汽车信息安全之初识UN R155法规

作为全球第一个汽车网络安全强制性法规，UN R155的发布不仅意味着车辆的信息安全已经从符合标准进入到遵从法规的时代，同时也对汽车行业带来了巨大的挑战。

为什么要制定法规和标准

随着汽车产业在智能化、网联化方向的深入发展，车辆功能更加多样，数据信息也更加开放。车载T-BOX、IVI系统、OBU车载设备等外连端口的增加也给汽车带来更多潜在的入侵途径，网络安全风险与日俱增。

为了应对这些挑战，汽车行业采取措施刻不容缓，首当其冲的必然是相关的标准法规建设。这些举措由联合国欧洲经济委员会（UNECE）的世界车辆法规协调论坛（UN WP.29）、汽车工程学会（SAE）和国际标准化组织（ISO）带头实施。ISO/SAE 21434 和UN R155就是这些工作的成果。

UN R155与ISO/SAE 21434有什么关系？

UN R155是法规，是官方机构发布的具有法律约束力的指令。车型必须遵循该法规要求才能获得型式批准，从而获得适用UN R155法规的60多个国家市场准入资格。法规通常使用具体标准来提供参考并作为具体的支撑。

ISO/SAE 21434是由SAE和ISO联合起草发布的标准。标准通常是在ISO等权威机构的管理下，由行业本身设计的先进的参考性文件。该标准支持在整个供应链的组织中实施R155的要求。

换言之，UN R155与ISO/SAE 21434互为补充，共同规定了汽车的网络安全要求。

除了ISO/SAE 21434之外，还有UN/WP.29《信息安全与信息安全管理系统》的解读文件、ISO/PAS 5112《道路车辆信息安全工程审计》以及VDA QMC CSMS红皮书等作为R155落地实践工作的间接或直接支撑。

什么是车辆型式审批？

这里提到了车辆型式批准，或称为车辆型式认证。是指车辆通过官方确认和批准证明车辆产品能够达到法律法规要求的过程，通常是由官方指定的检测机构和技术服务机构对车辆进行相关合规测试。简而言之，车辆想要上市销售，必须先通过当地的型式认证。UN R155法规即规定了在1958协议成员国销售的车辆需要获得网络安全系统型式认证。

根据UN R155法规，汽车制造商必须满足规定网络安全强制要求，才能在欧盟或其他OECD国家获得车型批准并销售新车型。

UN R155有哪些新要求和认证？

R155法规对汽车网络安全强制要求划分为两部分：一是针对汽车制造商的网络安全管理体系要求；二是针对车辆产品的网络安全能力要求。分别对应网络安全管理体系认证（cyber security management system ，CSMS认证）和车辆网络安全型式认证（vehicle type approval，VTA）。

CSMS认证主要审查车辆制造商（OEM）的信息安全管理系统是否涵盖开发、生产和后生产阶段，以确保汽车全生命周期中都有对应的流程措施，从而保证信息安全设计、实施及响应均有流程体系指导。

车企拿到这项认证，意味着其具备覆盖车辆全生命周期的网络安全管控、数据安全保障、安全研发和测试、漏洞和威胁响应等重要安全能力。

车辆网络安全型式认证（VTA）则是针对车辆制造商（OEM）在车型开发过程中具体工作进行网络安全审查，旨在保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。

简单的说，CSMS认证是对组织过程能力的要求，VTA是针对车辆产品的技术要求。

UN R155法规生效的关键时间

2021年1月22日法案正式生效，开放申请csms证书、VTA证书；

2022年7月起适用于新车型，从现有架构推出的新车型将需要获得网络安全系统型式认证，作为整车型式认证（WVTA)过程的一部分；

2024年7月起适用于所有车型，即尚未停产的车型必须获得网络安全系统的型式认证，才可在相关市场销售；

2025年1月过渡期结束，要求所有架构所有车型通过认证（CSMS+VTA）。

UN R155仅与OEM有关吗？

虽然从相关责任方的角度来看，UN R155法规是针对整车的型式认证，需要进行公告和型式认证申请的只有车辆制造商。

但实际上R155法规要求OEM证明供应商相关风险已根据CSMS进行了识别和管理。因此，供应商必须向OEM提供适当的证据。

这意味着所有相关零部件供应商也必须建立网络安全流程体系，并能够有对应的产品安全证明。