CRA för fordonsleverantörer: UN R155/R156 och eftermarknad

Fordonsindustrin har sina egna cybersäkerhetsregler: UN R155 (CSMS) och R156 (SUMS) för fordonstypgodkännande. Många fordonsrelaterade produkter omfattas dock fortfarande av CRA. Att förstå vilken förordning som gäller är avgörande för OEM-tillverkare, nivåleverantörer och tillverkare av eftermarknadsprodukter.

Den här guiden klargör CRA-tillämpligheten för fordonsprodukter.

Fordonsundantaget i CRA

Vad CRA säger

CRA artikel 2(2) undantar vissa motorfordonsdelar:

"Denna förordning ska inte tillämpas på produkter med digitala element som är [...] motorfordon och deras släpvagnar samt system, komponenter och separata tekniska enheter utformade och tillverkade för sådana fordon, som regleras av [typgodkännandeförordningar]..."

Centralt undantag: Produkter som täcks av UN-förordning nr 155 (cybersäkerhet) och nr 156 (programvaruuppdateringar) inom ramen för EU:s typgodkännandesystem är undantagna från CRA.

Varför undantaget finns

UN R155 och R156 kräver redan:

• Cybersäkerhetshanteringssystem (CSMS)
• Programvaruuppdateringshanteringssystem (SUMS)
• Cybersäkerhetsbedömning vid typgodkännande
• Löpande cybersäkerhetsövervakning

EU undvek dubbelreglering genom att undanta typgodkända fordonsprodukter från CRA.

Vad som är undantaget

Typgodkända fordon och komponenter

UNDANTAGNA från CRA:

TYPGODKÄNNANDE - UNDANTAGNA PRODUKTER

KOMPLETTA FORDON:
- Personbilar (M1)
- Bussar och turistbussar (M2, M3)
- Lastbilar (N1, N2, N3)
- Släpvagnar (O-kategorier)
- Två-/trehjulingar (L-kategori, från 2024)

OEM-KOMPONENTER (monterade i nya fordon):
- Motorstyrenheter (ECU)
- Infotainmentsystem (OEM-monterade)
- ADAS-komponenter
- Uppkopplade biltelematiksenheter
- OEM-navigationssystem
- Karosserimoduler
- Gateway-ECU

RESERVDELAR (ersätter original):
- Ersättnings-ECU (samma specifikation)
- Originalutrustningens reservdelar

Produkter som INTE är undantagna (CRA gäller)

PRODUKTER SOM KRÄVER CRA-EFTERLEVNAD

EFTERMARKNADSPRODUKTER:
- Dashcams för eftermarknaden
- OBD-II diagnostikdonglar
- GPS-spårare för eftermarknaden
- Infotainmentsystem från tredje part
- Smartphoneintegrationsenenheter
- Larmsystem för eftermarknaden
- Prestandatrimningsenheter

LADDNINGSINFRASTRUKTUR:
- Laddstationer för elfordon
- Hemladdningsutrustning
- Laddningshanteringsprogramvara
- Smarta laddningsstyrenheter

FLOTTEHANTERING:
- Telematikenheter (eftermontering)
- Flottespårningssystem
- Övervakning av förarens beteende
- Utrustning för tillgångsspårning

TILLBEHÖR:
- Uppkopplade däcktrycksövervakare (eftermarknaden)
- Diagnosverktyg
- Automotive WiFi-hotspots
- Uppkopplade eftermarknadsfunktioner

Frågan om nivåleverantörer

Är nivå 1/2/3-leverantörer undantagna?

