smartnuts … the world on the cabaret-style dissecting table

NIS2-Regulierung wird Produktübergriffig

N

Mitte Januar 2025 hat das Bureau of Industry and Security („BIS“) des US-Handelsministeriums die finale Fassung der im September 2024 als Bekanntmachung eines Regulierungsvorhabens (NPRM) gestarteten Rule mit dem Titel „Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles“ (nachfolgend kurz als “Rule on Connected Vehicles” bezeichnet) veröffentlicht. Diese Regulierung verbietet den Verkauf oder Import von Fahrzeugen, die bestimmte Hardware und Software integrieren, oder von separat verkauften Komponenten mit einer ausreichenden Verbindung zu China oder Russland.1

Es ist absehbar, dass diese Regulierung eine erhebliche Auswirkung sowohl auf die OEMs als auch auf deren Zulieferer haben wird, die Fahrzeuge oder Komponenten/ECUs in die Vereinigten Staaten importieren.

Das eigentlich Interessante an diesen Vorgängen ist allerdings der Fakt, dass die Vereinigten Staaten, die die vorgenannte Regulierung aus wirtschaftsprotektionistischen oder vielleicht auch sicherheitspolitischen Gründen auf den Weg gebracht haben, auch von ihrern “Alliierten” eine gleichlautende Regulierung erwarten, die Fahrzeug mit ECUs und/oder Software-Umfängen aus China und Russland vom europäischen Markt ausschließt.

Dass diese Hoffnung der Amerikaner nicht bar jeder Realität ist, wird durch die geradezu im Stakkato aufschlagenden Regulierungsvorhaben der EU-Kommission zur Cybersecurity-Regulierung deutlich, die insbesondere durch die “Front Runner” DG Grow und DG Connect exekutiert werden.

Und hier schließt sich nunmehr der Kreis von NIS2 und der Produktregulierung von Fahrzeugen aus dem Blickwinkel der Automotive Cybersecurity: Ursprünglich zielte die NIS2-Richtline auf IT-Infrastrukturen in kritischen Sektoren und sowie auf Verantwortung deren Betreiber im weitesten Sinne. Die Cybersicherheit von Produktion dagegen sollte durch die NIS2 nicht erfasst werden. Nachdem aber die Freunde westlich des großen Wasser mit der wenig subtilen Formulierung ” … die USA fordern die EU als Alliierte der USA auf …” um die Ecke bogen, fühlte sich die Kommission offenkundig unter Zugzwang gesetzt. Zugzwang führt in der Regel zu operativer Hektik und Betriebsamkeit – so auch hier: Die Europäische Kommission griff das Ansinnen der US-Administration in ihrem EU Automotive Action Plan on Cybersecurity auf und lies verlautbaren, dass sie in Abstimmung mit nationalen und internationalen Partnern Maßnahmen ergreifen werde, um die von vernetzten und automatisierten Fahrzeugen ausgehenden Sicherheitsrisiken zu bewerten und ggf. mit legislativen Mitteln zu regulieren.

Die Optionen, die sich der EU-Kommission hierbei bieten, sind freilich überschaubar:

  • Auf der einen Seite könnte man beschließen, dass die EU dem US-amerikanischen Beispiel folgt und ein Importverbot für Fahrzeuge und HW-/SW-Komponenten aus China und Russland analog zur US-Rule ausspricht. Dumm nur, dass dieser Weg ganz offensichtlich zu einer reziproken Reaktion Chinas führen würde mit der Konsequenz, dass der chinesische Markt für die europäischen Automobilhersteller sprichtwörtlich gestorben ist. Für die Mehrzahl der großen europäischen Automobilherstellter ist dies sicher nicht der präferierte Weg, da diese durch die Bank zwischen 25 und 30 Prozent ihrer Fahrzeuge im chinesischen Markt absetzen.
  • Auf der andere Seite hätte die EU die Möglichkeit, unter Betonung ihrer wirtschaftspolitischen Souveränität einen eigenen, sog. “European Way” zu propagieren, der sich vom US-amerikanischen Herkunftslandprinzip löst und das intendierte Sicherheistsniveau von Connceted Vehicles von bestimmten technisch-prozeduralen Maßnahmen abhängig macht, die dann jedoch über die sektorspezifische Regulierung der VO (EU) 2019/2144 i.V.m. der UN-R155 hinausgehen würde.
  • Letztlich könnte die EU-Kommission auch beschließen, nichts zu tun und das Gejammer der Amerikaner mit Stolz zu ertragen. Aber dann wäre eben auch der amerikanische Markt für die Europäer nicht mehr zugänglich (was wirtschaftlich wiederum die gleichen Folgen hätte wie ein Marktzugangsverbot in China: 20-30 Prozent des Fahrzeugumsatzes würden wegbrechen).

