English version:
The after-effects of the CSMS certification required for market access in Korea, based on UN R155, are multifaceted. They do not play out in isolation within individual OEMs; they have also become a topic in the discussions around amending a free trade agreement (FTA) between the European Union and Korea.
How are the two connected?
From the perspective of the OEMs that, over recent months, have had to address KATRI’s questions on how UN R155 requirements are implemented in Korea – questions that had to be answered in order to obtain the CSMS certification required as the basis for continued market access – this was anything but a “compliance exercise”, or, as others might put it, “a walk in the park”.
Starting with the specific CSMS requirements, which – as tertiary law – had not yet completed the formal legislative process and therefore remained a moving target, to the rather peculiar incorporation of a technical standard as the backbone of a binding governmental audit catalogue-compliance with which the authority treated as a prerequisite for passing the audit- through to an assessment approach that often appeared detached from practical realities: in places, it gave the impression that the broader end-to-end vehicle development context was being lost, and that theoretical siloed knowledge was instead shaping the agenda of audit questions. Taken together, these aspects made audit experiences with other regulators and authorities – such as Germany’s KBA or China’s CATARC – look like comparatively predictable and professional exchanges between actors operating on equal footing. (For a detailed account of a CSMS audit in Korea, see my esteemed colleague FelixRoth.)
KATRI has now, at MOLIT’s request, consolidated its learnings from the initial audits of predominantly European OEMs in the Korean market and categorised its observations by focus areas – an exercise that, when read carefully, will in places elicit an astonished “WTF!” from the attentive reader. This is not meant as a slight against KATRI. Of course, there are findings that stem from a (misguided) interpretation of mandatory implementation of an automotive cybersecurity standard and the CSMS as a process framework by the OEM, or from a normatively questionable narrowing of terms that inherently require interpretation and discretionary leeway. But there are also many observations whose root causes lie in processes that some OEMs would describe as “compliance underwear”: practices whose proper implementation should already follow from an OEM’s own understanding of what it means to ensure the cyber-secure operation of a vehicle, and whose evidence in prior CSMS certifications in other markets – such as Germany or China – should be day-to-day business for automotive cybersecurity governance. Reviewing that latter set of findings more or less validates one’s own emphasis and prioritisation when building and operating one’s management system.
If one places KATRI’s results list from these initial audit activities into the broader context of aligning regulatory market requirements for automotive cybersecurity, the link to the FTA discussions between Korea and the European Union becomes clear – specifically, the question of recognising CSMS certifications issued in EU Member States on the basis of UN R155. The attentive reader will know that Korea is also a 1958 Agreement Contracting Party, i.e., it recognises UN R155, but has reserved the right to regulate the operational implementation of UN R155 in a country-specific manner. This includes the specifc form of the CSMS as the management framework for automotive cybersecurity. In that light, KATRI’s consolidated “deficiency list” can be seen as an illustrative expression of the market-specific character that Korea intends for its automotive cybersecurity regulation. If one follows this line of reasoning, it is internally consistent for the Korean regulator to consider any UN R155 CSMS certification conducted outside Korea as insufficient, and to insist instead on a local CSMS certification.
For a globally operating OEM, this is, of course, an unfortunate situation. There is a global trade arrangement that aims to establish a homogeneous, reliable, and binding basis for cross-market recognition of vehicle-related cybersecurity activities and certifications – yet the operationalisation of that arrangement results in regulatory fragmentation that can ultimately only be contained through market-specific activities. The consequence is compliance cost that does not necessarily increase the product’s cybersecurity. Rather, it primarily serves to nourish the supervisory authority’s comfort in the respective market: if a cybersecurity-relevant incident occurs, it can “wash its hands clean” when asked what it did to fulfil its oversight duty – i.e., compliance for the filing cabinet, or, put bluntly, “cover my ass”.
However, it would be too simplistic to point a finger at Korea and solemnly invoke the spirit of the WP.29 framework behind UN R155. The problem runs much deeper. The highly divergent outcomes of CSMS audits of European OEMs in Korea – particularly with regard to those “underwear topics” such as methodology and practice of mandatory risk analysis, or field and fleet monitoring including in-vehicle intrusion detection – make it clear that auditing practice varies significantly even within Europe. It is an open secret that in some EU Member States a CSMS certification is relatively easy to obtain, whereas in others one faces a large number of critical questions which, in the context of the enterprise as a whole, can push the budget required to reach the demanded vehicle security level in a compliance-satisfactory way to quite considerable heights. Against that backdrop, it is also understandable when, for example, Germany’s KBA insists – when granting a type approval in Germany – that the CSMS required for that approval, as a normatively mandated management system, must likewise have a local certificate.
