Das CSMS nach UN R155: Cybersecurity als Bedingung der Typgenehmigung
Kernaussage
Das Cyber Security Management System (CSMS) nach UN-Regelung Nr. 155 ist kein freiwilliges Sicherheitsprogramm und kein verlängertes ISMS, sondern Voraussetzung dafür, dass ein Fahrzeugtyp genehmigt und in Verkehr gebracht werden darf: ohne CSMS keine Typgenehmigung, ohne Typgenehmigung kein Marktzugang. R155 verlangt zugleich ein auditiertes Managementsystem auf Organisationsebene und einen fahrzeugbezogenen Cybersecurity-Nachweis pro Typ; beides muss über den gesamten Lebenszyklus wirken, von der Konzeptphase bis in Betrieb und Außerdienststellung. Cybersecurity wird damit zur Bedingung der Produktzulassung mit harter Außenwirkung.
Problem in der Praxis
In vielen Organisationen wird R155 wie ein weiteres ISMS-Projekt behandelt; das adressiert die Organisationsebene, aber nicht die fahrzeugbezogene Bewertung pro Typ. Zugleich gilt das CSMS-Konformitätszertifikat oft als Ziellinie, obwohl es befristet ist und die Pflichten im Betrieb (Bedrohungsbeobachtung, Incident Response, sichere Updates am Feld) weiterlaufen.
Häufig wird R155 zudem mit TISAX verwechselt, das nur Organisations-Informationssicherheit, Prototypenschutz und Datenschutz abdeckt, nicht aber Produkt-/Fahrzeug-Cybersecurity und die Typgenehmigung. Beides ist komplementär, nicht substituierbar.
CISO-Einordnung
R155 hat zwei Ebenen, die der CISO sauber trennen muss. Auf der Organisationsebene steht das CSMS: Der Hersteller weist nach, dass er Cyberrisiken über den gesamten Fahrzeug-Lebenszyklus erkennt, bewertet und behandelt. Die Genehmigungsbehörde auditiert dieses System und stellt ein Konformitätszertifikat für das CSMS aus; es ist Voraussetzung dafür, dass darauf aufbauend einzelne Fahrzeugtypen genehmigt werden können.
Auf der Produktebene steht die fahrzeugbezogene Cyber-Bewertung: Pro Typ ist eine Risikobewertung mit angemessenen Maßnahmen nachzuweisen. R155 bietet mit Annex 5 einen Referenzrahmen aus Bedrohungen/Angriffsmethoden, Maßnahmen am Fahrzeug und Maßnahmen außerhalb (etwa im Backend); das ist ein Prüfraster, keine abzuarbeitende Vollständigkeitsliste.
Adressat ist der Fahrzeughersteller; Zulieferer sind mittelbar über Nachweispflichten betroffen. In Deutschland ist das Kraftfahrt-Bundesamt (KBA) zuständig, nicht das BSI. R155 ist über die Verordnung (EU) 2019/2144 (General Safety Regulation, datiert 27.11.2019) verbindlich; sie gilt für neue Fahrzeugtypen seit Mitte 2022 und für alle neu zugelassenen Fahrzeuge der betroffenen Kategorien seit Mitte 2024.
Umsetzungsperspektive
Erstens das CSMS als steuerndes Managementsystem etablieren: Governance, Risikoprozess, Rollen, Lieferantenanforderungen, Monitoring und Incident Response über den Lebenszyklus. Ein vorhandenes ISMS kann Risikomethodik und Nachweisführung beisteuern, ersetzt das CSMS aber nicht, weil dessen Bezugspunkt das genehmigte Produkt ist.
Zweitens die Bewertung pro Typ verankern. Anerkannte Nachweisbasis für den Engineering-Lebenszyklus ist ISO/SAE 21434, eine kostenpflichtige Norm, die hier nur als Konzeptreferenz dient; rechtsverbindlich ist R155.
Drittens den Bezug zu Software-Updates beachten: UN R156 verlangt ein Software Update Management System (SUMS) mit Konfigurationskontrolle, Identifikation typgenehmigungsrelevanter Software über die RxSWIN und sicherer Durchführung auch von Over-the-Air-Updates.
Viertens das Zertifikat zeitlich steuern: Es ist befristet und vor Ablauf durch ein Re-Audit zu erneuern. Ein verbreitet genannter Geltungszeitraum von bis zu drei Jahren ist gegen den gültigen UNECE-Primärtext zu prüfen; die Re-Auditierung gehört mit Vorlauf in die Planung.
Typische Fehler
- Das CSMS wird wie ein reines ISMS-Projekt geplant; die Bewertung pro Fahrzeugtyp fehlt.
- Das Konformitätszertifikat gilt als einmalige Ziellinie; Befristung und fristgerechtes Re-Audit werden übersehen.
- R155 wird mit TISAX gleichgesetzt; Organisations-/Prototypensicherheit ersetzt scheinbar die Produktanforderung.
