Zavedení předpisu UNECE R155 představuje pro automobilový průmysl legislativní revoluci. Pro automobilky (OEM) to znamená jediné: žádné nové vozidlo nedostane typové schválení (homologaci) pro provoz na pozemních komunikacích, pokud výrobce neprokáže, že je vůz bezpečný proti kybernetickým útokům. Tento striktní požadavek má však obrovský dopad i na všechny dodavatele v rámci celého dodavatelského řetězce.
Systém CSMS jako vstupenka do byznysu
Hlavním požadavkem legislativy je prokázání certifikovaného systému řízení kybernetické bezpečnosti – CSMS (Cyber Security Management System). Automobilka musí prokázat funkčnost CSMS nejen u sebe, ale v přenesené míře i u svých dodavatelů komponent (Tier 1, Tier 2). Pokud dodavatel mechatronických či softwarových dílů nemá zavedené procesy odpovídající normě ISO/SAE 21434, stává se pro automobilku obrovským rizikem a bude z dodavatelského řetězce vyřazen.
Klíčová role Cybersecurity Interface Agreement (CIA)
Jelikož se na vývoji vozu podílí stovky firem, legislativa vyžaduje jasné vymezení toho, kdo ručí za jakou část zabezpečení. K tomu se využívá dokument nazvaný Cybersecurity Interface Agreement (CIA). Jde o formální dohodu mezi zákazníkem a dodavatelem, která přesně specifikuje rozdělení odpovědností – například kdo zajistí penetrační testy, kdo vygeneruje šifrovací klíče a kdo nese odpovědnost za softwarové aktualizace během provozu (což doplňuje související předpis UNECE R156).
Od formálních procesů k reálným důkazům
Zákaznické audity v automotive již nezkoumají pouze formální existenci směrnic. Dodavatelé musí předložit konkrétní důkazy, že bezpečnost budují principem Security by Design. To znamená předložení reálných výstupů z analýzy TARA, dokladování plánu řízení incidentů a prokázání schopnosti rychle reagovat na nově odhalené zranitelnosti (tzv. zero-day útoky). Připravit firmu na tyto požadavky vyžaduje nejen školení zaměstnanců, ale i často změnu celé firemní kultury.