Roadmap für Hersteller und Zulieferer: CSMS, SUMS und Typgenehmigung planbar aufbauen
Kernaussage
Automotive-Produkt-Cybersecurity ist kein Engineering-Detail, sondern Bedingung für die Marktfähigkeit des Fahrzeugs. Ohne nachgewiesenes Cyber Security Management System (CSMS) und ohne fahrzeugbezogene Risikobewertung erteilt die Genehmigungsbehörde keine Typgenehmigung.
Eine belastbare Roadmap baut deshalb drei Stränge parallel auf: das organisatorische CSMS und das Software Update Management System (SUMS), die Cybersecurity-Prozesse entlang des Engineering-Lebenszyklus sowie die Nachweiskette über die Lieferkette. Wer diese erst kurz vor dem Audit zusammenführt, verliert Zeit, Verhandlungsmacht und im schlechtesten Fall den Anlauftermin.
Problem in der Praxis
Cybersecurity wird häufig als nachgelagerte Compliance-Aufgabe behandelt. Erst spät stellt sich die Frage, wie man Behörde und Technischen Dienst überzeugt. Dann fehlen Risikobewertungen mit nachvollziehbarer Begründung, Maßnahmen sind nicht auf Bedrohungen rückverfolgbar, und die Nachweise der Zulieferer liegen in unterschiedlichen Formaten vor. Der OEM bleibt Antragsteller der Typgenehmigung, ist aber auf verwertbare Nachweise seiner Lieferanten angewiesen. Verschärfend wirkt eine verbreitete Verwechslung: TISAX wird mit Produkt-Cybersecurity gleichgesetzt, was zu falscher Planungssicherheit führt.
CISO-Einordnung
Der CISO sollte die Roadmap an wenigen, stabilen Leitfragen ausrichten:
- Welche Fahrzeugtypen brauchen wann eine Typgenehmigung, und welche Cybersecurity-Nachweise sind dafür der kritische Pfad?
- Ist das CSMS als dauerhaft betriebenes Managementsystem aufgesetzt oder nur eine Dokumentensammlung für das nächste Audit?
- Welche Lieferanten liefern welche Nachweise, in welchem Format, mit welcher Verantwortungsabgrenzung?
Die Regime müssen sauber getrennt werden. Das CSMS aus der UN-Regelung Nr. 155 ist produkt- und typgenehmigungsbezogen und gesetzlich verbindlich. Ein ISMS nach ISO/IEC 27001 adressiert die Organisations-Informationssicherheit und ersetzt weder das CSMS noch die Typgenehmigung. TISAX beziehungsweise VDA-ISA bewertet Organisations-Informationssicherheit, Prototypenschutz und Datenschutz in der Lieferkette, deckt aber die Produkt-Cybersecurity des Fahrzeugs nicht ab. Diese Bausteine sind komplementär, nicht substituierbar.
Umsetzungsperspektive
Fundament ist ein betreibbarer CSMS-Kern aus Governance und Rollen. Die UN-Regelung Nr. 155 verlangt zwei Ebenen: Auf Organisationsebene muss der Hersteller ein CSMS über den gesamten Fahrzeug-Lebenszyklus nachweisen, das die Behörde auditiert und mit einem Konformitätszertifikat bestätigt. Auf Fahrzeugebene ist je Typ eine Risikobewertung mit angemessenen Maßnahmen zu belegen; der frei zugängliche UNECE-Text strukturiert sie in einem Referenzkatalog (Annex 5) mit Bedrohungen sowie Maßnahmen am und außerhalb des Fahrzeugs.
ISO/SAE 21434 beschreibt den Cybersecurity-Engineering-Lebenszyklus von Governance über Risikobewertung bis zu Validierung und Betrieb. Sie gilt als anerkannte Nachweisbasis für die Anforderungen aus der UN-Regelung Nr. 155, ist aber selbst nicht das Gesetz; sie ist kostenpflichtig und wird hier nur konzeptionell genutzt.
Die UN-Regelung Nr. 156 fordert ein SUMS mit Konfigurationskontrolle, Identifikation typgenehmigungsrelevanter Software über RxSWIN, Abhängigkeitsprüfung sowie der Bewertung, ob ein Update bestehende Typgenehmigungen berührt; ISO 24089 liefert dazu den Engineering-Leitfaden. Parallel legen Cybersecurity-Interface-Vereinbarungen fest, wer welche Aktivitäten verantwortet und welche Artefakte übergeben werden. Je früher diese Verteilung steht, desto belastbarer ist die Typgenehmigung.
Typische Fehler
- Das CSMS wird als einmaliges Auditprojekt geplant statt als dauerhaft betriebenes Managementsystem.
- Cybersecurity startet erst, wenn Architektur und Lieferantenverträge bereits festgezurrt sind.
- TISAX-Nachweise werden als Beleg für Produkt-Cybersecurity oder Typgenehmigung missverstanden.
- Die Verantwortungsabgrenzung zwischen OEM und Zulieferern bleibt unklar und ist nicht interface-vereinbart.
