汽车|【安永观察】智能汽车网络安全市场准入与合规遵从( 三 ) |车联网|智能

考虑到一个车型的开发过程可能长达4-6年（新能源汽车可能会大幅缩短），因此UNECE WP.29 TFCS将本法规的过渡时间定义为48个月，即从2021年1月正式生效， 2025年1月过渡期结束。这个过渡期是针对现有架构，如果是新开发架构，则应该从项目概念阶段就充分考虑可能存在的网络安全相关风险，同时欧盟定义了新整车类型的审批时间为2022年7月。
需要注意的是，如果2024年7月后还没有通过UN CS and CSMS Regulation认证的车辆，可能无法完成车辆的首次注册。对于首次注册的理解，我们认为车辆连入欧盟的车联网系统需要一个认证注册过程，如果没有通过VTA中关于网络安全要求的审核，则可以认为该车型存在网络安全的隐患，并可能对车辆自身和道路其他车辆产生影响，因此欧盟会出于安全考虑，禁止其连入车联网系统。

本文图片

参考《Explanations for the suggested amendments to GRVA-05-05-Rev.1》
启示
综上，作为车辆制造企业，在UN CS and CSMS Regulation框架下考虑车辆网络安全，需要关注如下几种相关情况：

同一车辆制造商，使用了不同的E/E架构及外部接口，则需要针对不同E/E架构分别做VTA；
同一车辆制造商，在不同品牌下使用同一套E/E架构及外部接口，则只需要做一次VTA即可，但需要说明不同品牌车辆基于此架构具体实现的差异；
车辆制造商对于现有E/E架构及外部接口的网络安全改进应尽量在2024年7月前完成，考虑到认证过程所花费的时间，这个时间可能需要提前至2024年初（最佳状态是在2022年7月前完成），否则可能会导致销售的新车无法完成首次车辆注册（即无法连入车联网）；
车辆制造商对于新E/E架构及外部接口的开发设计，应当从概念阶段就充分考虑网络安全的影响和必要的缓解措施，并且如果需要在2022年7月获得VTA审批，则必须要在2020年第四季度，也就是现在开始启动相关准备工作；

四、应对网络安全法规的企业行动建议车辆制造商和其车辆类型，从法规角度遵从UN CS and CSMS Regulation的网络安全要求可以拆解为如下两个过程，并且可以遵循相应的参考标准：
CSMS
车辆制造商建立网络安全体系（CSMS）的评估分析、整改设计、建设实施过程；

本文图片

车辆制造商的网络安全体系的评估分析、整改设计、建设实施过程
其中， ISO PAS 5112定位于对ISO/SAE 21434标准内容进行审计的指导， VDA QMC ACSMS定位于对UN CS and CSMS Regulation内容进行审计的指导。 ISO/SAE 21434定义了车辆网络安全的完整框架和产品网络安全生命周期的相关流程，可以指导车辆制造商构建其网络安全管理体系。而Vehicle-SOC与漏洞管理是满足UN CS and CSMS Regulation和ISO/SAE 21434关于持续化网络安全监控要求的必要工作。
行动建议
安永根据以往信息安全管理体系建设的经验，将CSMS体系建设过程分解为若干子目标：