Zgodność z CRA dla Dostawców Motoryzacyjnych: Dostosowanie do UN R155/R156 i Przewodnik Aftermarket

Przemysł motoryzacyjny ma własne regulacje dotyczące cyberbezpieczeństwa , UN R155 (CSMS) i R156 (SUMS) dla homologacji pojazdów. Jednak wiele produktów związanych z motoryzacją nadal podlega CRA. Zrozumienie, która regulacja ma zastosowanie, jest niezbędne dla OEM, dostawców tier i producentów produktów aftermarket.

Ten przewodnik wyjaśnia zastosowanie CRA do produktów motoryzacyjnych.

Zwolnienie Motoryzacyjne w CRA

Co Mówi CRA

Artykuł 2(2) CRA zwalnia niektóre produkty motoryzacyjne:

"Niniejsze rozporządzenie nie ma zastosowania do produktów z elementami cyfrowymi, które są [...] pojazdami silnikowymi i ich przyczepami, a także systemami, komponentami i oddzielnymi jednostkami technicznymi zaprojektowanymi i skonstruowanymi dla takich pojazdów, które są regulowane przez [rozporządzenia o homologacji]..."

Kluczowe zwolnienie: Produkty objęte Regulaminem ONZ nr 155 (cyberbezpieczeństwo) i nr 156 (aktualizacje oprogramowania) w ramach unijnego systemu homologacji są zwolnione z CRA.

Dlaczego Zwolnienie Istnieje

UN R155 i R156 już wymagają:

• Systemu zarządzania cyberbezpieczeństwem (CSMS)
• Systemu zarządzania aktualizacjami oprogramowania (SUMS)
• Oceny cyberbezpieczeństwa przy homologacji
• Ciągłego monitorowania cyberbezpieczeństwa

UE uniknęła podwójnej regulacji, zwalniając homologowane produkty motoryzacyjne z CRA.

Zrozumienie Co Jest Zwolnione

Homologowane Pojazdy i Komponenty

ZWOLNIONE z CRA:

PRODUKTY ZWOLNIONE Z HOMOLOGACJI

KOMPLETNE POJAZDY:
- Samochody osobowe (M1)
- Autobusy i autokary (M2, M3)
- Ciężarówki (N1, N2, N3)
- Przyczepy (kategorie O)
- Pojazdy dwu-/trzykołowe (kategoria L, od 2024)

KOMPONENTY OEM (jak zamontowane w nowych pojazdach):
- Jednostki sterujące silnikiem (ECU)
- Systemy infotainment (zamontowane przez OEM)
- Komponenty ADAS
- Jednostki telematyczne pojazdów połączonych
- Systemy nawigacji OEM
- Moduły sterowania nadwoziem
- ECU bramy

CZĘŚCI ZAMIENNE (zastępujące oryginalne):
- ECU zamienne (ta sama specyfikacja)
- Oryginalne części zamienne

Produkty NIE Zwolnione (CRA Ma Zastosowanie)

PRODUKTY WYMAGAJĄCE ZGODNOŚCI Z CRA

PRODUKTY AFTERMARKET:
- Kamery samochodowe aftermarket
- Dongla diagnostyczne OBD-II
- Lokalizatory GPS aftermarket
- Systemy infotainment firm trzecich
- Urządzenia integracji ze smartfonem
- Systemy alarmowe aftermarket
- Urządzenia do tuningu wydajności

INFRASTRUKTURA ŁADOWANIA:
- Stacje ładowania EV
- Sprzęt do ładowania domowego
- Oprogramowanie do zarządzania ładowaniem
- Inteligentne sterowniki ładowania

ZARZĄDZANIE FLOTĄ:
- Urządzenia telematyczne (retrofit)
- Systemy śledzenia floty
- Monitoring zachowania kierowcy
- Sprzęt do śledzenia zasobów

AKCESORIA:
- Połączone czujniki ciśnienia opon (aftermarket)
- Narzędzia diagnostyczne
- Hotspoty WiFi samochodowe
- Funkcje połączone aftermarket

Pytanie o Dostawców Tier

Czy Dostawcy Tier 1/2/3 Są Zwolnieni?

