Den Cyber Resilience Act und seine Auswirkungen auf die Automobilindustrie verstehen

Mit der fortschreitenden Digitalisierung werden Fahrzeuge zunehmend zu „Computern auf Rädern“. In diesem Zusammenhang gewinnt Cybersicherheit erheblich an Bedeutung. Moderne Fahrzeuge sind vernetzt und stark softwarebasiert – ein effektiver Schutz vor Cyberbedrohungen ist daher unerlässlich, um Sicherheit, Funktionalität und Vertrauen nachhaltig zu gewährleisten.

Der Cyber Resilience Act (CRA) ist ein neues europäisches Gesetz, das darauf abzielt, die Cybersicherheit digitaler Produkte deutlich zu stärken. Auch wenn Fahrzeuge als Gesamtsysteme nicht unmittelbar unter den CRA fallen – da sie bereits durch sektorspezifische Vorschriften reguliert sind – betrifft das Gesetz dennoch zahlreiche digitale Komponenten und Systeme innerhalb moderner Fahrzeuge.

Dieser Artikel erläutert in allgemeinverständlicher Form, worum es beim CRA geht und welche Auswirkungen er auf die Automobilindustrie haben kann.

Wie Cybersicherheit in der Automobilindustrie bereits reguliert wird

Mit dem Fortschritt hin zu vernetzten und zunehmend autonomen Fahrzeugen gewinnt Cybersicherheit in der Automobilbranche stetig an Bedeutung. Fahrzeughersteller sind bereits heute verpflichtet, umfassende Cybersicherheitsvorgaben einzuhalten, um die Integrität, Sicherheit und Verfügbarkeit ihrer Systeme zu gewährleisten. Zu den zentralen Regelwerken zählen:

• UNECE Regelungen R155 und R156: Diese Vorschriften verpflichten Fahrzeughersteller zur Implementierung von Cybersicherheits-Managementsystemen (CSMS) sowie zur Gewährleistung sicherer Over-the-Air-Updates (OTA).
1. o R155 verlangt ein kontinuierliches Risikomanagement über den gesamten Fahrzeuglebenszyklus hinweg und schützt vor Hacking, unbefugtem Zugriff und anderen Cyberrisiken.
2. o R156 legt den Fokus auf die Sicherheit und Integrität von Software-Updates.
• Allgemeine Sicherheitsverordnung für Fahrzeuge (EU 2019/2144): Diese Verordnung stellt sicher, dass Fahrzeuge spezifische Cybersicherheitsanforderungen erfüllen. Sie verweist explizit auf UNECE R155 und fordert die Umsetzung eines CSMS durch die Hersteller.
• ISO/SAE 21434: Ein international anerkannter Standard zur Cybersicherheit im Automobilbereich. Er definiert Prozesse zur Identifikation und zum Management von Cybersicherheitsrisiken über den gesamten Produktlebenszyklus hinweg – von der Entwicklung bis zur Außerbetriebnahme. Zentrale Elemente sind strukturierte Risikoanalysen (TARA) und die durchgängige Integration von Sicherheitsmaßnahmen.

Gemeinsam bilden die genannten Regelwerke das Fundament der Cybersicherheit in der Automobilbranche und adressieren sowohl sicherheitskritische Systeme als auch zentrale digitale Fahrzeugkomponenten. Der Fokus liegt dabei vor allem auf Systemen mit direktem Einfluss auf die Fahrzeugsicherheit – etwa Brems- und Lenksysteme.

Digitale Komponenten wie Infotainmentsysteme, Fahrzeug-Apps oder Software von Drittanbietern werden jedoch bislang nur unzureichend erfasst. Genau an dieser Stelle setzt der Cyber Resilience Act (CRA) an und schließt eine bedeutende regulatorische Lücke.

Was ist der Cyber Resilience Act (CRA)?

Der Cyber Resilience Act (CRA) ist eine neue EU-Verordnung, die darauf abzielt, die Cybersicherheit digitaler Produkte über ihren gesamten Lebenszyklus hinweg zu stärken. Hersteller und Anbieter werden verpflichtet, ihre Hard- und Softwareprodukte sicher zu gestalten, regelmäßige Sicherheitsupdates bereitzustellen und sie wirksam gegen Cyberbedrohungen abzusichern.

Aber gelten für Fahrzeuge nicht bereits Cybersicherheitsvorgaben?

