WP.29-R155 汽车网络安全法规解读

1 术语定义

WP.29： 世界车辆法规协调论坛
UN R155： 关于网络安全和网络安全管理体系的车辆认证的统一规定
网络安全： 指的是一种状态，在这种状态下，道路车辆及其功能应当免受来自电子电气组件方面的网络完全威胁

2 法规适用范围

1）本法规适用于M类和N类车辆的网络安全；
2）本法规亦适用于安装至少一个电子控制装置的O类车辆

M类：至少具有4个车轮的专为人员运输而设计的车辆，并进一步根据座位和质量分为：M1、M2、M3
	M1：包括驾驶员在内不超过9个座位，且最大载重不超过3.5吨
	M2：包括驾驶员在内超过9个座位，且最大载重不超过5吨
	M3：包括驾驶员在内超过9个座位，且最大载重超过5吨
N类：至少具有4个车轮的专为货物运输而设计的车辆，并根据质量进一步分为：N1、N2、N3
	N1：最大载重不超过3.5吨
	N2：最大载重超过3.5吨但不大于12吨
	N3：最大载重超过12吨
L类：轻便摩托车、摩托车、机动三轮车和四轮车
O类：拖车

3）本法规同样适用于配备了L3级以上的自动驾驶功能的L6和L7类车辆

3 申请审批

1） 网络安全方面的车型审批申请应由车辆制造商或其合法的代表提交。

2）以下单据一式三份，并附下列事项：
a) 与本法规附录1所列项目有关的车辆类型说明。
b) 如果信息被证明属于知识产权，或属于制造商或其供应商的专有技术，则制造商或其供应商应提供足够的信息，以使本条例所述的检查能够正确进行。此类信息应在保密的基础上处理。
c) 符合本法规第6段规定的CSMS合规证书。

3） 文档被分为两部分：
(a) 批准的正式文件包，包含附录1规定的材料，应在提交型式批准申请时提供给批准机构或其技术服务部门。本文件包应使用由审批机构或其技术服务部门作为审批过程的基本参考。审批机构或其技术服务部门应确保该文件包至少在该车型最终停止生产之日起10年内可用。
(b) 与本法规要求有关的其他材料可由制造商保留，但在型式批准时开放供检查。制造商应确保在型式批准时开放供检验的任何材料至少在该车型确定停止生产之日起10年内仍然可用。

4 标记

1）每辆符合根据本法规认可的车辆型号的车辆，须在批准表格上指明的明显地方，加贴国际认可标志，该标志包括:
在字母“E”周围的圆圈，后面跟着批准国家的编号。
本法规的编号，后面加上字母“R”、破折号和第4.1.1款上所述圆圈右侧的批准编号。

2）如果车辆符合根据本法规批准的国家的协议所附的一项或多项其他法规批准的车辆类型，则第4.1.1款规定的标志上内容无需重复;在这种情况下，在根据本法规给予批准的国家，所有根据本法规给予批准的条例的批准编号和附加符号应放在第4.1.1款规定的符号右侧的纵列中。

3）批准标志应当清晰易读，不可磨灭。

4）认可标志应放置在制造商贴出的车辆数据牌上或附近。

5）本法规附录3给出了批准标志安排的示例

5 批准

1） 审批机构应酌情仅对满足本法规要求的车辆类型授予网络安全方面的型式批准。

（1）审批机构或技术服务部门应通过文件核查的方式核实车辆制造商已采取与该车型相关的必要措施:
	(a) 通过供应链收集和验证本法规要求的信息，以证明与供应商相关的风险已被识别和管理
	(b) 记录风险评估(在开发阶段或追溯进行)、测试结果和适用于车辆类型的缓解措施，包括支持风险评估的设计信息;
	© 在车辆类型设计中实施适当的网络安全措施;
	(d) 检测和应对可能的网络安全攻击
	(e)记录数据，以支持网络攻击的检测，并提供数据取证能力，以分析企图或成功的网络攻击。

（2） 审批机构或技术服务部门应通过对该车型的车辆进行测试来验证车辆制造商是否已实施其记录的网络安全措施。测试应由审批机构或技术服务部门自行或与车辆制造商合作抽样进行。抽样应集中但不限于风险评估中被评估为高的风险。