To zależy od sposobu sprzedaży komponentu:

ANALIZA DOSTAWCÓW TIER

SCENARIUSZ 1: Sprzedaż do OEM dla Produkcji Nowych Pojazdów
┌─────────────────────────────────────────────────┐
│ Komponent → OEM → Homologowany Pojazd           │
│                                                 │
│ Wynik: Komponent objęty homologacją pojazdu.    │
│ UN R155/R156 stosują się poprzez OEM.           │
│ CRA NIE stosuje się bezpośrednio do dostawcy.   │
│                                                 │
│ ALE: OEM będzie wymagał dowodów CSMS od Ciebie  │
└─────────────────────────────────────────────────┘

SCENARIUSZ 2: Sprzedaż Bezpośrednia Użytkownikom/Rynkowi Napraw
┌─────────────────────────────────────────────────┐
│ Komponent → Dystrybucja → Użytkownik/Warsztat   │
│                                                 │
│ Wynik: Nie jest częścią procesu homologacji.    │
│ CRA stosuje się do Ciebie jako producenta.      │
└─────────────────────────────────────────────────┘

SCENARIUSZ 3: Komponenty Podwójnego Zastosowania
┌─────────────────────────────────────────────────┐
│ Ten sam komponent sprzedawany OEM i aftermarket │
│                                                 │
│ Wynik: Złożona sytuacja.                        │
│ - Do OEM: objęty homologacją                    │
│ - Aftermarket: CRA ma zastosowanie              │
│ - Rozważ oddzielne warianty produktów           │
└─────────────────────────────────────────────────┘

Wymagania OEM Przepływają w Dół

Nawet jeśli CRA nie stosuje się bezpośrednio, OEM będą wymagać dowodów cyberbezpieczeństwa:

WYMAGANIA OEM DLA DOSTAWCÓW TIER

UN R155 WYMAGA OD OEM:
- Identyfikacji i zarządzania ryzykiem dostawców
- Zapewnienia zdolności cyberbezpieczeństwa dostawców
- Weryfikacji procesów dostawców

TO ZAZWYCZAJ OZNACZA:
- Wymagania dowodów CSMS
- Żądania zgodności ISO/SAE 21434
- Oceny i audyty bezpieczeństwa
- Umowy dotyczące obsługi podatności
- Wymagania SBOM (coraz częściej)

PRAKTYCZNY WYNIK:
Nawet bez bezpośredniego obowiązku CRA, będziesz
potrzebować podobnych możliwości, aby dostarczać OEM motoryzacyjnym

Dostosowanie ISO/SAE 21434 i CRA

Czym Jest ISO/SAE 21434?

ISO/SAE 21434 "Pojazdy drogowe: Inżynieria cyberbezpieczeństwa" to motoryzacyjny standard cyberbezpieczeństwa obejmujący:

• Zarządzanie cyberbezpieczeństwem
• Metodologię oceny ryzyka
• Rozwój produktu
• Produkcję i operacje
• Reagowanie na incydenty

Mapowanie ISO/SAE 21434 ↔ CRA

Dla produktów aftermarket, gdzie CRA ma zastosowanie:

Używanie ISO/SAE 21434 dla CRA

ISO/SAE 21434 → ZGODNOŚĆ Z CRA

JEŚLI masz implementację ISO/SAE 21434:
→ Silna podstawa bezpieczeństwa technicznego
→ Ponowne wykorzystanie analizy zagrożeń i oceny ryzyka
→ Wykorzystanie dowodów procesu rozwoju
→ Użycie zdolności reagowania na incydenty

