Открыть сервис

Регламент ООН № 155

Регламент ООН № 155 (англ. UN Regulation No. 155, полное название — Единообразные предписания, касающиеся сертификации транспортных средств в отношении кибербезопасности и системы управления кибербезопасностью) — это международный технический регламент, разработанный Всемирным форумом для согласования правил в области транспортных средств (WP.29) Европейской экономической комиссии ООН (ЕЭК ООН). Документ устанавливает обязательные требования к кибербезопасности автотранспортных средств, включая процессы управления рисками, защиту программного обеспечения и предотвращение несанкционированного доступа к бортовым системам. Регламент вступил в силу в январе 2021 года и стал первым в мире юридически обязывающим стандартом в данной области.

История разработки

Рост числа подключённых и автономных транспортных средств привёл к увеличению рисков кибератак, способных повлиять на безопасность движения. В 2016 году WP.29 инициировал создание целевой группы по кибербезопасности (TFCS), которая в 2018 году представила проект регламента. После серии консультаций с автопроизводителями, научными организациями и национальными органами сертификации, в июне 2020 года документ был одобрен на 181-й сессии WP.29. Официальное вступление в силу произошло 22 января 2021 года. Регламент № 155 стал частью пакета из трёх новых нормативов, наряду с регламентами № 156 (обновление программного обеспечения) и № 157 (автоматизированные системы управления).

Структура и основные положения

Область применения

Регламент распространяется на транспортные средства категорий M (легковые автомобили), N (грузовые автомобили), O (прицепы), L (мотоциклы и мопеды) и R (прицепы для сельскохозяйственной техники), оснащённые электронными системами управления, подключёнными к внешним сетям. Документ не применяется к транспортным средствам, произведённым до 1 июля 2022 года, если они не проходят серьёзную модернизацию.

Система управления кибербезопасностью (CSMS)

Ключевым элементом регламента является требование к производителю внедрить систему управления кибербезопасностью (CSMS — Cyber Security Management System). CSMS должна включать:

  • идентификацию и оценку киберрисков на всех этапах жизненного цикла автомобиля (проектирование, производство, эксплуатация, утилизация);
  • разработку мер по снижению рисков до приемлемого уровня;
  • мониторинг киберугроз в реальном времени и реагирование на инциденты;
  • документирование всех процессов и предоставление отчётов сертификационному органу.

Требования к конструкции

Производитель обязан доказать, что транспортное средство спроектировано с учётом принципов «безопасности по замыслу» (security by design). В частности:

  • все внешние интерфейсы (USB, Bluetooth, Wi-Fi, сотовые сети) должны быть защищены от несанкционированного доступа;
  • криптографические ключи и сертификаты должны храниться в аппаратно-защищённых модулях;
  • обновления программного обеспечения должны передаваться по защищённым каналам и проверяться на целостность;
  • система должна предотвращать выполнение неподписанного кода.

Проверка соответствия

Для получения одобрения типа транспортного средства производитель должен предоставить сертификационному органу:

  • описание CSMS и доказательства её внедрения;
  • результаты тестирования на проникновение (пентесты);
  • план управления киберинцидентами;
  • отчёт о независимом аудите кибербезопасности.

Сертификационный орган проводит выборочные проверки на производственных линиях и может запросить дополнительные испытания. В случае выявления нарушений одобрение типа может быть приостановлено или отозвано.

Применение в разных регионах

Европейский союз

С 1 июля 2022 года регламент № 155 стал обязательным для всех новых типов транспортных средств, регистрируемых в странах ЕС и ЕЭЗ. С 1 июля 2024 года требования распространяются на все вновь произведённые автомобили. Импортёры обязаны подтвердить соответствие регламенту при ввозе транспортных средств из третьих стран.

Япония

Япония, как одна из стран — участниц Женевского соглашения 1958 года, внедрила регламент № 155 в национальное законодательство в 2022 году. Требования распространяются на все автомобили, продаваемые на внутреннем рынке, с 1 января 2023 года.