（3）如果车辆制造商未满足第7.3章节所述的一项或多项要求，则审批机构或技术服务部门应拒绝就网络安全进行型式批准。,特别是:
	(a)车辆制造商没有执行第7.3.3章节所述的详尽的风险评估。包括制造商未考虑附录5 A部分所述威胁相关的所有风险的情况;
	(b)车辆制造商没有保护车辆类型免受车辆制造商风险评估中确定的风险，或者没有按照第7章节的要求实施相应的缓解措施
	©车辆制造商未采取适当和相称的措施，确保该车型(如有)的专用环境用于存储和执行售后软件、服务、应用程序或数据;
	(d)在批准之前，车辆制造商没有进行适当和充分的测试来验证所实施安全措施的有效性。

（4）如果审批机构或技术服务部门未从车辆制造商处获得足够信息以评估该车型的网络安全，则评估审批机构也应拒绝就网络安全授予车型批准。

2）根据本条例批准或延长或拒绝批准一种车型的通知，应以符合本条例附件2中式样的形式，传达给适用本条例的1958年协定缔约方。

3）批准机构不得授予任何型式批准，除非核实制造商已制定了令人满意的安排和程序，以妥善管理本法规所涵盖的网络安全方面。

（1）除1958年协定附表2规定的标准外，批准机构及其技术服务部门应确保:
	(a)具备适当网络安全技能和特定汽车风险评估知识的胜任人员
	(b)根据本条例实施统一评价程序。

（2）适用本条例的每一缔约方应通过其审批机构通知并通知适用本条例的缔约方的其他审批机构，通知机构为评估根据本条例特别是第5.1、7.1和7.3章节采取的措施的适当性所采用的方法和标准。
该信息应在以下情况下共享:
	(a)仅在根据本法规第一次批准之前和
	(b)每次更新评估方法或标准时共享。
共享这些信息的目的是为了收集和分析最佳实践，并确保所有适用本法规的审批机构统一适用本法规。

（3）第5.3.2章节所述的信息应在适当时间内，不迟于根据有关评估方法和标准首次批准前14天，以英文上传至联合国欧洲经济委员会建立的安全互联网数据库“DETA”2。这些信息应足以理解批准机构对第5.3.2章节所述的每项具体要求采用的最低绩效水平，以及其用于验证满足这些最低绩效水平的过程和措施

（4）收到第5.3.2段所述信息的审批机构可以在通知之日起14天内将其上传到DETA，向通知批准机构提交意见

（5）如果批准机构不可能考虑根据第5.3.4章节收到的意见，提出意见的审批机构和给予意见的审批机构应按照1958年协定附表6寻求进一步澄清。世界车辆法规协调论坛(WP.29)关于本法规的相关附属工作组4应就评估方法和标准的共同解释达成一致这一共同解释应予以实施，所有审批机构应根据本法规相应地颁发型式批准。

（6）根据本条例进行型式批准的各审批机构应将批准情况通知其他审批机构。型式审批连同补充文件应在批准deta之日起14天内由批准机构以英文上传

（7）缔约方可根据根据第5.3.6款上传的信息研究授予的批准。如缔约方之间有任何不同意见，应按照1958年协定第10条和附表6解决。各缔约方还应将1958年协定附表6含义范围内的不同解释通知世界车辆规则统一论坛(WP.29)的有关附属工作组。有关工作组应支持解决分歧意见，必要时可就此与WP.29协商。

4）为达成第7.2章节的目标，在本法规中，制造商应确保本法规所涵盖的网络安全方面得到实施。

6 网络安全管理体系合规证书

1 缔约方应指定一个审批机构对制造商进行评估，并颁发CSMS的符合性证书。

2 网络安全管理系统合规证书的申请应由车辆制造商或其正式认可的代表方提交。

3 以下文件一式三份：
描述网络安全管理系统的文件。
使用附录1的附加1中定义的模型的已签署声明。

4 在评估的背景下，制造商应声明使用附录1至附加1中定义的模型，并向批准机构或其技术服务部门证明，他们具有必要的流程，符合本法规规定的所有网络安全要求。

5 当该评估圆满完成并收到制造商根据附录1附加1中定义的模型签署的声明时，应授予制造商本法规附件4中所述的CSMS符合性证书(以下简称CSMS符合性证书)。

6 审批机构或其技术服务部门应使用本法规附件4中规定的模式来制作CSMS符合性证书。

7 除非撤销证书，否则CSMS合规证书自证书交付之日起最长有效期为三年。

8 授予CSMS符合性证书的批准机关可随时核实其是否继续符合要求。如果不再满足本条例规定的要求，批准机关应撤销CSMS合规证书。

9 制造商应将任何影响CSMS符合性证书相关性的变更通知审批机构或其技术服务部门。在与制造商协商后，审批部门或其技术服务部门应决定是否需要进行新的检查。

10 在适当的时候，允许审批机构在CSMS符合性证书有效期结束前完成其评估，制造商应申请新的或延长现有的CSMS符合性证书。审批机构应当:

若评估结果为正面，则会发出新的符合标准证书，或将证书的有效期再延长三年。审批机构应核实CSMS是否继续遵守本法规的要求。如果变更已提请审批机构或其技术服务部门注意，并且变更已得到同意性的重新评估，则批准机关应颁发新的证书。

11 就与CSMS相关的车辆类型而言，制造商的CSMS符合性证书的到期或撤回应被视为第8章节所述的批准修改，其中可能包括在授予批准的条件不再满足时撤回批准。

7 规范

7.1 通用规范

1 本法规的要求不得妨碍联合国其他法规的规定或要求。

7.2 网络安全管理体系需求

1 为进行评估，审批机构或其技术服务部门应核实车辆制造商已建立网络安全管理系统，并应核实其是否符合本法规。

2 网络安全管理体系应包括以下几个方面:

1）车辆制造商应向审批机构或技术服务部门证明其网络安全管理系统适用于以下阶段:
(a)开发阶段;
(b)生产阶段;
(c)后生产阶段。

2) 车辆制造商应证明其网络安全管理系统中使用的流程确保充分考虑了安全性，包括附录5中列出的风险和缓解措施。这应包括:
(a)制造商组织内部用于管理网络安全的流程;
(b)用于识别对车辆类型风险的流程。在这个流程汇中，应考虑附录5 A部分中的威胁和其他相关威胁;
(c)用于评估、分类和处理已识别的风险的流程;
(d)验证所识别的风险是否得到适当管理的流程;
(e)用于测试某一车型网络安全的流程;
(f)用于确保风险评估与时俱进的流程;
(g)用于监测、检测和响应针对车辆类型的网络攻击、网络威胁和漏洞的流程，以及用于评估所实施的网络安全措施在已发现的新网络威胁和漏洞下是否仍然有效的流程。
(h)用于提供相关数据以支持对企图或成功的网络攻击进行分析的流程。

3) 车辆制造商应证明其网络安全管理系统中使用的流程将确保根据第7.2.2.2 ©和7.2.2.2 (g)章节所述的分类，在合理的时间范围内减轻需要车辆制造商做出响应的网络威胁和漏洞。

4)  车辆制造商应证明其网络安全管理系统中使用的流程将确保第7.2.2.2 (g)章节所述的监控是持续的。这应当:
(a)将首次登记后的车辆列入监测;
(b)包括从车辆数据和车辆日志中分析和检测网络威胁、漏洞和网络攻击的能力。这种能力应符合第1.3款以及车主或司机的隐私权，特别是关于同意的隐私权。

5)  应要求车辆制造商说明其网络安全管理系统将如何根据第7.2.2.2章节的要求管理与合同供应商、服务提供商或制造商子组织之间可能存在的依赖关系。

3 车辆形式要求

1) 制造商应持有与获批车型相关的有效网络安全管理系统合规证书。然而，对于2024年7月1日之前的型号批准，如果车辆制造商能够证明该车型无法按照csm进行开发，则车辆制造商应证明在相关车型的开发阶段充分考虑了网络安全。

2) 车辆制造商应对被批准车型的供应商相关风险进行识别和管理。

3) 车辆制造商应识别车辆类型的关键要素，并对车辆类型进行详尽的风险评估，并应适当地处理/管理已识别的风险。风险评估应考虑车辆类型的各个要素及其相互作用。风险评估应进一步考虑与任何外部系统的相互作用。在评估风险时，车辆制造商应考虑与附录5 A部分所述的所有威胁相关的风险，以及任何其他相关风险。

4) 汽车制造商应当保护该车型不受汽车制造商风险评估中确定的风险的影响。应实施相应的缓解措施，以保护车辆类型。实施的缓解措施应包括附录5 B和C章节中提及的与所确定的风险相关的所有缓解措施。但是，如果附录5 B和C章节所述的缓解，与识别的风险不相关或不充分时，车辆制造商应确保实施另一种适当的缓解措施。

