Cybersecurity Compliance im Fahrzeugbau: NIS2, CSMS und SUMS richtig umsetzen

Die Anforderungen an Cybersecurity Compliance im Fahrzeugbau steigen rasant – nicht zuletzt durch gesetzliche Vorgaben wie NIS2, CSMS (UNECE R155) und SUMS (UNECE R156). Besonders im Sonderfahrzeugbau stehen viele Unternehmen jetzt vor der Herausforderung, diese komplexen Regelwerke gleichzeitig umzusetzen – bei begrenzten Ressourcen und oft begrenztem Vorwissen. Der Handlungsdruck ist hoch: Ohne rechtskonforme Prozesse und Zertifizierungen drohen Marktbarrieren, Haftungsrisiken und Umsatzverluste. Dieser Artikel gibt einen kompakten Überblick über die Anforderungen, Synergien und praxisnahen Lösungswege zur erfolgreichen Umsetzung von Cybersecurity Compliance im Fahrzeugbau.

NIS2, CSMS und SUMS – Was ist was?

Die drei Regularien NIS2, CSMS und SUMS betreffen unterschiedliche, aber eng miteinander verbundene Bereiche der IT- und Fahrzeugsicherheit. Für Hersteller im Sonderfahrzeugbau ist es entscheidend, ihre Bedeutung zu kennen – und sie systematisch umzusetzen.

Was ist NIS2? – Fokus auf die Organisationsebene

Die EU-Richtlinie NIS2 (Network and Information Security 2) betrifft die IT- und Informationssicherheit in Unternehmen. Sie verpflichtet betroffene Organisationen – darunter viele Hersteller im Sonderfahrzeugbau – zur Einführung eines Informationssicherheitsmanagementsystems (ISMS), z. B. nach ISO 27001.

Besonders wichtig:

• Proaktive Registrierungspflicht beim BSI
• Risikomanagement, Zugriffskontrollen, IT-Sicherheitsprozesse
• Persönliche Haftung der Geschäftsführung bei Nichteinhaltung
  

Was ist CSMS? – Cybersecurity im Fahrzeug

Das Cybersecurity Management System (CSMS) nach UNECE R155 betrifft die Produktsicherheit. Ziel ist es, den gesamten Lebenszyklus eines Fahrzeugs gegen Cyberangriffe abzusichern. Hersteller müssen nachweisen, dass sie Sicherheitsrisiken erkennen, bewerten und behandeln können.

Pflichten:

• Umsetzung bis spätestens Juli 2024/2026 (abhängig vom Fahrzeugtyp)
• Durchführung einer TARA (Threat Analysis & Risk Assessment)
• Integration in das Typgenehmigungsverfahren
  

Was ist SUMS? – Software-Update-Prozesse im Griff

Das Software Update Management System (SUMS) gemäß UNECE R156 regelt, wie Softwareänderungen im Fahrzeug korrekt und sicher durchgeführt werden. Es betrifft insbesondere Fahrzeuge mit Software-basierten Funktionen wie Telematik, EBS, Reifendrucksystemen etc.

Wesentliche Anforderungen:

• Dokumentation aller Softwarestände pro Fahrzeug
• Rückverfolgbarkeit und Kompatibilitätsprüfung
• Berücksichtigung im Rahmen der Typgenehmigung (insbesondere Trailer-Klassen O3/O4)
  

Warum das Zusammenspiel zählt

Obwohl NIS2, CSMS und SUMS auf unterschiedlichen Ebenen ansetzen (Organisation vs. Produkt), hängen sie funktional eng zusammen. Informationssicherheit im Unternehmen (NIS2) ist die Grundlage dafür, überhaupt sichere Produkte (CSMS/SUMS) entwickeln und betreiben zu können.

Jetzt zum Webinar anmelden: CSMS & TARA verständlich erklärt

Erfahren Sie, wie Sie mit einer risikobasierten Analyse (TARA) und einem schlanken CSMS die UNECE-Vorgaben erfüllen – praxisnah, prüfbar und auditfähig.
Hier Webinarplatz sichern!

Besondere Herausforderungen für den Sonderfahrzeugbau

Im Vergleich zu Großserienherstellern stehen mittelständische Unternehmen im Sonderfahrzeugbau vor ganz eigenen Herausforderungen bei der Umsetzung von NIS2, CSMS und SUMS. Die Anforderungen sind identisch – die Mittel und Strukturen jedoch meist nicht.

Gleiche Pflichten – andere Ausgangslage

Sonderfahrzeugbauer unterliegen denselben Regularien wie große OEMs. Das betrifft:

• die IT-Sicherheitsanforderungen der NIS2-Richtlinie,
• die Cybersecurity-Pflichten nach UNECE R155 (CSMS) und
• die Vorgaben für Software-Updates nach UNECE R156 (SUMS).
  