This brings us to the bottom line of the debate: if we cannot even establish a consistent, trust-based auditing practice for automotive cybersecurity within the European Union on the basis of UN R155, how do we expect to speak with one voice towards trading partners and insist on compliance with an agreement that evidently leaves so much discretion to supervisory authorities? Perhaps the European Commission should first take the time to resolve these operational questions in the context of the EU-wide implementation of Regulation (EU) 2019/2144, instead of continuously opening new regulatory construction sites that then have to be incorporated into the existing body of EU law through ever-new harmonisation efforts – the Cybersecurity Act, EU ICTS, ECCF and the Digital Omnibus send their regards.
Deutsche Version:
Die Nachwirkungen der für den Markt Korea notwendigen CSMS-Zertifizierung auf der Grundlage der UN R155 sind vielfältig und wirken nicht nur singulär bei den einzelnen OEMs, sondern sind auch Gegenstand von Diskussion im Rahmen der Vereinbarung eines Handelsabkommens zwischen der Europäischen Union und Korea.
Wie hängt beides zusammen?
Aus Sicht der OEM, die sich in den letzten Monaten den Fragen der KATRI bzgl. der Umsetzung der UN R155-Anforderungen im Markt in Korea stellen mussten, um die erforderliche CSMS-Zertifizierung als Grundlage zur den weiteren Marktzugang zu erhalten, war dies wahrlich keine “Compliance-Übung” – oder wie man anderenorts zu sagen pflegt: „a walk in the park“.
Angefangen von den spezifischen CSMS-Anforderungen, die als Teritiärrecht noch nicht den normativen Gesetzgebungsprozess bis zum Ende durchlaufen hatten und insoweit ein “moving target” bildeten, über die befremdlich anmutende Inkorporierung eines technischen Standards als Gerüst eines bindenden behördlichen Prüfkatalogs, dessen Erfüllung als Voraussetzung für das Bestehen des Audits von der Behörde angesehen wurde bis hin zur wenig praxisbezogenen Prüfweise, die beim geneigten Betrachter den Eindruck aufkommen ließ, dass hier und dort der generelle Blick auf das Große und Ganze in Bezug auf den Fahrzeugentwicklungsprozess verloren ging und stattdessen theoretisches Inselwissen die Agenda von Prüfungsfragen determinierte – all diese Aspekte ließen Prüfungserfahrungen mit anderen Regulatoren und deren Behörden, wie dem deutschen KBA oder der chinesischen CATARC, wie einen wohlplanbaren und professionellen Austausch zwischen auf Augenhöhe agierenden Akteuren erscheinen. Einen detaillierten Erfahrungsbericht zu einem CSMS-Audit in Korea findet sich im Übrigen bei meinem geschätzten Kollegen FelixRoth.
Nun hat die KATRI auf Veranlassung der MOLIT ihre Erfahrungen aus der initialen Auditierung von vorwiegend europäischen OEM im koreanischen Markt zusammengefasst und ihre Beobachtungen nach Schwerpunkten kategorisiert, die dem geneigten Leser beim genaueren Durchlesen an mancher Stelle ein erstauntes “WTF!” entlocken. Und dies ist dabei nicht einmal despektierlich gegenüber der KATRI gemeint: Klar – es gibt Punkte, die aus dem (fehlgeleiteten) Verständnis der verpflichtenden Implementierung eines Standards zur Automotive Cybersecurity und dem CSMS als Prozess-Framework durch den OEM oder aber der normativ nicht nachvollziehbaren Einengung von auslegungsbedürftigen Begrifflichkeiten oder Ermessenspielräume herrühren. Aber häufig finden sich auch Feststellungen, deren Ursachen in Prozessen liegen, die manche OEM als “Compliance-Unterwäsche” bezeichnen würden – d.h. deren sachgerechte Umsetzung allein schon aus dem Selbstverständnis des OEMs in Bezug auf die Gewährleistung eines cybersicheren Betriebs eines Fahrzeugs folgt und deren Nachweis im Rahmen von bisherigen CSMS-Zertifizierungen in anderen Märkte wie Deutschland oder China zum Brot-und-Butter-Geschäft einer Automotive Cybersecurity-Governance zählen sollte. Geht man gerade die Liste der letztgenannten Feststellungen durch, bestätigt dies mehr oder minder die eigene Akzentuierung und Prioritätensetzung beim Aufbau und Betrieb des eigenen Managementsystems.