5)  车辆制造商应采取适当和相称的措施，确保该车型(如提供)专用环境的安全，用于存储和执行售后软件、服务、应用程序或数据。

6) 在型式认可之前，车辆制造商应进行适当和充分的测试，以验证所实施安全措施的有效性。

7) 车辆制造企业应当实施车型管理措施，以便:
(a)检测和防止针对该类型车辆的网络攻击;
(b)支持车辆制造商在检测与车辆类型相关的威胁、漏洞和网络攻击方面的监控能力;
(c)提供数据取证能力，以便分析企图或成功的网络攻击。

8) 用于本法规目的的加密模块应符合共识标准。如果使用的加密模块不符合共识标准，则车辆制造商应证明其使用的合理性。

4 报告规定

1） 车辆制造商应至少每年一次，或在相关情况下更频繁地向批准机构或技术服务部门报告其监测活动的结果，如第7.2.2.2 (g)章节所定义，其中应包括有关新网络攻击的相关信息。车辆制造商还应向审批机构或技术服务部门报告并确认，针对其车型实施的网络安全缓解措施仍然有效，并已采取任何其他措施。

2） 审批机构或技术服务部门应核实所提供的信息，必要时，要求车辆制造商对发现的无效信息进行补充。
如果报告或答复不充分，批准机关可根据第6.8章节决定撤销CSMS。

8 车型的改装和扩展

1 任何影响其网络安全和/或本法规要求的文件方面的技术性能的车辆类型的修改应通知批准该车辆类型的批准机构。批准机构可:

1）考虑所作的修改仍符合现有型式批准的要求和文件;或
2） 根据第5章节进行必要的补充评估，并在相关情况下要求负责进行测试的技术处提供进一步的测试报告。
3）确认、延期或拒绝批准，具体说明变更，应通过符合本条例附录2格式的通信形式传达。签发延期批准的审批机关应为延期批准分配一个编号，并以符合本条例附录2格式的函件通知适用本法规的1958年协定其他缔约方。

9 生产的一致性

1 生产程序的符合性应符合1958年协议附表1 (E/ECE/TRANS/505/Rev.3)的规定，并符合以下要求:

1）批准的持有人应确保记录生产试验的符合性结果，并确保所附文件在与审批机关或其技术服务处商定的期限内保持可用。该期限自确定停止生产之日起计算，不得超过十年;

2）授予型式认可的审批机构可随时对每个生产设施采用的符合性控制方法进行验证。这些核查的正常频率应为每三年一次。

10 生产不合格的处罚

1 如不符合本法规所列的规定，或样本车辆不符合本法规的规定，则可撤回根据本法规就某类型车辆所给予的批准。

2 如果审批机关撤销其先前授予的批准，应立即以符合本条例附录2格式的函件通知适用本条例的缔约方。

11 停产

1 持证人完全停止生产按本条例批准的车辆的，应当通知批准机关。在收到有关通知后，该机构应将批准表格的副本通知适用本法规的协定其他缔约方，批准表格的末尾应以大写字母注明签名和日期的注释“生产停止”。

12 负责进行认可试验的技术服务部门和型式认可机构的名称和地址

1 适用本法规的本协定缔约方应将负责进行认可试验的技术部门和批准型式认可的机构的名称和地址通知联合国秘书处，并向这些机构寄送其他国家签发的认可、延期、拒绝或撤回认可的证明表格。

附件5

A 和威胁相关的漏洞或攻击方法

B 针对车辆威胁的缓解措施

B1 车辆通信通道的缓解措施

B2 针对更新程序阶段的威胁的缓解措施

B3 针对无意的个人行为引发的网络攻击的缓解措施

B4 外部连接的威胁的缓解措施

B5 攻击潜在目标或动机相关的威胁的环节措施

B6 如果没有被充分保护和加固可能被利用的潜在漏洞的缓解措施

B8 车辆数据丢失或数据泄露的缓解措施

B9 对系统进行物理操纵实现的攻击的缓解措施

C 车辆外部相关威胁的缓解措施

C1 后端服务相关威胁的缓解措施

C2 无意的人为操作相关威胁的缓解措施

C3 数据物理丢失威胁的缓解措施