Allerdings haben mittelständische Unternehmen meist:

• kleinere IT-Abteilungen,
• weniger Ressourcen für Projektmanagement und Zertifizierung,
• keine eigene Entwicklungsabteilung für Fahrzeugelektronik.
  

Unklarheit über Pflichten und Zuständigkeiten

Viele Unternehmen im Sonderfahrzeugbau wissen bislang nicht genau, ob und wie sie von den neuen regulatorischen Anforderungen betroffen sind. Die Regularien rund um NIS2, CSMS und SUMS gelten zwar europaweit und verbindlich, doch ihre praktische Bedeutung für kleinere Hersteller ist oft nicht auf den ersten Blick erkennbar. Hinzu kommt, dass die gesetzlich geforderten Umsetzungen häufig sehr technisch formuliert sind und sich an großen Fahrzeugherstellern orientieren – was bei mittelständischen Betrieben für Unsicherheit sorgt.

Ein weiteres Problem: Die Verantwortung für IT-Sicherheit, Produktkonformität und Fahrzeugtechnik ist in kleineren Betrieben meist auf mehrere Personen verteilt. Es fehlt eine zentrale Stelle, die alle Regularien ganzheitlich überblickt und steuert. Dadurch entstehen blinde Flecken – etwa in der Bewertung von Risiken, der Pflicht zur Selbstmeldung beim BSI (im Rahmen von NIS2) oder im Umgang mit Software-Updates am Fahrzeug. Ohne klare Zuständigkeiten bleibt die Umsetzung häufig Stückwerk oder wird zu spät angestoßen.

Die Folge: Viele Unternehmen riskieren durch Unwissenheit, die gesetzlichen Fristen zu verpassen – und damit ihre Markt- und Lieferfähigkeit zu verlieren. Ein strukturiertes Vorgehen mit externer Unterstützung und einer fundierten Gap-Analyse kann hier schnell Klarheit schaffen.

Hoher Anpassungsdruck durch neue Fahrzeugarchitekturen

Mit zunehmender Digitalisierung auch im Sonderfahrzeugbereich – z. B. durch:

• Telematiklösungen,
• Reifendrucksensorik,
• elektronische Bremssteuerungen oder
• CAN-Anbindungen an Fahrgestelle –
  

wächst die Verantwortung für die Sicherheit und Integrität elektronischer Komponenten.

Wer elektronische Systeme verbaut oder verändert, greift aktiv in die Cybersecurity-Risiken des Gesamtfahrzeugs ein – und ist somit typgenehmigungs- und zertifizierungspflichtig.

Sonderfahrzeugbau braucht pragmatische Lösungen

Im Unterschied zu Großkonzernen brauchen mittelständische Hersteller:

• schlanke, integrierte Prozesse,
• praxisnahe Risikoanalysen, und
• zielgerichtete Befähigungskonzepte, um alle drei Themenbereiche gleichzeitig und effizient umzusetzen.
  

Genau hier setzen spezialisierte Anbieter wie clockworkX und TÜV Austria mit branchenspezifischen Strategien an.

Haftung und Risiken bei Nichtumsetzung

Die Umsetzung von NIS2, CSMS und SUMS ist keine freiwillige Maßnahme – sondern gesetzlich vorgeschrieben. Wer die Anforderungen ignoriert oder verspätet umsetzt, riskiert erhebliche rechtliche, wirtschaftliche und operative Folgen.

NIS2: Meldepflicht und persönliche Haftung

Mit dem Inkrafttreten der NIS2-Richtlinie entsteht für betroffene Unternehmen eine Bringschuld: Sie müssen sich eigenständig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren – es erfolgt keine automatische Benachrichtigung.

Unternehmen, die dieser Pflicht nicht nachkommen oder keine angemessenen IT-Sicherheitsmaßnahmen nachweisen können, drohen:

• Bußgelder,
• behördliche Anordnungen sowie
• im Ernstfall eine persönliche Haftung der Geschäftsführung.
  

Besonders kritisch: Bei einem Cyberangriff mit Produktionsausfall oder wirtschaftlichem Schaden kann die Geschäftsleitung wegen grober Fahrlässigkeit belangt werden – wenn die erforderlichen Sicherheitsmaßnahmen nach NIS2 unterlassen wurden.

CSMS & SUMS: Ohne Zertifizierung kein Marktzugang

Im Bereich der Produktsicherheit ist die Situation ähnlich gravierend. Ohne gültige Zertifizierungen nach UNECE R155 (CSMS) und R156 (SUMS) können ab bestimmten Stichtagen keine neuen Fahrzeuge mehr in Verkehr gebracht werden – auch nicht im Sonderfahrzeugbau.

