Automotive-Cybersecurity, TISAX und CRA: was regelt was
Kernaussage
Drei Regelwerke werden im Automotive-Umfeld regelmäßig verwechselt, obwohl sie unterschiedliche Schutzobjekte adressieren. UN R155/R156 (in der EU verbindlich über die General Safety Regulation, VO (EU) 2019/2144) regeln die **Cybersecurity des Fahrzeugs als typgenehmigtes Produkt**. TISAX bewertet die **Informationssicherheit, den Prototypenschutz und den Datenschutz einer Organisation**. Der Cyber Resilience Act (VO (EU) 2024/2847) ist **allgemeines Produktrecht für Produkte mit digitalen Elementen** und greift dort, wo das Typgenehmigungsregime nicht greift.
Keines ersetzt ein anderes. Die Managementaufgabe ist, je Produkt und Geschäftsbeziehung das richtige Regelwerk zuzuordnen, statt eine Konformität pauschal als Beleg für die anderen zu behandeln.
Problem in der Praxis
Häufig wird eine bestandene TISAX-Bewertung so kommuniziert, als decke sie auch die Produktanforderungen aus R155 ab. Das ist falsch und fällt spätestens im Typgenehmigungsprozess auf. Umgekehrt nehmen Teams an, ein typgenehmigtes Fahrzeug sei von jeder weiteren Cybersecurity-Regulierung freigestellt. Das gilt nur für das typgenehmigte Produkt selbst: Sobald Komponenten, Diagnosewerkzeuge, Aftermarket-Geräte oder Apps außerhalb des Typgenehmigungsregimes in Verkehr gebracht werden, kann der CRA wieder einschlägig sein. Für den CISO ist das ein Steuerungs-, kein reines Dokumentationsproblem.
CISO-Einordnung
Die saubere Abgrenzung gelingt über drei Fragen: Wer ist Adressat, was ist das Schutzobjekt, wer prüft.
- UN R155/R156 (über VO (EU) 2019/2144): Adressat ist der Fahrzeughersteller als Antragsteller der Typgenehmigung, mittelbar die Zulieferer über Nachweispflichten. Schutzobjekt ist das Fahrzeug als Produkt über seinen Lebenszyklus. R155 verlangt ein auditiertes Cyber Security Management System (CSMS) und eine fahrzeugtypbezogene Risikobewertung mit Maßnahmen, R156 ein Software Update Management System (SUMS) mit Konfigurationskontrolle, RxSWIN-Verknüpfung typgenehmigungsrelevanter Software und sicheren Over-the-Air-Updates. Prüfende Behörde in Deutschland ist das Kraftfahrt-Bundesamt (KBA), nicht das BSI.
- TISAX / VDA-ISA: Adressat ist die Organisation (Standort, Lieferant). Schutzobjekt ist die Informationssicherheit, der Prototypenschutz und der Datenschutz. TISAX trifft keine Aussage über die Cybersecurity des fertigen Fahrzeugs und hat keine Typgenehmigungswirkung.
- CRA (VO (EU) 2024/2847): Adressat ist der Hersteller eines Produkts mit digitalen Elementen, Schutzobjekt das Produkt am allgemeinen Markt. Typgenehmigte Kraftfahrzeuge unter VO (EU) 2019/2144 sind ausgenommen, weil das Automotive-Regime als spezielleres Recht vorgeht. Die Ausnahme gilt dem Fahrzeug, nicht zwangsläufig jeder einzeln vermarkteten Komponente.
ISO/SAE 21434 und ISO 24089 gehören methodisch dazu, sind aber kein Gesetz: Sie sind der anerkannte Engineering-Nachweisrahmen für R155 beziehungsweise R156. ISO/IEC 27001 ist ein ISMS-Rahmen für die Organisation und ersetzt weder das CSMS noch die Typgenehmigung.
Umsetzungsperspektive
Der CISO führt die Regelwerke nicht als konkurrierende Projekte, sondern als Zuordnungsmodell entlang von Produkt und Geschäftsbeziehung:
- Bringe ich ein Fahrzeug in der EU in Verkehr? Dann brauche ich die Typgenehmigung nach VO (EU) 2019/2144, also CSMS und fahrzeugbezogene Bewertung nach R155 sowie SUMS nach R156, methodisch gestützt auf ISO/SAE 21434 und ISO 24089.
- Bin ich Zulieferer mit vertraulichen Entwicklungsdaten oder Prototypen? Dann verlangt der Kunde regelmäßig TISAX. Das läuft parallel und komplementär, nicht als Ersatz der Produkt-Cybersecurity.
- Vertreibe ich eine Komponente, ein Werkzeug oder Software außerhalb des Typgenehmigungsregimes? Dann prüfe ich den CRA gesondert.
Darunter lässt sich ein gemeinsamer Nachweis-Kern bauen, der mehrere Regelwerke bedient, ohne sie zu vermischen. Wer bereits ein ISMS betreibt, kann Governance und Nachweisführung wiederverwenden, muss die produkt- und typgenehmigungsspezifischen Anteile aber zusätzlich aufbauen.
