汽车|【安永观察】智能汽车网络安全市场准入与合规遵从( 三 )
考虑到一个车型的开发过程可能长达4-6年(新能源汽车可能会大幅缩短) , 因此UNECE WP.29 TFCS将本法规的过渡时间定义为48个月 , 即从2021年1月正式生效 , 2025年1月过渡期结束 。 这个过渡期是针对现有架构 , 如果是新开发架构 , 则应该从项目概念阶段就充分考虑可能存在的网络安全相关风险 , 同时欧盟定义了新整车类型的审批时间为2022年7月 。
需要注意的是 , 如果2024年7月后还没有通过UN CS and CSMS Regulation认证的车辆 , 可能无法完成车辆的首次注册 。 对于首次注册的理解 , 我们认为车辆连入欧盟的车联网系统需要一个认证注册过程 , 如果没有通过VTA中关于网络安全要求的审核 , 则可以认为该车型存在网络安全的隐患 , 并可能对车辆自身和道路其他车辆产生影响 , 因此欧盟会出于安全考虑 , 禁止其连入车联网系统 。
本文图片
参考《Explanations for the suggested amendments to GRVA-05-05-Rev.1》
启示
综上 , 作为车辆制造企业 , 在UN CS and CSMS Regulation框架下考虑车辆网络安全 , 需要关注如下几种相关情况:
- 同一车辆制造商 , 使用了不同的E/E架构及外部接口 , 则需要针对不同E/E架构分别做VTA;
- 同一车辆制造商 , 在不同品牌下使用同一套E/E架构及外部接口 , 则只需要做一次VTA即可 , 但需要说明不同品牌车辆基于此架构具体实现的差异;
- 车辆制造商对于现有E/E架构及外部接口的网络安全改进应尽量在2024年7月前完成 , 考虑到认证过程所花费的时间 , 这个时间可能需要提前至2024年初(最佳状态是在2022年7月前完成) , 否则可能会导致销售的新车无法完成首次车辆注册(即无法连入车联网);
- 车辆制造商对于新E/E架构及外部接口的开发设计 , 应当从概念阶段就充分考虑网络安全的影响和必要的缓解措施 , 并且如果需要在2022年7月获得VTA审批 , 则必须要在2020年第四季度 , 也就是现在开始启动相关准备工作;
CSMS
车辆制造商建立网络安全体系(CSMS)的评估分析、整改设计、建设实施过程;
本文图片
车辆制造商的网络安全体系的评估分析、整改设计、建设实施过程
其中 , ISO PAS 5112定位于对ISO/SAE 21434标准内容进行审计的指导 , VDA QMC ACSMS定位于对UN CS and CSMS Regulation内容进行审计的指导 。 ISO/SAE 21434定义了车辆网络安全的完整框架和产品网络安全生命周期的相关流程 , 可以指导车辆制造商构建其网络安全管理体系 。 而Vehicle-SOC与漏洞管理是满足UN CS and CSMS Regulation和ISO/SAE 21434关于持续化网络安全监控要求的必要工作 。
行动建议
安永根据以往信息安全管理体系建设的经验 , 将CSMS体系建设过程分解为若干子目标:
本文图片
- 网络安全管理组织:CSMS组织建设规划 , 网络安全人员可按要求规范性开展工作 , 常态化开展工作并定期输出工作报告 。
- 网络安全管理体系:完成网络安全管理体系的设计和实施 , 制度流程符合ISO/SAE 21434标准要求 , 包括详细的流程与操作步骤、指引及模板 , 确保ISO/SAE 21434 标准的完整导入 。
- 网络安全运行体系:建立网络安全管理体系的技术支撑能力 , 支持包括概念和开发阶段的风险评估活动、组件和集成验证阶段的测试活动 , 以及车辆运营环节的网络安全威胁检测与应急响应 。
推荐阅读
- 青海“双料”贫困县:“百分之一秒”观察五年高原脱贫故事
- 四川眉山:成都新冠肺炎确诊病例的密切接触者已集中隔离观察
- 南京■南京长途汽车东站12月28日起恢复发车
- 子良说汽车|崔克“唯一”的车型?TREK Domane进化史
- 汽车|马自达全新CX-5曝光!搭直列六缸引擎/后驱平台
- 汽车|8款新车12月份上市,开回家过年很有面子
- 汽车|9万不到的SUV 居然有197马力 而且还有大空间7座!
- 汽车|续航里程410km 华晨新日新能源汽车首车下线
- 汽车|评测 | 懂你所想,予你所需!依维柯欧胜2021款这个“搭档”可还行?
- 汽车知识|凯美瑞2.0L落地近22万,动力差,优惠少,但就是销量高!