Man muss kein Hellseher sein, um die Prognose zu wagen, dass aus den vorgenannten drei Alternativen (ggf. mit unterschiedliche Nuancen/Geschmacksrichtungen) nur eine Alternative übrig bleibt – nämlich die der eigenen Regulierung ohne Bezugnahme auf die Herkunft eines Fahrzeugs bzw. der dort verbauten Hardware und/oder Software.

Aus Sicht der Beamten in den Generaldirektionen DG Grow und DG Connect ist die NIS2 und der in deren Fahrwasser entstandenen “Enablern” wie bspw. die EUCC ein geradezu ideales Umfeld, um auch vernetzte Fahrzeug als sog. kritische Infrastrukturen regulativ zu erfassen. Auf der einen Seite kann man diesbezügliche materielle Anforderung recht zügig in das schon bestehende Regulierungsumfeld mit einbringen. Auf der anderen Seite kann man die so statuierten Anforderung durch Zertifizierungsanforderungen auch über die Lieferkette hinweg formal auditieren und mit einem “Cyber-Label” versehen. Quasi eine Win-Win-Situation.

Gerade das europäische Cybersicherheits-Zertifizierungssystem auf Basis der Common Criteria (EUCC), das im Februar 2024 in Kraft getreten ist, spielt hierbei eine bedeutsame Rolle: Es ermöglicht IKT-Anbietern, Produkte wie Smartcards, Chips oder Software auf freiwilliger Basis anhand eines harmonisierten, sicherheitsbasierten Rahmens zu zertifizieren. Das Zertifizierungsschema des EUCC basiert auf dem Bewertungsmodell „SOG-IS Common Criteria“, das bereits in 17 Mitgliedstaaten verwendet wird. Die EUCC ist zwar freiwillig, aber sowohl für NIS2 als auch für den Cyber Resilience Act (CRA) relevant. Mit Blick auf die Anwendbarkeit der EUCC im Kontext der NIS2 können die Mitgliedstaaten wesentliche und wichtige Einrichtungen zur Verwendung von EU-Zertifizierungssystemen wie EUCC verpflichten. Dies wäre dann der Einsprungpunkt für die Zertifizierung von Hard- und Software in vernetzten Fahrzeugen und damit schließt sich dann der Kreis zur Erwähnung der NIS2 im „Industrial Action Plan for the European automotive sector“ der EU-Kommission.

  1. Die sog. US-Rule on Connected Vehicles ist hier strikt vom NDAA Sec. 5949 zu unterscheiden, obwohl beide Vorgaben der US-Administration materiell auf das gleiche Problem zielen – nämlich die Marktzugangsregulierung für Produkte. Beim NDAA Sec. 5949 handelt es sich um Einkaufsvorschriften für Behörden und Großabnehmer nach dem National Defence Authorization Act. Dieser NDAA Sec. 5949 wird in der Regel pro Fiskaljahr aktualisiert. Wenn ein Produkthersteller weiterhin bei der Ausschreibung solcher Beschaffungen berücksichtigt werden will, muss dieser entsprechend compliant sein. Die entsprechende Änderung des NDAA, die u.a. auf vernetzte Fahrzeuge bzw. deren Komponenten und Software fokussiert (Scope: any electronic parts, products, or services that include covered semiconductor products or services from certain Chinese companies) wurde im Dezember 2022 von Joe Biden ausgefertigt und tritt 5 Jahre nach Ausfertigung, also im Dezember 2027 in Kraft. Die “Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles” Rule oder kürzer: „Rule on Connected Verhicles“ dagegen regelt die Einfuhr sämtlicher Fahrzeug in die Vereinigten Staaten und zwar unabhängig davon, ob sie von Behörden oder Flottenbetreiber angeschafft werden sollen (Scope: Connected vehicles integrating specific hardware and software, or those components sold separately, with a sufficient nexus to China or Russia). ↩︎

About the author

Michael Bunzel

Michael Bunzel (aka maschasan) is a lawyer and engineer currently living in Germany. He has been working in the field of Cybersecurity and related laws and regulations for over 25 years now.

Mike took on various roles and functions in the context of Information Security, Cybersecurity, and SCADA/Shopfloor Security at a German car manufacturer in southern Germany for more than fifteen years - currently in the R&D resort, with focus on E/E-systems in the context of automotive cybersecurity and related regulations in different markets (e.g. UN, EU, China, Korea, India, US, and others).

Mike has worked with global organizations across dozens of countries, cultures and languages, well-travelled in EMEIA, APAC and the Americas.

All articles in this blog do NOT reflect the opinion of his employer, but are all an expression of his personal view of things.

By Michael Bunzel
smartnuts … the world on the cabaret-style dissecting table

Get in touch

Tags