Co się wydarzyło: R155 w pełnym zakresie
Regulamin UNECE nr 155 dotyczący cyberbezpieczeństwa pojazdów obowiązywał od lipca 2022 roku, ale tylko dla nowych typów pojazdów, czyli modeli wprowadzanych na rynek po raz pierwszy. Od lipca 2024 roku zakres rozszerzył się na wszystkie nowe pojazdy, również te, których homologacja typu została wydana wcześniej i które były nadal produkowane.
Zmiana ta miała konkretne, wymierne konsekwencje biznesowe. Porsche wycofało ze sprzedaży w Europie trzy modele: spalinowego Macana (najpopularniejszy model marki w Europie), 718 Boxstera i 718 Caymana. Powód: architektura elektroniczna tych pojazdów została zaprojektowana przed ustaleniem wymagań R155 i dostosowanie jej byłoby zbyt kosztowne. Rzecznik Porsche wyjaśnił, że konieczne byłyby nie tylko zmiany techniczne w sterownikach, ale fundamentalna zmiana procesów rozwojowych, w tym opracowanie i certyfikacja systemu zarządzania cyberbezpieczeństwem. Z tych samych przyczyn regulacyjnych Volkswagen zakończył sprzedaż modeli Up! i Transporter T6.1 na rynku europejskim.
To nie są marginalne przypadki. Koncern Volkswagen Group, jeden z największych producentów motoryzacyjnych na świecie, wolał zrezygnować z przychodów ze sprzedaży kilku modeli, niż ponosić koszty dostosowania produktów z przestarzałą architekturą elektroniczną. Sygnał dla reszty branży jest jednoznaczny: regulacje mają realne konsekwencje.
Efekt kaskadowy: od OEM-a do dostawcy
Regulamin R155 formalnie dotyczy producentów pojazdów. To oni występują o certyfikat zgodności CSMS i homologację typu. Dostawcy nie są adresatami regulaminu wprost. Ale konsekwencje docierają do nich szybko i konkretnie.
Aby uzyskać homologację typu, producent musi wykazać, że zarządza ryzykami związanymi z dostawcami i że zależności od dostawców są odpowiednio kontrolowane. W praktyce oznacza to, że OEM-owie formułują wobec swoich dostawców Tier 1 wymagania dotyczące: zdolności w zakresie cyberbezpieczeństwa (procesy, kompetencje, narzędzia), dostarczania konkretnych produktów pracy (TARA, cele cyberbezpieczeństwa, uzasadnienie cyberbezpieczeństwa), monitorowania podatności i reagowania na incydenty przez cały cykl życia produktu oraz uzgodnienia interfejsu cyberbezpieczeństwa regulującego podział odpowiedzialności.
Te wymagania nie są nowe - ISO/SAE 21434 definiuje je w rozdziale 7 (rozproszone działania cyberbezpieczeństwa). Praktyczne narzędzia do ich realizacji - od TARA po uzgodnienie interfejsu - opisujemy w narzędziowniku wdrożenia ISO/SAE 21434. Nowe jest to, że OEM-owie zaczęli je egzekwować z rosnącą stanowczością. Kwestionariusze samooceny ustępują miejsca audytom. Deklaracje zgodności ustępują miejsca dowodzeniu zdolności. Odpowiedź „jesteśmy w trakcie wdrożenia" ma coraz krótszą datę ważności.
Dla polskich dostawców Tier 1 działających w łańcuchach wartości niemieckich OEM-ów (Volkswagen, BMW, Mercedes-Benz, Audi) ten efekt jest szczególnie odczuwalny. Niemiecki przemysł motoryzacyjny, wspierany przez VDA (Verband der Automobilindustrie), systematycznie buduje infrastrukturę audytową i certyfikacyjną i oczekuje od swoich dostawców gotowości.
NIS2 wchodzi do motoryzacji
Równolegle do wymagań wynikających z R155, polski sektor motoryzacyjny mierzy się z drugą falą regulacyjną. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca dyrektywę NIS2 została uchwalona przez Sejm w styczniu 2026 roku i podpisana przez Prezydenta w lutym. Ustawa wejdzie w życie po publikacji w Dzienniku Ustaw. NIS2 obejmuje swoim zakresem producentów pojazdów silnikowych i przyczep jako „podmioty ważne".