- Das SUMS verwaltet Versionsstände, klärt aber nicht, wann ein Update die Typgenehmigung berührt.
Risiken und Trade-offs
Die zentrale Spannung liegt zwischen Programm-Timing und Nachweisreife. Ein zu später Cybersecurity-Start gefährdet den Anlauftermin, weil die Typgenehmigung am kritischen Pfad hängt; ein überladenes Vorgehen bindet Kapazität, ohne die Genehmigungsfähigkeit zu beschleunigen. In der Lieferkette erleichtern strenge, einheitliche Nachweisvorgaben die Konsolidierung, können kleinere Zulieferer aber überfordern.
Zu beachten ist das Verhältnis zu angrenzenden Regimen, insbesondere zum Cyber Resilience Act (Verordnung (EU) 2024/2847). Typgenehmigte Kraftfahrzeuge, die unter die Verordnung (EU) 2019/2144 fallen, sind vom CRA ausgenommen. Werden dieselben Komponenten jedoch separat außerhalb des Typgenehmigungsregimes vertrieben, können sie wieder in den CRA-Anwendungsbereich fallen.
Entscheidungspunkte
- Welche Fahrzeugtypen sind in welcher Reihenfolge genehmigungspflichtig, und welcher Cybersecurity-Nachweis ist je Typ kritisch?
- Baut die Organisation ein eigenes CSMS auf oder integriert sie es in ein bestehendes Managementsystem, und wer trägt die Systemverantwortung?
- Welche Cybersecurity-Verantwortung wird je Zulieferer-Tier vertraglich verteilt, und welche Nachweisformate werden vorgegeben?
- Wie wird die Typgenehmigungsrelevanz von Software-Updates im SUMS bewertet, bevor ein Update ausgerollt wird?
Praktische Empfehlungen
- Planen Sie die Typgenehmigung rückwärts vom Anlauftermin und markieren Sie die Cybersecurity-Nachweise auf dem kritischen Pfad.
- Setzen Sie zuerst einen betreibbaren CSMS-Kern auf: Governance, Rollen, Risikologik, Maßnahmen- und Nachweisführung, wiederkehrende Prüfung.
- Verankern Sie ISO/SAE 21434 als Nachweisbasis, erzeugen Sie aber nur Artefakte mit klarer Rückverfolgbarkeit von Bedrohung zu Maßnahme.
- Definieren Sie Cybersecurity-Interface-Vereinbarungen mit Zulieferern früh und legen Sie Nachweisformate und Verantwortungsabgrenzung verbindlich fest.
- Behandeln Sie das SUMS als Entscheidungsinstrument: Es muss beantworten, ob ein Update die Typgenehmigung berührt, nicht nur Versionsstände protokollieren.
Relevante Normreferenzen
- UN-Regelung Nr. 155 (Cyber Security und Cyber Security Management System): UNECE-1958er-Abkommen (WP.29/GRVA); frei zugänglich über unece.org.
- UN-Regelung Nr. 156 (Software Update und Software Update Management System): UNECE-1958er-Abkommen; frei zugänglich über unece.org.
- Verordnung (EU) 2019/2144 (GSR II), vom 27.11.2019 (CELEX 32019R2144): macht UN R155 und R156 im EU-Typgenehmigungsrecht verbindlich; für neue Fahrzeugtypen ab 06.07.2022 und alle neuen Fahrzeuge ab Juli 2024.
- Verordnung (EU) 2024/2847 (Cyber Resilience Act): ergänzendes Regime; typgenehmigte Kraftfahrzeuge unter VO (EU) 2019/2144 sind ausgenommen.
- ISO/SAE 21434: Cybersecurity-Engineering-Lebenszyklus; anerkannte Nachweisbasis, kostenpflichtig, reference-only.
- ISO 24089: Software-Update-Engineering; korrespondiert mit dem SUMS-Gedanken, kostenpflichtig, reference-only.
- ISO/IEC 27001: organisatorisches ISMS; ersetzt CSMS und Typgenehmigung nicht, reference-only.
Häufige Fragen
Reicht ein TISAX-Label für die Typgenehmigung?+
Nein. TISAX beziehungsweise VDA-ISA bewertet Organisations-Informationssicherheit, Prototypenschutz und Datenschutz, nicht die Produkt-Cybersecurity des Fahrzeugs und nicht die Typgenehmigung nach UN R155/R156.
Ersetzt ein ISO-27001-ISMS das CSMS?+
Nein. Ein ISMS adressiert die Organisations-Informationssicherheit. Das CSMS ist produkt- und typgenehmigungsbezogen und gesetzlich verbindlich; beide ergänzen sich.
Fällt ein Fahrzeug auch unter den Cyber Resilience Act?+
Typgenehmigte Kraftfahrzeuge unter VO (EU) 2019/2144 sind vom CRA ausgenommen. Werden Komponenten separat außerhalb des Typgenehmigungsregimes vertrieben, können sie jedoch unter den CRA fallen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Automotive prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: auto-006.