Typische Fehler
- TISAX wird als Beleg für Produkt-Cybersecurity nach R155 dargestellt, obwohl es die Organisation und nicht das Fahrzeug bewertet.
- Eine ISO/IEC-27001-Zertifizierung wird als Ersatz für das CSMS oder die Typgenehmigung verstanden.
- Die CRA-Fahrzeugausnahme wird pauschal auf alle Komponenten übertragen, auch auf separat vertriebene.
- ISO/SAE 21434 wird mit dem Gesetz gleichgesetzt statt als dessen Nachweisrahmen.
- Zuständigkeiten werden vertauscht, etwa indem das BSI statt des KBA als Typgenehmigungsbehörde adressiert wird.
Risiken und Trade-offs
Wer die Regelwerke zu eng koppelt, riskiert blinde Flecken: Eine als universell verstandene Zertifizierung verdeckt die Stelle, an der ein anderes Regime greift. Wer sie zu strikt trennt, baut redundante Strukturen auf und überlastet Fachbereiche mit Mehrfach-Audits. In der Lieferkette können OEM TISAX, R155-Nachweise und perspektivisch CRA-Konformität gleichzeitig fordern; eine abgestimmte Strategie, die klar trennt, welcher Nachweis wofür dient, ist wirksamer als eine maximale Forderungsliste. Da sich die Anforderungen weiterentwickeln (Amendments der UN-Regelungen, schrittweise CRA-Anwendung), ist Konformität als gepflegter Prozess zu verstehen, nicht als einmaliger Zustand.
Entscheidungspunkte
- Für welche Produkte und Geschäftsbeziehungen ist welches Regelwerk zuständig, und ist die Zuordnung dokumentiert?
- Welche Komponenten werden außerhalb des Typgenehmigungsregimes vertrieben und müssen gegen den CRA geprüft werden?
- Welche Nachweise lassen sich in einem gemeinsamen Kern bündeln, welche bleiben regelwerkspezifisch?
- Wie wird die Lieferantenstrategie aufgesetzt, damit TISAX-, R155- und CRA-Anforderungen koordiniert statt additiv gefordert werden?
Praktische Empfehlungen
- Führen Sie eine Zuordnungsmatrix: pro Produkt Schutzobjekt, anwendbares Regelwerk, zuständige Behörde oder Prüfmechanismus und Nachweis.
- Trennen Sie Organisations- von Produktnachweisen: TISAX und ISO/IEC 27001 belegen die Organisation, R155/R156 das Fahrzeug.
- Prüfen Sie separat vermarktete Komponenten und Werkzeuge eigenständig gegen den CRA, statt die Fahrzeugausnahme pauschal anzuwenden.
- Bauen Sie einen gemeinsamen Nachweis-Kern (Inventar, Risikobewertung, Lieferantensteuerung, Update- und Schwachstellenprozess).
- Verankern Sie Konformität als laufenden Prozess mit Re-Audit-Taktung.
Relevante Normreferenzen
- UN R155 / UN R156: Cyber Security beziehungsweise Software Update (mit zugehörigen Managementsystemen); Anhänge zum UNECE-1958er-Abkommen, frei zugänglich über unece.org.
- VO (EU) 2019/2144 (General Safety Regulation): macht UN R155/R156 im EU-Typgenehmigungsrecht verbindlich (CELEX 32019R2144), frei über EUR-Lex.
- VO (EU) 2024/2847 (Cyber Resilience Act): horizontales Produktrecht; typgenehmigte Kraftfahrzeuge sind ausgenommen, frei über EUR-Lex.
- ISO/SAE 21434 / ISO 24089: Engineering-Nachweisrahmen für R155 beziehungsweise R156 (reference-only, kostenpflichtig).
- ISO/IEC 27001: ISMS-Rahmen für die Organisation (reference-only); TISAX/VDA-ISA baut konzeptionell auf verwandten Informationssicherheitsanforderungen auf.
Häufige Fragen
Ersetzt eine TISAX-Bewertung die Anforderungen aus UN R155?+
Nein. TISAX bewertet die Organisation, ihren Prototypenschutz und Datenschutz; R155 betrifft das Fahrzeug als Produkt und die Typgenehmigung. Beide sind komplementär.
Ist ein typgenehmigtes Fahrzeug vom Cyber Resilience Act befreit?+
Das typgenehmigte Fahrzeug unter VO (EU) 2019/2144 ist vom CRA ausgenommen. Separat außerhalb des Typgenehmigungsregimes vertriebene Komponenten, Werkzeuge oder Software können jedoch darunter fallen.
Ist ISO/SAE 21434 das Gesetz für Automotive-Cybersecurity?+
Nein. Verbindlich sind UN R155/R156 über VO (EU) 2019/2144; ISO/SAE 21434 ist der anerkannte Engineering-Nachweisrahmen dafür.
Welche Behörde ist in Deutschland für die Typgenehmigung nach R155/R156 zuständig?+
Das Kraftfahrt-Bundesamt (KBA), nicht das BSI.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Automotive prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: auto-005.