Det beror på hur komponenten säljs:

ANALYS AV NIVÅLEVERANTÖRER

SCENARIO 1: Försäljning till OEM för ny fordonsproduktion
┌─────────────────────────────────────────────────┐
│ Komponent → OEM → Typgodkänt fordon             │
│                                                 │
│ Resultat: Komponenten täcks av fordonets        │
│ typgodkännande. UN R155/R156 gäller via OEM.   │
│ CRA gäller INTE direkt för leverantören.        │
│                                                 │
│ MEN: OEM kräver CSMS-bevis från dig            │
└─────────────────────────────────────────────────┘

SCENARIO 2: Direktförsäljning till slutanvändare/reparationsmarknaden
┌─────────────────────────────────────────────────┐
│ Komponent → Distribution → Slutanvändare        │
│                                                 │
│ Resultat: Ingår inte i typgodkännandeprocessen. │
│ CRA gäller för dig som tillverkare.             │
└─────────────────────────────────────────────────┘

SCENARIO 3: Dubblanvändningskomponenter
┌─────────────────────────────────────────────────┐
│ Samma komponent säljs till OEM och eftermarknaden│
│                                                 │
│ Resultat: Komplex situation.                    │
│ - Till OEM: täcks av typgodkännande             │
│ - Till eftermarknaden: CRA gäller               │
│ - Överväg separata produktvarianter             │
└─────────────────────────────────────────────────┘

OEM-krav flödar neråt

Även om CRA inte gäller direkt, kräver OEM-tillverkare cybersäkerhetsbevis:

OEM-KRAV PÅ NIVÅLEVERANTÖRER

UN R155 KRÄVER ATT OEM:
- Identifierar och hanterar leverantörsrisker
- Säkerställer leverantörernas cybersäkerhetsförmåga
- Verifierar leverantörsprocesser

DETTA INNEBÄR VANLIGTVIS:
- Krav på CSMS-bevis
- Förfrågningar om ISO/SAE 21434-efterlevnad
- Säkerhetsbedömningar och revisioner
- Avtal om hantering av sårbarheter
- SBOM-krav (i ökande utsträckning)

PRAKTISKT RESULTAT:
Även utan direkt CRA-skyldighet behöver du
liknande förmågor för att leverera till fordons-OEM

ISO/SAE 21434 och CRA-samordning

Vad är ISO/SAE 21434?

ISO/SAE 21434 "Vägfordon: Cybersecurity engineering" är standarden för cybersäkerhet inom fordonsindustrin som täcker:

• Cybersäkerhetshantering
• Riskbedömningsmetodik
• Produktutveckling
• Produktion och drift
• Incidenthantering

ISO/SAE 21434 ↔ CRA-mappning

För eftermarknadsprodukter där CRA gäller:

Använda ISO/SAE 21434 för CRA

ISO/SAE 21434 → CRA-EFTERLEVNAD

OM du har implementerat ISO/SAE 21434:
→ Stark teknisk säkerhetsgrund
→ Återanvänd hotanalys och riskbedömning
→ Utnyttja bevis från utvecklingsprocessen
→ Använd förmågor för incidenthantering

YTTERLIGARE FÖR CRA:
[ ] SBOM-generering (inte i ISO 21434)
[ ] ENISA-rapporteringsförmåga
[ ] CE-märkningsprocess
[ ] 5-årig supportåtagande
[ ] Konsumentdokumentation (om tillämpligt)

Eftermarknadsprodukter i detalj

Dashcams och DVR

DASHCAM CRA-EFTERLEVNAD

KLASSIFICERING: Vanligtvis standardkategori

GÄLLER EFTERSOM:
- Inte del av typgodkänt fordon
- Säljs direkt till konsumenter/flotteoperatörer
- Eftermontering

VIKTIGA KRAV:
- Säker som standard (WiFi, Bluetooth)
- Integritetsskydd (videodata)
- Uppdateringsmekanism
- Inga standardlösenord
- SBOM för firmware
- 5 års support

YTTERLIGARE ÖVERVÄGANDEN:
- Videointegritiet (GDPR-samordning)
- Molnlagringssäkerhet (om tillämpligt)
- App-säkerhet (kompletterande appar)

OBD-II-enheter

OBD-II-DONGLE CRA-EFTERLEVNAD

KLASSIFICERING: Möjligen viktig klass I
(gränssnitt mot fordonssystem)