- Die Lieferkette wird nicht eingebunden, und Pflichten im Betrieb (Monitoring, Incident Response, Updates über R156/RxSWIN) laufen nach der Erstgenehmigung aus.
- Die Zuständigkeit wird falsch verortet (BSI statt KBA).
Risiken und Trade-offs
Der Trade-off liegt zwischen Integration und Abgrenzung: Ein vorhandenes ISMS spart Aufwand, doch wer CSMS und ISMS verschmilzt, verliert leicht den Produktbezug und damit die Typgenehmigungstauglichkeit der Nachweise. Aus der Befristung des Zertifikats folgt ein Termin- und Kontinuitätsrisiko: Wird das Re-Audit nicht rechtzeitig vorbereitet, droht eine Lücke mit direkter Marktzugangswirkung.
Im Verhältnis zu anderen Regimen ist Vorsicht geboten: Typgenehmigte Kraftfahrzeuge unter der GSR sind grundsätzlich vom Cyber Resilience Act (Verordnung (EU) 2024/2847) ausgenommen; dieselben Komponenten können jedoch wieder in den CRA-Anwendungsbereich fallen, wenn sie separat außerhalb des Typgenehmigungsregimes vertrieben werden. NIS2 verpflichtet die Organisation als Einrichtung und kann parallel gelten, ersetzt R155 aber nicht.
Entscheidungspunkte
- Baut die Organisation das CSMS eigenständig auf oder auf einem bestehenden ISMS, ohne den Produktbezug zu verlieren?
- Wie wird ISO/SAE 21434 als Nachweisbasis genutzt, ohne sie mit der rechtsverbindlichen Anforderung aus R155 zu verwechseln?
- Welche Cybersecurity-Anforderungen und Nachweispflichten gehen vertraglich an Zulieferer?
- Wie wird das Re-Audit des Zertifikats mit Vorlauf eingeplant und mit dem SUMS (R156, RxSWIN, OTA) verzahnt?
- Wie werden Überschneidungen mit NIS2 und die CRA-Abgrenzung bewusst gesteuert?
Praktische Empfehlungen
- Behandeln Sie das CSMS als Voraussetzung der Typgenehmigung mit klarer Produktverantwortung auf Management-Ebene.
- Trennen Sie Organisationsebene (CSMS) und fahrzeugbezogene Bewertung pro Typ und sichern Sie beide Nachweise.
- Nutzen Sie ISO/SAE 21434 als Konzeptreferenz, dokumentieren Sie aber die rechtsverbindliche Erfüllung gegen R155.
- Planen Sie das Re-Audit mit Vorlauf, prüfen Sie den exakten Geltungszeitraum am UNECE-Text und verzahnen Sie CSMS und SUMS.
- Fordern Sie belastbare Nachweise entlang der Lieferkette und grenzen Sie TISAX, NIS2 und CRA bewusst ab.
Relevante Normreferenzen
- UN-Regelung Nr. 155 (UNECE, WP.29/GRVA): Cyber Security und CSMS; frei zugänglich über unece.org.
- UN-Regelung Nr. 156 (UNECE): Software Update und SUMS; ergänzt R155.
- Verordnung (EU) 2019/2144 (General Safety Regulation, datiert 27.11.2019): macht R155/R156 verbindlich; frei über EUR-Lex (CELEX 32019R2144).
- Verordnung (EU) 2024/2847 (Cyber Resilience Act): Abgrenzung zum Automotive-Regime; frei über EUR-Lex.
- ISO/SAE 21434 (Cybersecurity engineering): kostenpflichtig, nur Konzept-/Strukturreferenz.
- ISO/IEC 27001: kostenpflichtig; Referenz für das organisatorische ISMS, nicht für die Typgenehmigung.
Häufige Fragen
Ersetzt ein ISO-27001-ISMS das CSMS nach R155?+
Nein. Ein ISMS adressiert die Organisations-Informationssicherheit. Das CSMS ist produkt- und typgenehmigungsbezogen und verbindlich; es kann ein ISMS als Fundament nutzen, wird davon aber nicht ersetzt.
Deckt TISAX die R155-Anforderungen ab?+
Nein. TISAX bewertet Organisations-Informationssicherheit, Prototypenschutz und Datenschutz, nicht Produkt-/Fahrzeug-Cybersecurity und nicht die Typgenehmigung; komplementär, nicht substituierbar.
Wie lange gilt das CSMS-Konformitätszertifikat?+
Es ist befristet und vor Ablauf durch ein Re-Audit zu erneuern. Ein Geltungszeitraum von bis zu drei Jahren wird verbreitet genannt, sollte aber gegen den gültigen UNECE-Primärtext geprüft werden.
Wie verhält sich R155 zum Cyber Resilience Act?+
Typgenehmigte Kraftfahrzeuge unter der GSR sind grundsätzlich vom CRA ausgenommen; separat vertriebene Komponenten können wieder in den CRA-Anwendungsbereich fallen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Automotive prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: auto-002.
