R155/R156：汽车网络安全新法规快速指南

随着国际机构进入网络安全领域，制定法规、标准和指南，公众在其使用的车辆中享受更好的网络安全保护指日可待。随着时间的推移，车辆网络安全将不断发展以应对不断变化的网络威胁。

欧洲经济委员会 (ECE) 的 R155 和 R156 法规旨在应对联网车辆面临的日益增长的网络安全威胁。这些法规为联合国欧洲经济委员会 (UNECE) 区域内销售的所有车辆设定了最低的网络安全标准，旨在提高联网汽车的网络安全，该区域涵盖 64 个国家。

该法规于 2021 年 3 月 1 日发布，并于 2022 年 7 月 1 日起对所有在欧盟经济区 (EEA) 上市的新车型强制实施。

R155/R156 涵盖哪些内容？

R155： 设置了车辆网络安全管理系统 (CSMS) 的一般要求。要求车辆制造商建立一个网络安全管理系统 (CSMS)，以识别、评估和降低车辆网络安全风险。

CSMS 必须包括以下要素：

1. 安全策略和目标：车辆制造商必须制定书面安全策略和目标，明确其网络安全责任和目标

2.风险管理过程：车辆制造商必须建立一个风险管理过程，以识别、评估和降低车辆网络安全风险。该过程应包括以下步骤：

风险识别：识别车辆中可能存在的网络安全风险。风险评估：评估风险的严重性和发生可能性。风险降低：采取措施降低风险。

3. 安全开发生命周期：车辆制造商必须将网络安全考虑因素纳入车辆的整个开发生命周期。该过程应包括以下步骤：

需求分析：在需求分析阶段识别网络安全需求。

设计：在设计阶段考虑网络安全。

开发：在开发阶段实施网络安全措施。

测试：在测试阶段测试网络安全措施。

4 安全运维：车辆制造商必须制定安全运维计划，以确保车辆的网络安全在整个生命周期内得到维护。该计划应包括以下内容：

安全更新：及时发布安全更新，修复已知漏洞。安全培训：为车辆所有者和用户提供安全培训。安全事件响应：制定安全事件响应计划，以应对网络安全事件。

R156： 联合国法规第 156 号是联合国制定的一项法规，专门处理车辆的软件更新和软件更新管理系统。该法规于 2021 年颁布，旨在提高车辆软件更新的安全性、可靠性和稳定性，同时确保制造商拥有一个健全的流程来管理更新过程。

目标：提高车辆软件更新的安全性和可靠性。降低与软件更新相关的网络攻击和其他漏洞风险。确保制造商在整个车辆生命周期内拥有一个结构化的软件更新管理方法。

范围：涵盖所有软件更新，包括通过空中下载 (OTA) 和传统方式提供的更新。适用于车辆的所有电子控制单元 (ECU) 和软件组件。

要求：制造商必须建立一个 软件更新管理系统 (SUMS) 来监督更新过程。SUMS 必须包含风险评估、漏洞识别、更新测试和部署等程序。制造商必须实施安全措施，以防止未经授权的访问和篡改软件更新。他们还必须向车主提供有关软件更新的清晰透明的信息，包括潜在的风险和好处。

UN 法规第 156 号的影响：

增强安全性： 该法规预计将导致更安全的软件更新和更好的网络攻击防护。

提高可靠性： 强大的更新管理程序应该可以减少更新失败和其他软件问题。

增加透明度： 车主将获得更多有关软件更新的信息，并能够做出是否安装更新的明智决定。

R155/R156 的主要优势：增强车辆安全性： 降低网络攻击风险，防止攻击者入侵车辆系统并危及驾驶员和乘客安全。标准化方法： 为 UNECE 区域内的所有汽车制造商创造公平竞争环境，促进公平竞争和创新。增强消费者信心： 让消费者对车辆的安全性更有信心。

实施时间表：R155 于 2022 年 7 月 1 日对 UNECE 区域内所有新车型生效。R156 将于 2024 年 7 月 1 日对 UNECE 区域内所有新车型生效。

挑战和机遇：实施 R155/R156 对汽车制造商而言存在挑战，需要投资网络安全专业知识和基础设施。然而，它也带来了开发创新和安全联网车辆技术的机遇。R155/R156 是提高联网车辆网络安全的重要举措。通过设定最低标准和推广最佳实践，这些法规将有助于使我们的道路更加安全。