To ważne rozróżnienie: R155 dotyczy produktu (pojazd musi spełniać wymagania cyberbezpieczeństwa), NIS2 dotyczy organizacji (podmiot musi zarządzać ryzykiem cyberbezpieczeństwa, raportować incydenty, zapewniać bezpieczeństwo łańcucha dostaw). Regulaminy te podlegają różnym organom nadzoru, mają różne zakresy i różne mechanizmy egzekwowania, ale obszary pokrywania się są znaczące.
Zarządzanie ryzykiem wymagane przez NIS2 obejmuje elementy zbieżne z wymaganiami rozdziału 5 ISO/SAE 21434 (zarządzanie organizacyjne), rozdziału 8 (ciągłe monitorowanie i zarządzanie podatnościami) i rozdziału 13 (reagowanie na incydenty). Wymagania dotyczące bezpieczeństwa łańcucha dostaw w NIS2 korespondują z wymaganiami rozdziału 7 normy (rozproszone działania cyberbezpieczeństwa).
Organizacja, która traktuje te dwa strumienie regulacyjne oddzielnie, podwaja koszty zgodności. Organizacja, która mapuje wymagania NIS2 na istniejący CSMS oparty na ISO/SAE 21434, może wykazać zgodność z obydwoma ramami przy marginalnym dodatkowym nakładzie. Wymaga to jednak świadomego podejścia, a nie reaktywnego tworzenia odrębnych systemów pod presją kolejnych terminów.
Nowe ramy audytowe: ENX VCS i ASPICE for Cybersecurity 2.0
Rok 2024 i 2025 przyniosły dwa nowe narzędzia, które w ciągu dwunastu do dwudziestu czterech miesięcy zmienią sposób, w jaki OEM-owie oceniają cyberbezpieczeństwo swoich dostawców.
ENX VCS (Vehicle Cyber Security) to ustandaryzowany program certyfikacji uruchomiony przez stowarzyszenie ENX w czerwcu 2024 roku. ENX (ta sama organizacja, która stoi za TISAX) opracowała program audytu systemu zarządzania cyberbezpieczeństwem pojazdu (V-CSMS) oparty na wytycznych ISO/PAS 5112 w kontekście normy ISO/SAE 21434. Audyty prowadzą niezależne jednostki certyfikujące (BSI Group, DEKRA, DQS Group, TÜV Nord, TÜV Süd i inne), a wynik jest udostępniany na platformie wymiany ENX, analogicznie do mechanizmu TISAX.
Znaczenie ENX VCS polega na standaryzacji. Dotychczas każdy OEM prowadził własne audyty dostawców lub akceptował „certyfikaty zgodności z ISO/SAE 21434" wydawane przez różne jednostki według różnych kryteriów. ENX VCS tworzy wspólną bazę: jeden audyt, uznawany przez wielu klientów. Dla dostawcy to oszczędność. Dla OEM-a to porównywalność.
ASPICE for Cybersecurity 2.0 to rozszerzenie modelu Automotive SPICE opublikowane przez VDA QMC w marcu 2025 roku. Dodaje sześć procesów specyficznych dla cyberbezpieczeństwa: SEC.1 (specyfikacja wymagań cyberbezpieczeństwa), SEC.2 (implementacja cyberbezpieczeństwa), SEC.3 (weryfikacja traktowania ryzyka), SEC.4 (walidacja traktowania ryzyka), MAN.7 (zarządzanie ryzykiem cyberbezpieczeństwa) oraz ACQ.2 (zapytanie i wybór dostawcy z uwzględnieniem kryteriów cyberbezpieczeństwa).
To oznacza, że oceny dojrzałości procesowej ASPICE, które niemieckie OEM-y wymagają od swoich dostawców od lat, teraz obejmują również cyberbezpieczeństwo. Dostawca, który przechodzi ocenę ASPICE, będzie oceniany nie tylko pod kątem procesów inżynierii systemowej i programowej, ale również pod kątem procesów cyberbezpieczeństwa. I podobnie jak w klasycznym ASPICE, wymagany poziom zdolności procesowej będzie warunkiem akceptacji dostawcy.