Ja, Fahrzeuge selbst unterliegen bereits bestehenden Regelungen – insbesondere der EU-Verordnung 2019/2144 sowie der UN-Regelung R155. Der CRA greift jedoch ergänzend für zahlreiche digitale Systeme und Softwarekomponenten innerhalb von Fahrzeugen, die bislang nicht im Fokus der sektorspezifischen Vorschriften stehen.

Welche Fahrzeugsysteme fallen unter den Geltungsbereich des Cyber Resilience Act (CRA)?

Während sicherheitskritische Fahrzeugfunktionen wie Bremsen und Lenkung bereits durch bestehende Vorschriften abgedeckt sind, betrifft der CRA eine Vielzahl weiterer digitaler Komponenten und Softwarelösungen im Fahrzeugumfeld. Dazu zählen insbesondere:

1. Infotainment- und Navigationssysteme – Zentraleinheiten mit Webbrowsern, Streaming-Funktionen oder Navigationssoftware.
2. Software für Fernzugriff und Flottenmanagement – Anwendungen zur Fernüberwachung, -wartung oder -steuerung von Fahrzeugen.
3. Over-the-Air (OTA) Update Systeme – Softwarelösungen zur Aktualisierung nicht sicherheitskritischer Funktionen wie Infotainment oder Apps.
4. Verbundene Geräte und Netzwerkschnittstellen – Drahtlose oder kabelgebundene Schnittstellen (z. B. WLAN, Bluetooth, Ethernet), die externen Zugriff ermöglichen.
5. Drittanbieter-Apps und -Software – Externe Anwendungen – etwa für Musikstreaming oder Navigation – die in das Fahrzeug integriert werden.
6. Nachrüstbare IoT Geräte – Komponenten wie GPS-Tracker, Telematiksysteme oder intelligentes Zubehör, die mit der Fahrzeugsoftware interagieren.

Da diese Komponenten nicht zu den sicherheitsrelevanten Fahrzeugsystemen zählen, fallen sie häufig nicht unter bestehende Regularien im Kfz-Bereich. Der Cyber Resilience Act sorgt dafür, dass auch sie künftig strengen Cybersicherheitsanforderungen genügen müssen.

Welche Auswirkungen hat der Cyber Resilience Act auf Automobilhersteller und Zulieferer?

Auch wenn der CRA nicht unmittelbar für komplette Fahrzeuge gilt, hat er weitreichende Implikationen für die Automobilbranche. Hersteller und Zulieferer sind künftig verpflichtet sicherzustellen, dass:

• alle digitalen Komponenten den CRA-Cybersicherheitsstandards entsprechen (einschließlich Software von Drittanbietern und nachrüstbaren Geräten).
• Cybersicherheit von Beginn an in den Entwicklungsprozess integriert wird (Security by Design).
• regelmäßige Sicherheitsupdates und Patches für digitale Produkte bereitgestellt werden.
• Sicherheitsprüfungen vor dem Inverkehrbringen digitaler Produkte auf dem EU-Markt durchgeführt werden.

Unternehmen, die Software, vernetzte Komponenten oder digitale Dienste für Fahrzeuge anbieten, müssen die CRA-Konformität sicherstellen, um auch künftig im europäischen Markt agieren zu können.

Fazit: Der Cyber Resilience Act als Ergänzung bestehender Cybersicherheitsvorgaben in der Automobilindustrie.

Der Cyber Resilience Act (CRA) ersetzt nicht die bestehenden Cybersicherheitsvorschriften im Automobilbereich, sondern erweitert sie gezielt. Während sicherheitskritische Systeme – etwa Bremsen und Lenkung – bereits durch Regelwerke wie die EU-Verordnung 2019/2144 und die UN-Regelung R155 abgedeckt sind, stellt der CRA sicher, dass auch alle weiteren digitalen Komponenten und Softwarelösungen hohen Cybersicherheitsstandards genügen.

Mit der zunehmenden Vernetzung und Softwareabhängigkeit moderner Fahrzeuge übernimmt der CRA eine zentrale Rolle beim Schutz des gesamten automobilen Ökosystems – insbesondere in Bereichen, die bislang nicht vollständig durch klassische Kfz-Regularien erfasst wurden.

Für Fahrzeughersteller, Zulieferer und Drittanbieter von Software bedeutet dies: Sie müssen ihre Prozesse und Produkte an die neuen Anforderungen anpassen, um die CRA-Konformität sicherzustellen und weiterhin Zugang zum europäischen Markt zu behalten.