GÄLLER EFTERSOM:
- Eftermarknadsprodukt
- Ansluter till fordon men är inte typgodkänd
- Konsument-/flottemarknad

VIKTIGA KRAV:
- Fordonsnätverkssäkerhet (kritiskt!)
- Dataskydd (fordonsdata är känslig)
- Säker kommunikation
- Inga obehöriga fordonskommandon
- Firmware-säkerhet
- SBOM

SÄRSKILDA ÖVERVÄGANDEN:
- Åtkomst till säkerhetskritiska nätverk
- Potentiella risker för fordonsimmobilisering
- Försäkrings- och ansvarsmässiga konsekvenser
- Beakta branschriktlinjer (SAE J3061)

Laddningsutrustning för elfordon

LADDSTATION FÖR ELFORDON CRA-EFTERLEVNAD

KLASSIFICERING: Möjligen viktig klass I eller II
(energiinfrastruktur)

GÄLLER EFTERSOM:
- Ingår inte i fordonstypgodkännandet
- Separat infrastrukturprodukt
- Digital uppkoppling

VIKTIGA KRAV:
- Nätsäkerhet (energiinfrastruktur)
- Betalningssäkerhet (om tillämpligt)
- Kommunikationsprotokollsäkerhet (OCPP)
- Fysisk säkerhet
- Uppdateringsmekanism
- SBOM

STANDARDSAMORDNING:
- IEC 61851 (EV-laddning)
- OCPP:s säkerhetsriktlinjer
- Smarta nätverksstandarder
- CRA:s väsentliga krav

Flotttelematik

FLOTTTELEMATIK CRA-EFTERLEVNAD

KLASSIFICERING: Standard eller viktig klass I

GÄLLER EFTERSOM:
- Eftermonterings-/eftermarknadsinstallation
- Inte typgodkänd med fordonet
- Separat produkt

VIKTIGA KRAV:
- Skydd av fordonsdata
- Platsprivacitet
- Kommunikationssäkerhet
- Hanteringsplattformssäkerhet
- Enhetens firmware-säkerhet
- SBOM

KOMMERSIELLA ÖVERVÄGANDEN:
- B2B-produkt (kan påverka dokumentation)
- Flottekunds krav
- Integration med flottehanteringsplattformar

Överväganden kring reservdelar

När är reservdelar undantagna?

ANALYS AV RESERVDELAR

UNDANTAGNA (troligen):
- Direkt ersättning för OEM-del
- Samma specifikation som originalet
- Säljs som ersättning för typgodkänt fordon
- Bibehåller fordonets typgodkännandesstatus

INTE UNDANTAGNA:
- Uppgraderade/förbättrade versioner
- Andra specifikationer
- Matchar inte ursprungligt godkännande
- Prestandamodifieringar

GRÅZON:
- Renoverade delar
- Tredjepartsekvivalenta delar
- Delar med programvaruändringar

REKOMMENDATION:
Dokumentera undantagsgrunden tydligt.
Vid tveksamhet, överväg CRA-efterlevnad.

Praktiska efterlevnadsvägar

För tillverkare av eftermarknadsprodukter

EFTERMARKNADSPRODUKT CRA-VÄG

BEDÖMNING:
[ ] Bekräfta att den inte täcks av typgodkännande
[ ] Klassificera enligt CRA-kategorier
[ ] Identifiera tillämpliga standarder

EFTERLEVNADSMETOD:
[ ] Utnyttja ISO/SAE 21434 om redan implementerad
[ ] Implementera CRA:s väsentliga krav
[ ] Generera SBOM
[ ] Etablera sårbarhethantering
[ ] Förbered ENISA-rapportering

DOKUMENTATION:
[ ] Teknisk fil
[ ] Riskbedömning
[ ] Användardokumentation
[ ] Försäkran om överensstämmelse
[ ] CE-märkning

För nivåleverantörer med dubbla kanaler

NIVÅLEVERANTÖR MED OEM + EFTERMARKNAD

STRATEGI 1: Separata produkter
- OEM-variant: leverera under typgodkännandeflöde
- Eftermarknadsvariant: CRA-kompatibel
- Tydlig produktdifferentiering