Республика Корея

Южная Корея приняла регламент № 155 в 2023 году, но с некоторыми национальными особенностями, включая обязательное использование национальных криптографических стандартов (ARIA, SEED). Полное внедрение запланировано на 2025 год.

Россия

Российская Федерация является участницей Женевского соглашения 1958 года. В 2023 году Министерство промышленности и торговли РФ объявило о планах по внедрению регламента № 155 в национальную систему сертификации. По состоянию на 2025 год, требования регламента не являются обязательными для российских производителей, однако ряд компаний (например, «АвтоВАЗ», «Камаз») добровольно внедряют его положения в рамках подготовки к экспорту. Ожидается, что обязательное применение регламента начнётся с 1 июля 2026 года для новых типов транспортных средств и с 1 июля 2028 года — для всех выпускаемых моделей.

Другие страны

Китай, Индия и страны ACEAH не являются участниками Женевского соглашения, но разрабатывают собственные национальные стандарты, во многом основанные на регламенте № 155. В Китае с 2023 года действует стандарт GB/T 40855-2021, который по содержанию близок к регламенту ООН.

Влияние на отрасль

Внедрение регламента № 155 привело к значительным изменениям в автопромышленности. Производители были вынуждены:

  • создать отдельные подразделения по кибербезопасности;
  • интегрировать процессы CSMS в существующие системы управления качеством (ISO 9001, IATF 16949);
  • инвестировать в разработку защищённых электронных блоков управления (ЭБУ) и программного обеспечения;
  • наладить сотрудничество с компаниями-разработчиками средств защиты (Kaspersky, Trend Micro, Argus Cyber Security).

По оценкам аналитиков, затраты на соответствие регламенту для одного модельного ряда составляют от 1 до 5 миллионов долларов США, однако эти расходы компенсируются снижением риска отзывных кампаний и репутационных потерь.

Критика и ограничения

Несмотря на широкое признание, регламент № 155 подвергается критике по нескольким направлениям:

  • Сложность проверки — сертификационные органы не всегда располагают достаточной экспертизой для оценки CSMS, что приводит к формальному подходу.
  • Отсутствие гармонизации — разные страны требуют дополнительных документов или испытаний, что увеличивает бюрократическую нагрузку.
  • Недостаточный охват — регламент не распространяется на послепродажные модификации (например, установку нештатных мультимедийных систем), что создаёт уязвимости.
  • Проблемы с обновлениями — требования к защите каналов передачи обновлений не всегда учитывают особенности работы в регионах с низкой пропускной способностью сетей.

Перспективы развития

В 2024 году WP.29 начал работу над поправками к регламенту № 155, которые должны учесть развитие технологий искусственного интеллекта, облачных вычислений и V2X-коммуникаций. Ожидается, что обновлённая версия будет включать требования к:

  • защите моделей машинного обучения от атак (adversarial attacks);
  • безопасной интеграции с инфраструктурой «умных городов»;
  • управлению киберрисками в цепочках поставок компонентов.

Планируется также разработка отдельного регламента для кибербезопасности электрических зарядных станций.

Источники

  • UN Regulation No. 155 — Uniform provisions concerning the approval of vehicles with regard to cyber security and of their cyber security management systems. United Nations, 2021.
  • World Forum for Harmonization of Vehicle Regulations (WP.29). Report of the 181st session. ECE/TRANS/WP.29/2020/78.
  • ISO/SAE 21434:2021 — Road vehicles — Cybersecurity engineering. International Organization for Standardization, 2021.
  • European Commission. Implementing Regulation (EU) 2021/387 on the application of UN Regulation No. 155. Official Journal of the European Union, 2021.
  • Министерство промышленности и торговли РФ. Дорожная карта внедрения международных стандартов кибербезопасности транспортных средств. Москва, 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →