CRA-Compliance für Automobilzulieferer: UN R155/R156-Abstimmung und Aftermarket-Leitfaden

Die Automobilindustrie hat ihre eigenen Cybersicherheitsvorschriften: UN R155 (CSMS) und R156 (SUMS) für die Fahrzeug-Typgenehmigung. Allerdings fallen viele automobilbezogene Produkte dennoch unter den CRA. Zu verstehen, welche Regulierung gilt, ist für OEMs, Tier-Zulieferer und Aftermarket-Produkthersteller wesentlich.

Dieser Leitfaden klärt die CRA-Anwendbarkeit für Automobilprodukte.

Die Automobilausnahme im CRA

Was der CRA sagt

CRA Artikel 2(2) nimmt bestimmte Kraftfahrzeugprodukte aus:

"Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, die [...] Kraftfahrzeuge und ihre Anhänger sowie Systeme, Bauteile und selbstständige technische Einheiten sind, die für solche Fahrzeuge ausgelegt und gebaut wurden und durch [Typgenehmigungsverordnungen] geregelt sind..."

Zentrale Ausnahme: Produkte, die von der UN-Regelung Nr. 155 (Cybersicherheit) und Nr. 156 (Software-Updates) im Rahmen des EU-Typgenehmigungsrahmens abgedeckt werden, sind vom CRA ausgenommen.

Warum die Ausnahme existiert

UN R155 und R156 verlangen bereits:

• Cybersicherheits-Managementsystem (CSMS)
• Software-Update-Managementsystem (SUMS)
• Cybersicherheitsbewertung bei Typgenehmigung
• Fortlaufende Cybersicherheitsüberwachung

Die EU vermied Doppelregulierung, indem typgenehmigte Automobilprodukte vom CRA ausgenommen wurden.

Verstehen, was ausgenommen ist

Typgenehmigte Fahrzeuge und Komponenten

VOM CRA AUSGENOMMEN:

TYPGENEHMIGUNG - AUSGENOMMENE PRODUKTE

KOMPLETTE FAHRZEUGE:
- Personenkraftwagen (M1)
- Busse und Reisebusse (M2, M3)
- Lastkraftwagen (N1, N2, N3)
- Anhänger (O-Kategorien)
- Zwei-/Dreiräder (L-Kategorie, ab 2024)

OEM-KOMPONENTEN (wie in Neufahrzeugen verbaut):
- Motorsteuergeräte (ECUs)
- Infotainmentsysteme (OEM-verbaut)
- ADAS-Komponenten
- Connected-Car-Telematikeinheiten
- OEM-Navigationssysteme
- Karosseriesteuermodule
- Gateway-ECUs

ERSATZTEILE (Original ersetzend):
- Austausch-ECUs (gleiche Spezifikation)
- Original-Austauschteile

Nicht ausgenommene Produkte (CRA gilt)

PRODUKTE, DIE CRA-COMPLIANCE ERFORDERN

AFTERMARKET-PRODUKTE:
- Aftermarket-Dashcams
- OBD-II-Diagnosedongles
- Aftermarket-GPS-Tracker
- Infotainmentsysteme von Drittanbietern
- Smartphone-Integrationsgeräte
- Aftermarket-Alarmanlagen
- Leistungstuning-Geräte

LADEINFRASTRUKTUR:
- E-Ladestationen
- Heim-Ladeausrüstung
- Lademanagement-Software
- Intelligente Laderegler

FLOTTENMANAGEMENT:
- Telematikgeräte (Nachrüstung)
- Flottenortungssysteme
- Fahrerverhaltenüberwachung
- Asset-Tracking-Ausrüstung

ZUBEHÖR:
- Vernetzte Reifendrucküberwacher (Aftermarket)
- Diagnosewerkzeuge
- Automotive-WLAN-Hotspots
- Aftermarket-Connected-Funktionen

Die Tier-Zulieferer-Frage

Sind Tier-1/2/3-Zulieferer ausgenommen?

Es hängt davon ab, wie die Komponente verkauft wird:

TIER-ZULIEFERER-ANALYSE

SZENARIO 1: Verkauf an OEM für Neufahrzeugproduktion
┌─────────────────────────────────────────────────┐
│ Komponente → OEM → Typgenehmigtes Fahrzeug      │
│                                                 │
│ Ergebnis: Komponente durch Typgenehmigung des   │
│ Fahrzeugs abgedeckt. UN R155/R156 gelten        │
│ über OEM.                                       │
│ CRA gilt NICHT direkt für Zulieferer.           │
│                                                 │
│ ABER: OEM wird CSMS-Nachweis von Ihnen fordern  │
└─────────────────────────────────────────────────┘

SZENARIO 2: Direktverkauf an Endkunden/Reparaturmarkt
┌─────────────────────────────────────────────────┐
│ Komponente → Vertrieb → Endkunde/Werkstatt      │
│                                                 │
│ Ergebnis: Nicht Teil des Typgenehmigungsprozesses│
│ CRA gilt für Sie als Hersteller.                │
└─────────────────────────────────────────────────┘

SZENARIO 3: Dual-Use-Komponenten
┌─────────────────────────────────────────────────┐
│ Gleiche Komponente für OEM und Aftermarket      │
│                                                 │
│ Ergebnis: Komplexe Situation.                   │
│ - An OEM: durch Typgenehmigung abgedeckt        │
│ - An Aftermarket: CRA gilt                      │
│ - Separate Produktvarianten erwägen             │
└─────────────────────────────────────────────────┘

OEM-Anforderungen fließen nach unten

Selbst wenn der CRA nicht direkt gilt, werden OEMs Cybersicherheitsnachweise verlangen:

OEM-ANFORDERUNGEN AN TIER-ZULIEFERER

UN R155 VERLANGT VON OEMs:
- Lieferantenrisiken identifizieren und managen
- Cybersicherheitsfähigkeiten der Lieferanten sicherstellen
- Lieferantenprozesse verifizieren

DAS BEDEUTET TYPISCHERWEISE:
- CSMS-Nachweisanforderungen
- ISO/SAE 21434-Compliance-Anfragen
- Sicherheitsbewertungen und Audits
- Vereinbarungen zur Schwachstellenbehandlung
- SBOM-Anforderungen (zunehmend)

PRAKTISCHES ERGEBNIS:
Selbst ohne direkte CRA-Verpflichtung benötigen Sie
ähnliche Fähigkeiten, um Automobil-OEMs zu beliefern

ISO/SAE 21434 und CRA-Abstimmung

Was ist ISO/SAE 21434?

ISO/SAE 21434 "Straßenfahrzeuge: Cybersecurity Engineering" ist der Automobil-Cybersicherheitsstandard, der abdeckt:

• Cybersicherheitsmanagement
• Risikobewertungsmethodik
• Produktentwicklung
• Produktion und Betrieb
• Incident Response

ISO/SAE 21434 ↔ CRA-Zuordnung

Für Aftermarket-Produkte, wo der CRA gilt:

ISO/SAE 21434 für CRA nutzen

ISO/SAE 21434 → CRA-COMPLIANCE

WENN Sie ISO/SAE 21434 implementiert haben:
→ Starke technische Sicherheitsgrundlage
→ Bedrohungsanalyse und Risikobewertung wiederverwenden
→ Entwicklungsprozessnachweise nutzen
→ Incident-Response-Fähigkeiten verwenden

ZUSÄTZLICH FÜR CRA:
[ ] SBOM-Generierung (nicht in ISO 21434)
[ ] ENISA-Meldefähigkeit
[ ] CE-Kennzeichnungsprozess
[ ] 5-Jahre-Support-Zusage
[ ] Verbraucherdokumentation (falls zutreffend)

Aftermarket-Produkte im Detail

Dashcams und DVRs

DASHCAM CRA-COMPLIANCE

KLASSIFIZIERUNG: Typischerweise Default-Kategorie

GILT, WEIL:
- Nicht Teil des typgenehmigten Fahrzeugs
- Direkt an Verbraucher/Flottenbetreiber verkauft
- Aftermarket-Installation

WESENTLICHE ANFORDERUNGEN:
- Standardmäßig sicher (WLAN, Bluetooth)
- Datenschutz (Videodaten)
- Update-Mechanismus
- Keine Standardpasswörter
- SBOM für Firmware
- 5-Jahre-Support

ZUSÄTZLICHE ERWÄGUNGEN:
- Video-Datenschutz (DSGVO-Abstimmung)
- Cloud-Speicher-Sicherheit (falls zutreffend)
- App-Sicherheit (Begleit-Apps)

OBD-II-Geräte

OBD-II-DONGLE CRA-COMPLIANCE

KLASSIFIZIERUNG: Möglicherweise Important Klasse I
(Schnittstelle zu Fahrzeugsystemen)

GILT, WEIL:
- Aftermarket-Produkt
- Verbindet mit Fahrzeug, aber nicht typgenehmigt
- Verbraucher-/Flottenmarkt

WESENTLICHE ANFORDERUNGEN:
- Fahrzeugnetzwerk-Sicherheit (kritisch!)
- Datenschutz (Fahrzeugdaten sind sensibel)
- Sichere Kommunikation
- Keine unautorisierten Fahrzeugbefehle
- Firmware-Sicherheit
- SBOM

BESONDERE ERWÄGUNGEN:
- Zugang zu sicherheitskritischen Netzwerken
- Potenzielle Fahrzeug-Immobilisierungsrisiken
- Versicherungs- und Haftungsimplikationen
- Branchenrichtlinien beachten (SAE J3061)

E-Ladeausrüstung

E-LADESTATION CRA-COMPLIANCE

KLASSIFIZIERUNG: Möglicherweise Important Klasse I oder II
(Energieinfrastruktur)

GILT, WEIL:
- Nicht Teil der Fahrzeug-Typgenehmigung
- Separates Infrastrukturprodukt
- Digitale Konnektivität

WESENTLICHE ANFORDERUNGEN:
- Netzsicherheit (Energieinfrastruktur)
- Zahlungssicherheit (falls zutreffend)
- Kommunikationsprotokoll-Sicherheit (OCPP)
- Physische Sicherheit
- Update-Mechanismus
- SBOM

STANDARDS-ABSTIMMUNG:
- IEC 61851 (E-Laden)
- OCPP-Sicherheitsrichtlinien
- Smart-Grid-Standards
- CRA-Grundlegende Anforderungen

Flottentelematik

FLOTTENTELEMATIK CRA-COMPLIANCE

KLASSIFIZIERUNG: Default oder Important Klasse I

GILT, WEIL:
- Nachrüst-/Aftermarket-Installation
- Nicht mit Fahrzeug typgenehmigt
- Separates Produkt

WESENTLICHE ANFORDERUNGEN:
- Fahrzeugdatenschutz
- Standort-Datenschutz
- Kommunikationssicherheit
- Management-Plattform-Sicherheit
- Geräte-Firmware-Sicherheit
- SBOM

KOMMERZIELLE ERWÄGUNGEN:
- B2B-Produkt (kann Dokumentation beeinflussen)
- Flottenkundenanforderungen
- Integration mit Flottenmanagement-Plattformen

Ersatzteil-Erwägungen

Wann sind Ersatzteile ausgenommen?

ERSATZTEIL-ANALYSE

AUSGENOMMEN (Wahrscheinlich):
- Direkter Ersatz für OEM-Teil
- Gleiche Spezifikation wie Original
- Als Ersatz für typgenehmigtes Fahrzeug verkauft
- Erhält Typgenehmigungsstatus des Fahrzeugs

NICHT AUSGENOMMEN:
- Aufgerüstete/verbesserte Versionen
- Andere Spezifikationen
- Nicht mit Originalzulassung übereinstimmend
- Leistungsmodifikationen

GRAUZONE:
- Wiederaufbereitete Teile
- Äquivalente Drittanbieter-Teile
- Teile mit Softwareänderungen

EMPFEHLUNG:
Ausnahmegrundlage klar dokumentieren.
Im Zweifelsfall CRA-Compliance erwägen.

Praktische Compliance-Wege

Für Aftermarket-Produkthersteller

AFTERMARKET-PRODUKT CRA-WEG

BEWERTUNG:
[ ] Bestätigen, dass nicht von Typgenehmigung abgedeckt
[ ] Nach CRA-Kategorien klassifizieren
[ ] Anwendbare Standards identifizieren

COMPLIANCE-ANSATZ:
[ ] ISO/SAE 21434 nutzen, falls bereits implementiert
[ ] CRA-Grundlegende Anforderungen umsetzen
[ ] SBOM generieren
[ ] Schwachstellenbehandlung etablieren
[ ] ENISA-Meldung vorbereiten

DOKUMENTATION:
[ ] Technische Dokumentation
[ ] Risikobewertung
[ ] Benutzerdokumentation
[ ] Konformitätserklärung
[ ] CE-Kennzeichnung

Für Tier-Zulieferer mit dualen Kanälen

TIER-ZULIEFERER MIT OEM + AFTERMARKET

STRATEGIE 1: Separate Produkte
- OEM-Variante: unter Typgenehmigungsfluss liefern
- Aftermarket-Variante: CRA-konform
- Klare Produktdifferenzierung

STRATEGIE 2: CRA-Compliance für alle
- CRA auf alle Varianten anwenden
- Übertrifft OEM-Anforderungen ohnehin
- Vereinfachtes Compliance-Management
- Einheitliche Produktdokumentation

STRATEGIE 3: Gestufter Ansatz
- Basissicherheit für alle (ISO 21434)
- Zusätzliche CRA-Elemente für Aftermarket
- Gemeinsame Kerndokumentation

Für OEMs beim Management von Lieferantenanforderungen

OEM-LIEFERANTENMANAGEMENT

UN R155-ANFORDERUNGEN:
- Cybersicherheitsfähigkeiten der Lieferanten verifizieren
- Lieferantenprozesse bewerten
- Lieferantenrisiken überwachen

PRAKTISCHER ANSATZ:
- ISO/SAE 21434-Compliance verlangen
- Sicherheitsbewertungsnachweise anfordern
- SBOM-Anforderungen in Verträge aufnehmen
- Vereinbarungen zum Schwachstellenaustausch etablieren
- Incident-Notification-Anforderungen definieren

ABSTIMMUNG MIT CRA:
Obwohl CRA nicht für typgenehmigte Komponenten
gilt, stärkt das Verlangen CRA-ähnlicher Nachweise
von Lieferanten Ihre UN R155-Compliance

Branchenstandards und Ressourcen

Relevante Standards

AUTOMOBIL-CYBERSICHERHEITSSTANDARDS

ISO/SAE 21434: Straßenfahrzeuge - Cybersecurity Engineering
UN-Regelung 155: Cybersicherheit (CSMS)
UN-Regelung 156: Software-Update (SUMS)

UNTERSTÜTZENDE STANDARDS:
ISO/SAE 8000: CSMS-Auditierung
ISO 24089: Software-Update-Engineering
AUTOSAR Cybersicherheitsspezifikationen
SAE J3061: Cybersicherheits-Leitfaden

LADESPEZIFISCH:
IEC 61851: E-Laden
OCPP (Open Charge Point Protocol)
ISO 15118: V2G-Kommunikation

Branchenorganisationen

Checkliste für Automobilprodukte

AUTOMOBILPRODUKT CRA-CHECKLISTE

KLASSIFIZIERUNG:
[ ] Ist Produkt durch Typgenehmigung abgedeckt? (Ausgenommen wenn ja)
[ ] Ist es ein Aftermarket-Produkt? (CRA gilt)
[ ] Ist es ein Ersatzteil? (Ausnahmegrundlage prüfen)
[ ] Ist es Ladeinfrastruktur? (Üblicherweise CRA)

FALLS CRA GILT:
[ ] CRA-Klassifizierung bestimmt
[ ] Konformitätsbewertungsweg gewählt
[ ] Technische Dokumentation vorbereitet

TECHNISCHE COMPLIANCE:
[ ] ISO/SAE 21434-Abstimmung genutzt
[ ] Security-by-Default-Implementierung
[ ] Fahrzeugnetzwerk-Sicherheit (falls zutreffend)
[ ] Update-Mechanismus
[ ] SBOM-Generierung
[ ] Schwachstellenbehandlung

DOKUMENTATION:
[ ] Risikobewertung (TARA-Methodik funktioniert)
[ ] Sicherheitsarchitektur
[ ] Benutzerdokumentation
[ ] Konformitätserklärung
[ ] CE-Kennzeichnung

BESONDERE ERWÄGUNGEN:
[ ] Fahrzeugdaten-Datenschutz (DSGVO)
[ ] Sicherheitsimplikationen bewertet
[ ] OEM-Anforderungen (falls zuliefernd)

Wichtige Ressourcen

AUTOMOBIL-CYBERSICHERHEITSRESSOURCEN

REGULIERUNGEN:
UN-Regelung 155 (CSMS)
UN-Regelung 156 (SUMS)
https://unece.org/transport/vehicle-regulations

EU-Typgenehmigung:
Verordnung (EU) 2018/858
https://eur-lex.europa.eu

STANDARDS:
ISO/SAE 21434:2021
Erhältlich bei ISO oder SAE

LEITFÄDEN:
ENISA Good Practices for Security of Smart Cars
Auto-ISAC Best Practices

BRANCHE:
CLEPA-Positionspapiere
VDA Automotive Cybersecurity

Verwandte Leitfäden:

• CRA-Produktklassifizierung: Ist Ihr Produkt Default, Important oder Critical?
• CRA Supplier Due Diligence: Fragebogen und Checkliste für Open-Source-Komponenten

Wie CRA Evidence hilft

Für Aftermarket-Automobilprodukte, die CRA-Compliance erfordern:

• ISO/SAE 21434-Zuordnung: Bestehende Automobil-Sicherheitsarbeit nutzen
• SBOM für Embedded: Unterstützung für Automobil-Firmware-Komponenten
• Schwachstellenverfolgung: Koordination der Automobil-Lieferkette
• Multi-Produkt-Management: Produktfamilien über Kanäle hinweg handhaben
• Generierung der Technischen Dokumentation: Automobil-gerechte Vorlagen

Starten Sie Ihre CRA-Compliance bei app.craevidence.com.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung, insbesondere bezüglich Typgenehmigungsgrenzen, wenden Sie sich an qualifizierte Regulierungsberater.