DODATKOWO DLA CRA:
[ ] Generowanie SBOM (nie w ISO 21434)
[ ] Zdolność raportowania ENISA
[ ] Proces oznakowania CE
[ ] Zobowiązanie wsparcia 5 lat
[ ] Dokumentacja konsumencka (jeśli dotyczy)

Produkty Aftermarket Szczegółowo

Kamery Samochodowe i DVR

ZGODNOŚĆ CRA KAMERA SAMOCHODOWA

KLASYFIKACJA: Zazwyczaj kategoria Default

STOSUJE SIĘ PONIEWAŻ:
- Nie jest częścią homologowanego pojazdu
- Sprzedawana bezpośrednio konsumentom/operatorom flot
- Instalacja aftermarket

KLUCZOWE WYMAGANIA:
- Bezpieczna domyślnie (WiFi, Bluetooth)
- Ochrona prywatności (dane wideo)
- Mechanizm aktualizacji
- Brak domyślnych haseł
- SBOM dla firmware
- Wsparcie 5 lat

DODATKOWE ROZWAŻANIA:
- Prywatność wideo (zgodność z RODO)
- Bezpieczeństwo przechowywania w chmurze (jeśli dotyczy)
- Bezpieczeństwo aplikacji (aplikacje towarzyszące)

Urządzenia OBD-II

ZGODNOŚĆ CRA DONGLE OBD-II

KLASYFIKACJA: Potencjalnie Important Klasa I
(interfejs z systemami pojazdu)

STOSUJE SIĘ PONIEWAŻ:
- Produkt aftermarket
- Łączy się z pojazdem, ale nie homologowany
- Rynek konsumencki/flotowy

KLUCZOWE WYMAGANIA:
- Bezpieczeństwo sieci pojazdu (krytyczne!)
- Ochrona danych (dane pojazdu są wrażliwe)
- Bezpieczna komunikacja
- Brak nieautoryzowanych poleceń pojazdu
- Bezpieczeństwo firmware
- SBOM

SPECJALNE ROZWAŻANIA:
- Dostęp do sieci krytycznych dla bezpieczeństwa
- Potencjalne ryzyko unieruchomienia pojazdu
- Implikacje ubezpieczeniowe i odpowiedzialności
- Rozważ wytyczne branżowe (SAE J3061)

Sprzęt do Ładowania EV

ZGODNOŚĆ CRA STACJA ŁADOWANIA EV

KLASYFIKACJA: Potencjalnie Important Klasa I lub II
(infrastruktura energetyczna)

STOSUJE SIĘ PONIEWAŻ:
- Nie jest częścią homologacji pojazdu
- Oddzielny produkt infrastrukturalny
- Łączność cyfrowa

KLUCZOWE WYMAGANIA:
- Bezpieczeństwo sieci (infrastruktura energetyczna)
- Bezpieczeństwo płatności (jeśli dotyczy)
- Bezpieczeństwo protokołu komunikacji (OCPP)
- Bezpieczeństwo fizyczne
- Mechanizm aktualizacji
- SBOM

DOSTOSOWANIE STANDARDÓW:
- IEC 61851 (ładowanie EV)
- Wytyczne bezpieczeństwa OCPP
- Standardy smart grid
- Wymagania zasadnicze CRA

Telematyka Flotowa

ZGODNOŚĆ CRA TELEMATYKA FLOTOWA

KLASYFIKACJA: Default lub Important Klasa I

STOSUJE SIĘ PONIEWAŻ:
- Instalacja retrofit/aftermarket
- Nie homologowana z pojazdem
- Oddzielny produkt

KLUCZOWE WYMAGANIA:
- Ochrona danych pojazdu
- Prywatność lokalizacji
- Bezpieczeństwo komunikacji
- Bezpieczeństwo platformy zarządzania
- Bezpieczeństwo firmware urządzenia
- SBOM

ROZWAŻANIA KOMERCYJNE:
- Produkt B2B (może wpłynąć na dokumentację)
- Wymagania klientów flotowych
- Integracja z platformami zarządzania flotą

Rozważania Dotyczące Części Zamiennych

Kiedy Części Zamienne Są Zwolnione?