Rückt man diese Ergebnisliste der KATRI aus den initial durchgeführten Prüfungshandlungen nunmehr in den größeren Kontext der Angleichung von regulatorischen Marktanforderungen zur Automotive Cybersecurity, so schließt sich der Kreis zu den Diskussionen im Rahmen der Anpassung des Handelsabkommens (FAT) zwischen Korea und der Europäischen Union, in der es auch im die Anerkennung von CSMS-Zertifizierung aus Mitgliedsländern der europäischen Union geht, die auf der Grundlage der UN R155 erteilt wurden. Der geneigte Leser wird wissen, dass auch Korea ein 1958er Vertragsstaat ist, d.h. die UN R155 anerkennt, sich jedoch vorbehalten hat, die operative Umsetzung der UN R155 landesspezifisch zu regeln, was auch die Ausprägung des CSMS als dem Management-Framework für die Automotive Cybersecurity betrifft. Insoweit könnte man die Zusammenführung der “Mängelliste” durch die KATRI als exemplifizierten Ausdruck der gewünschten Marktspezifik der Automotive Cybersecurity-Regulierung in Korea ansehen. Folgt man dieser Argumentation, ist es aus Sicht des koreanischen Regulators auch nur konsequent, jedwede CSMS-Zertifizierung gem. UN R1^55, die außerhalb Koreas durchgeführt wurde, als nicht hinreichend anzuerkennen, sondern auf einer lokalen CSMS-Zertifizierung zu bestehen.
Aus Sicht eines global agierender OEM ist dies freilich ein misslicher Zustand: Da existiert eine globale Handelsvereinbarung, die sich zum Ziel gesetzt hat, eine homogene, verlässliche und bindende Grundlage für die marktübergreifende Anerkennung von fahrzeugbezogenen Cybersecurity-Aktivitäten und Zertifizierungen zu etablieren – und dennoch führt dann die Operationalisierung dieser Handelsvereinbarung zu einem regulatorischen Wildwuchs, den man letztendlich nur durch marktspezifische Aktivitäten wieder einfangen kann. In der Konsequenz werden hierdurch Compliance-Kosten generiert, die nicht zwingend zur Erhöhung der Cybersicherheit des Produkts beitragen. Vielmehr wird nur das wohlige Gefühl der Aufsichtsbehörde im jeweiligen Markt genährt, dass wenn ein Cybersecurity-relevantes Ereignis eintritt, man die eigenen Hände in Unschuld waschen kann, wenn man selbst von einer Aufsichtsbehörde gefragt wird, was man getan hat, um seiner Aufsichtspflicht nachzukommen -mithin also Compliance für die Schublade oder wenn man es böse ausdrücken will für “cover my ass”.
Nun wäre es allerdings zu kurz gesprungen, mit dem erhobenen Finger auf Korea zu zeigen und mahnend den Geiste des WP.29 Abkommens zur UN R155 zu beschwören. Vielmehr liegt das Problem viel tiefer: Die sehr unterschiedlichen Ergebnisse der CSMS-Auditierung von europäischen OEMs in Korea gerade bezüglich der “Unterwäsche-Themen” wie Methodik und Praxis der verpflichtenden Risikoanalyse oder Feld- und Flottenmonitoring einschließlich Intrusion Detection im Fahrzeug etc. machen deutlich, dass die Prüfungspraxis schon innerhalb von Europa ein sehr unterschiedliches Niveau aufweist – nicht umsonst gilt es als offenes Geheimnis, dass eine CSMS-Zertifizierung in bestimmten Mitgliedsländern der Europäischen Union eher leicht zu erlangen ist, während man in anderen Ländern sich einer Vielzahl kritischer Fragen stellen muss, die im Gesamtunternehmenskontext das zu planende Budget für die ´Compliance-gerechte Erreichung des geforderten Sicherheitsniveaus für das Fahrzeug in durchaus beachtliche Höhen katapultiert. Insoweit ist es dann auch verständlich, wenn beispielsweise das deutsche KBA für eine zur erteilende Typgenehmigung in Deutschland darauf besteht, dass das hierfür erforderliche CSMS als normativ gefordertes Managementsystem ebenfalls ein lokales Zertifikat aufweist.
Hiermit haben wir dann auch die “bottom line” der Diskussion erreicht: Wenn wir nicht einmal innerhalb der Europäischen Union eine konsistente, von Vertrauen geprägte Prüfungspraxis zur Automotive Cybersecurity basierend auf der UN R155 etablieren können, wie wollen wir dann als europäischer Markt gegenüber Handelspartnern weltweit mit einer Stimme auftreten und auf die Einhaltung einer Vertragsvereinbarung dringen, die offenkundig so viel Spielraum auf Seiten der Aufsichtsbehörden eröffnet? Vielleicht sollte sich die EU Kommission zunächst einmal die Zeit nehmen, diese operativen Fragen im Kontext der europaweiten Umsetzung der Regulation (EU) 2019/2144 zu klären, statt ständig neue regulatorische Baustellen aufzumachen, die dann wiederum mit immer neuen Harmonisierungsbemühungen in das bestehende Gemeinschaftsrecht inkorporiert werden müssen – Cybersecurity Act, EU ICTS, ECCF und Digitaler Omnibus lassen grüßen!