STRATEGI 2: CRA-efterlevnad för alla
- Tillämpa CRA på alla varianter
- Överstiger OEM-krav ändå
- Förenklad efterlevnadshantering
- Enhetlig produktdokumentation

STRATEGI 3: Nivåindelat tillvägagångssätt
- Grundläggande säkerhet för alla (ISO 21434)
- Ytterligare CRA-element för eftermarknaden
- Gemensam kärndokumentation

Branschstandarder och resurser

Relevanta standarder

CYBERSÄKERHETSSTANDARDER FÖR FORDONSBRANSCHEN

ISO/SAE 21434: Vägfordon - Cybersecurity engineering
UN-förordning 155: Cybersäkerhet (CSMS)
UN-förordning 156: Programvaruuppdatering (SUMS)

STÖDJANDE STANDARDER:
ISO/SAE 8000: CSMS-revision
ISO 24089: Programvaruuppdateringsteknik
AUTOSAR cybersäkerhetsspecifikationer
SAE J3061: Cybersäkerhetshandbok

LADDNINGSSPECIFIKT:
IEC 61851: EV-laddning
OCPP (Open Charge Point Protocol)
ISO 15118: V2G-kommunikation

Branschorganisationer

Checklista för fordonsprodukter

CRA-CHECKLISTA FÖR FORDONSPRODUKTER

KLASSIFICERING:
[ ] Täcks produkten av typgodkännande? (Undantagen om ja)
[ ] Är det en eftermarknadsprodukt? (CRA gäller)
[ ] Är det en reservdel? (Bedöm undantagsgrunden)
[ ] Är det laddningsinfrastruktur? (Vanligtvis CRA)

OM CRA GÄLLER:
[ ] CRA-klassificering fastställd
[ ] Bedömningsväg för överensstämmelse vald
[ ] Teknisk dokumentation förberedd

TEKNISK EFTERLEVNAD:
[ ] ISO/SAE 21434-samordning utnyttjad
[ ] Implementering av säkerhet som standard
[ ] Fordonsnätverkssäkerhet (om tillämpligt)
[ ] Uppdateringsmekanism
[ ] SBOM-generering
[ ] Sårbarhethantering

DOKUMENTATION:
[ ] Riskbedömning (TARA-metodik fungerar)
[ ] Säkerhetsarkitektur
[ ] Användardokumentation
[ ] Försäkran om överensstämmelse
[ ] CE-märkning

SÄRSKILDA ÖVERVÄGANDEN:
[ ] Fordonsdata-integritet (GDPR)
[ ] Säkerhetskonsekvenser bedömda
[ ] OEM-krav (vid leverans)

Viktigt: Fordon är undantagna från CRA (täcks av UN R155/R156). Eftermarknadstillbehör, diagnosverktyg och uppkopplade tjänster INGÅR dock i tillämpningsområdet.

Tips: Om du levererar komponenter till fordons-OEM OCH säljer eftermarknadsprodukter kan du behöva CRA-efterlevnad endast för eftermarknadslinjen.

Relaterade guider:

• CRA-produktklassificering: Är din produkt standard, viktig eller kritisk?
• CRA leverantörs due diligence: Frågeformulär och verifieringsprocess

Hur CRA Evidence hjälper

För eftermarknadsprodukter inom fordonsbranschen som kräver CRA-efterlevnad:

• ISO/SAE 21434-mappning: Utnyttja befintligt fordonsäkerhetsarbete
• SBOM för inbyggda system: Stöd för fordonskomponenter i firmware
• Sårbarhetsspårning: Samordning av fordonsförsörjningskedjan
• Hantering av flera produkter: Hantera produktfamiljer över kanaler
• Generering av teknisk dokumentation: Fordonsanpassade mallar

Starta din CRA-efterlevnad på craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, särskilt avseende typgodkännandesgränser, konsultera kvalificerade regulatoriska rådgivare.