
- 3 Organisatorische Klauseln
- 5. Organisatorisches Cybersicherheitsmanagement
- 6. Verteilte Cybersicherheitsaktivitäten
- 7. Kontinuierliche Cybersicherheitsaktivitäten
- 8 Produktlebenszyklusbezogene Klauseln
- 8. Projektabhängiges Cybersicherheitsmanagement
- 9. Konzept
- 10. Produktentwicklung
- 11. Validierung der Cybersicherheit
- 12. Produktion
- 13. Betrieb und Wartung
- 14. Ende der Cybersicherheitsunterstützung bei der Stilllegung
- 15. Methoden der Bedrohungsanalyse und Risikobewertung
Überschneidungen mit anderen Normen
Es lässt sich eindeutig sagen, dass die ISO 21434 in den Managementkapiteln Überschneidungen zum VDA-ISA Katalog oder zur ISO 27001 hat, jedoch muss man die vorhandenen Dokumente im Bereich der Managementkapitel durch die Anforderungen der ISO 21434 erweitern. Ab der Klausel 6 gibt es eine Analogie zur ISO 26262.
In den nächsten Blog-Beiträgen gehen wir Stück für Stück auf die einzelnen Kapitel der neuen ISO/SAE 21434 ein. Wir erklären welche Workproducts gefordert sind, wie sie konkret eine TARA anfertigen, welche Anforderungen im Incident Prozess auf sie kommt, etc..
Sie benötigen Unterstützung?
Falls Sie Interesse an dem Thema ISO/SAE 21434 haben, erstellen Sie einfach einen unverbindlichen Termin mit einem unserer Berater.