Oba te narzędzia są jeszcze we wczesnej fazie adopcji. Ale dla dostawcy, który chce wyprzedzić falę, świadomość ich istnienia i wstępne przygotowanie to konkretna przewaga konkurencyjna.
Dowiedz się więcej o bezpieczeństwie w Twojej organizacji
Sprawdź, jak zintegrować wymagania regulacyjne w jeden spójny system i zbudować przewagę, zamiast jedynie reagować na presję zgodności.
Krajobraz regulacyjny się zagęszcza
UNECE R155 i NIS2 to nie jedyne regulacje wpływające na cyberbezpieczeństwo motoryzacyjne. W tle dojrzewa europejski akt o cyberodporności (Cyber Resilience Act), który wprowadzi wymagania cyberbezpieczeństwa dla wszystkich produktów z elementami cyfrowymi sprzedawanych na rynku UE. Choć pojazdy drogowe są częściowo wyłączone z jego zakresu (ze względu na istnienie R155), komponenty używane zarówno w motoryzacji, jak i poza nią mogą podlegać obu reżimom.
Poza Europą: Chiny opublikowały standard GB 44495:2024, jeden z najbardziej szczegółowych zestawów wymagań technicznych dla cyberbezpieczeństwa motoryzacyjnego, obowiązujący od stycznia 2026 roku dla nowych typów pojazdów. Korea Południowa opracowuje własną regulację, z harmonogramem wdrożenia od sierpnia 2025 roku. Wielka Brytania, mimo wyjścia z UE, buduje krajowe ramy homologacji uwzględniające wymagania R155.
Dla polskiego dostawcy eksportującego do Niemiec regulacje europejskie są priorytetem. Ale dostawca, który dostarcza również na rynki azjatyckie, musi liczyć się z wieloma równoległymi zestawami wymagań, różniącymi się szczegółami, ale zbieżnymi w fundamentalnym przesłaniu: cyberbezpieczeństwo produktu musi być zarządzane systematycznie.
Co to oznacza dla dostawcy: trzy wnioski
Okno na stopniowe przygotowanie zamyka się. Przez ostatnie dwa-trzy lata wielu dostawców mogło budować zdolności w zakresie cyberbezpieczeństwa we własnym tempie - wymagania OEM-ów miały charakter deklaratywny, a sankcje były ograniczone. Ten okres dobiega końca. Audyty stają się bardziej szczegółowe. Certyfikacje (ENX VCS, ASPICE for Cybersecurity) tworzą jednoznaczne kryteria. Brak zdolności będzie miał coraz bardziej konkretne konsekwencje - od utraty statusu preferowanego dostawcy po utratę projektów. O tym, jak budować autentyczną zdolność organizacyjną zamiast dokumentacyjnej fasady, piszemy w artykule CSMS nie jest projektem zgodności.
Integracja regulacyjna oszczędza pieniądze. Organizacja, która buduje CSMS zgodny z ISO/SAE 21434, jednocześnie przygotowuje się do certyfikacji ENX VCS, spełnia znaczną część wymagań NIS2 i buduje bazę pod ocenę ASPICE for Cybersecurity. Traktowanie każdego z tych strumieni oddzielnie (z osobnymi zespołami, osobnymi dokumentami, osobnymi audytami) jest nieefektywne. Podejście zintegrowane wymaga dobrego zrozumienia relacji między ramami, ale zwraca się wielokrotnie.
Wczesna gotowość to przewaga konkurencyjna. W polskim sektorze motoryzacyjnym dostawców z udokumentowaną, certyfikowaną zdolnością w zakresie cyberbezpieczeństwa jest jeszcze niewielu. Organizacja, która osiągnie tę gotowość w ciągu najbliższych dwunastu do osiemnastu miesięcy, będzie miała realną przewagę w negocjacjach z OEM-ami, nie tylko w kontekście zgodności, ale jako partner zdolny do szybkiego reagowania na zmieniające się wymagania.
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.