ANALIZA CZĘŚCI ZAMIENNYCH

ZWOLNIONE (Prawdopodobnie):
- Bezpośrednia zamiana części OEM
- Ta sama specyfikacja co oryginał
- Sprzedawana jako zamiennik dla homologowanego pojazdu
- Utrzymuje status homologacji pojazdu

NIE ZWOLNIONE:
- Wersje ulepszone/zmodernizowane
- Różne specyfikacje
- Niezgodne z oryginalną homologacją
- Modyfikacje wydajności

SZARA STREFA:
- Części regenerowane
- Części równoważne firm trzecich
- Części ze zmianami oprogramowania

REKOMENDACJA:
Jasno udokumentuj podstawę zwolnienia.
W razie wątpliwości, rozważ zgodność z CRA.

Praktyczne Ścieżki Zgodności

Dla Producentów Produktów Aftermarket

ŚCIEŻKA CRA PRODUKT AFTERMARKET

OCENA:
[ ] Potwierdź, że nie objęty homologacją
[ ] Sklasyfikuj według kategorii CRA
[ ] Zidentyfikuj stosowne standardy

PODEJŚCIE DO ZGODNOŚCI:
[ ] Wykorzystaj ISO/SAE 21434, jeśli już wdrożony
[ ] Wdróż wymagania zasadnicze CRA
[ ] Wygeneruj SBOM
[ ] Ustanów obsługę podatności
[ ] Przygotuj raportowanie ENISA

DOKUMENTACJA:
[ ] Dokumentacja techniczna
[ ] Ocena ryzyka
[ ] Dokumentacja użytkownika
[ ] Deklaracja zgodności
[ ] Oznakowanie CE

Dla Dostawców Tier z Podwójnym Kanałem

DOSTAWCA TIER Z OEM + AFTERMARKET

STRATEGIA 1: Oddzielne Produkty
- Wariant OEM: dostawa w ramach homologacji
- Wariant aftermarket: zgodny z CRA
- Jasne zróżnicowanie produktów

STRATEGIA 2: Zgodność CRA dla Wszystkich
- Zastosuj CRA do wszystkich wariantów
- I tak przekracza wymagania OEM
- Uproszczone zarządzanie zgodnością
- Pojedyncza dokumentacja produktu

STRATEGIA 3: Podejście Warstwowe
- Podstawowe bezpieczeństwo dla wszystkich (ISO 21434)
- Dodatkowe elementy CRA dla aftermarket
- Wspólna dokumentacja podstawowa

Dla OEM Zarządzających Wymaganiami Dostawców

ZARZĄDZANIE DOSTAWCAMI OEM

WYMAGANIA UN R155:
- Weryfikuj zdolności cyberbezpieczeństwa dostawców
- Oceń procesy dostawców
- Monitoruj ryzyko dostawców

PRAKTYCZNE PODEJŚCIE:
- Wymagaj zgodności ISO/SAE 21434
- Żądaj dowodów oceny bezpieczeństwa
- Włącz wymagania SBOM do umów
- Ustanów umowy wymiany podatności
- Zdefiniuj wymagania powiadamiania o incydentach

DOSTOSOWANIE DO CRA:
Chociaż CRA nie stosuje się do komponentów
homologowanych, wymaganie dowodów podobnych do CRA
od dostawców wzmacnia Twoją zgodność z UN R155

Standardy i Zasoby Branżowe

Stosowne Standardy

STANDARDY CYBERBEZPIECZEŃSTWA MOTORYZACYJNEGO

ISO/SAE 21434: Pojazdy drogowe - Inżynieria cyberbezpieczeństwa
Regulamin ONZ 155: Cyberbezpieczeństwo (CSMS)
Regulamin ONZ 156: Aktualizacja oprogramowania (SUMS)

STANDARDY WSPIERAJĄCE:
ISO/SAE 8000: Audyt CSMS
ISO 24089: Inżynieria aktualizacji oprogramowania
Specyfikacje cyberbezpieczeństwa AUTOSAR
SAE J3061: Przewodnik cyberbezpieczeństwa

SPECYFICZNE DLA ŁADOWANIA:
IEC 61851: Ładowanie EV
OCPP (Open Charge Point Protocol)
ISO 15118: Komunikacja V2G

Organizacje Branżowe

Checklista dla Produktów Motoryzacyjnych

CHECKLISTA CRA PRODUKT MOTORYZACYJNY

KLASYFIKACJA:
[ ] Czy produkt jest objęty homologacją? (Zwolniony jeśli tak)
[ ] Czy to produkt aftermarket? (CRA ma zastosowanie)
[ ] Czy to część zamienna? (Oceń podstawę zwolnienia)
[ ] Czy to infrastruktura ładowania? (Zazwyczaj CRA)

JEŚLI CRA MA ZASTOSOWANIE:
[ ] Klasyfikacja CRA określona
[ ] Ścieżka oceny zgodności wybrana
[ ] Dokumentacja techniczna przygotowana

ZGODNOŚĆ TECHNICZNA:
[ ] Dostosowanie ISO/SAE 21434 wykorzystane
[ ] Implementacja bezpieczeństwa domyślnego
[ ] Bezpieczeństwo sieci pojazdu (jeśli dotyczy)
[ ] Mechanizm aktualizacji
[ ] Generowanie SBOM
[ ] Obsługa podatności

DOKUMENTACJA:
[ ] Ocena ryzyka (metodologia TARA działa)
[ ] Architektura bezpieczeństwa
[ ] Dokumentacja użytkownika
[ ] Deklaracja zgodności
[ ] Oznakowanie CE

SPECJALNE ROZWAŻANIA:
[ ] Prywatność danych pojazdu (RODO)
[ ] Implikacje bezpieczeństwa ocenione
[ ] Wymagania OEM (jeśli dostawca)

Kluczowe Zasoby

ZASOBY CYBERBEZPIECZEŃSTWA MOTORYZACYJNEGO

REGULACJE:
Regulamin ONZ 155 (CSMS)
Regulamin ONZ 156 (SUMS)
https://unece.org/transport/vehicle-regulations

Homologacja UE:
Rozporządzenie (UE) 2018/858
https://eur-lex.europa.eu

STANDARDY:
ISO/SAE 21434:2021
Dostępne w ISO lub SAE

WYTYCZNE:
ENISA Good Practices for Security of Smart Cars
Auto-ISAC Best Practices

BRANŻA:
Dokumenty pozycyjne CLEPA
VDA Automotive Cybersecurity

Powiązane przewodniki:

• Klasyfikacja Produktów CRA: Czy Twój Produkt jest Default, Important czy Critical?
• CRA Supplier Due Diligence: Kwestionariusz i Lista Kontrolna dla Komponentów Open Source

Jak CRA Evidence Pomaga

Dla produktów motoryzacyjnych aftermarket wymagających zgodności z CRA:

• Mapowanie ISO/SAE 21434: Wykorzystaj istniejące prace bezpieczeństwa motoryzacyjnego
• SBOM dla embedded: Wsparcie dla komponentów firmware motoryzacyjnych
• Śledzenie podatności: Koordynacja łańcucha dostaw motoryzacyjnego
• Zarządzanie wieloma produktami: Zarządzaj rodzinami produktów przez kanały
• Generowanie dokumentacji technicznej: Szablony odpowiednie dla motoryzacji

Rozpocznij zgodność z CRA na app.craevidence.com.

Ten artykuł jest dostarczany wyłącznie w celach informacyjnych i nie stanowi porady prawnej. W celu uzyskania konkretnych porad dotyczących zgodności, szczególnie w zakresie granic homologacji, skonsultuj się z wykwalifikowanym doradcą regulacyjnym.