Wichtige Fristen:

• CSMS-Zertifizierung für Bestands-Typgenehmigungen: bis spätestens Juli 2024
• SUMS-Zertifizierung für bestimmte Trailerklassen: bis spätestens Juli 2026
  

Wer diese Fristen verpasst oder keine auditfähigen Prozesse vorweisen kann, riskiert:

• den Verlust der Typgenehmigung,
• den Ausschluss vom europäischen Markt und
• massive Umsatzeinbußen durch Verkaufsstopps.
  

Ein hohes Risiko – oft unterschätzt

Viele Unternehmen unterschätzen die Tragweite der gesetzlichen Änderungen, da diese im Tagesgeschäft noch nicht spürbar sind. Doch spätestens mit dem ersten ausbleibenden Genehmigungsbescheid oder einem Cybervorfall werden die Versäumnisse sichtbar – mit teils existenzbedrohenden Folgen.

Die gute Nachricht: Mit rechtzeitiger Planung, klarer Zuständigkeit und praxisgerechten Prozessen lassen sich diese Risiken vermeiden – und die Anforderungen mit überschaubarem Aufwand erfüllen.

Sicher durch die Zertifizierung – mit CSMS und TARA im Griff

Lernen Sie im kostenlosen Webinar von clockworkX, wie Sie die Cybersecurity-Anforderungen für Sonderfahrzeuge effizient umsetzen.
Jetzt teilnehmen!

Synergiepotenziale bei der integrierten Umsetzung

Auch wenn NIS2, CSMS und SUMS unterschiedliche Schwerpunkte setzen, greifen sie inhaltlich stark ineinander. Unternehmen im Sonderfahrzeugbau profitieren erheblich davon, diese Anforderungen nicht isoliert, sondern koordiniert und integriert umzusetzen.

Gemeinsame Grundlagen schaffen Effizienz

Alle drei Regularien verlangen im Kern ähnliche Strukturen:

• ein funktionierendes Risikomanagement,
• klar definierte Prozesse und Rollen,
• regelmäßige Schulungen und
• ein belastbares Monitoring und Reporting.
  

Anstatt für jede Regelung ein separates System aufzubauen, können Unternehmen ein integriertes Managementsystem etablieren, das alle drei Anforderungen abdeckt – etwa als Erweiterung des bestehenden Qualitätsmanagementsystems (z. B. nach ISO 9001).

Doppelte Arbeit vermeiden – Ressourcen gezielt nutzen

Besonders mittelständische Betriebe mit begrenzten Ressourcen profitieren davon, Synergien zu heben:

• Eine zentrale TARA-Risikoanalyse kann sowohl CSMS- als auch SUMS-Anforderungen erfüllen.
• Awareness-Schulungen zu IT-Sicherheit und Cybersecurity lassen sich zusammenlegen.
• Die Einführung eines Incident-Response-Prozesses erfüllt sowohl NIS2 als auch CSMS-Vorgaben.
  

So entstehen keine Doppelstrukturen, und der Implementierungsaufwand bleibt überschaubar – ohne Abstriche bei der Rechtssicherheit.

Einheitliche Umsetzung schafft langfristige Stabilität

Ein integrierter Ansatz vermeidet Widersprüche und Redundanzen im System. Prozesse sind aufeinander abgestimmt, Zuständigkeiten klar geregelt und interne wie externe Audits leichter zu bewältigen. Außerdem entsteht so eine tragfähige Grundlage für spätere Erweiterungen – etwa im Bereich funktionale Sicherheit oder Nachhaltigkeit.

Der Aufwand zu Beginn mag höher wirken, doch die langfristige Entlastung im Betrieb, bei Audits und in der Pflege der Systeme ist erheblich. Nicht zuletzt fördert die konsistente Umsetzung auch das Vertrauen von Kunden, Behörden und Partnern.

Praxisempfehlung: Gap-Analyse und Roadmap

Um die gesetzlichen Anforderungen für die Cybersecurity Compliance zielgerichtet umzusetzen, braucht es eine klare Standortbestimmung und einen realistischen Umsetzungsplan. Genau hier setzt die Gap-Analyse an – ein bewährter erster Schritt für Unternehmen im Sonderfahrzeugbau.

Was ist eine Gap-Analyse – und warum ist sie so wichtig?

Die Gap-Analyse identifiziert die Abweichungen („Gaps“) zwischen dem aktuellen Stand des Unternehmens und den Anforderungen der relevanten Regularien. Sie beleuchtet:

• bestehende Prozesse und Strukturen,
• vorhandene Managementsysteme (z. B. ISO 9001, 14001),
• IT-Sicherheitsmaßnahmen und Zuständigkeiten,
• Produktentwicklungs- und Genehmigungsprozesse.
  

Dabei wird deutlich, wo Nachholbedarf besteht – und welche vorhandenen Ansätze genutzt oder angepasst werden können. Das spart Zeit, Geld und verhindert überflüssige Maßnahmen.

Individuelle Roadmap statt Standardlösung

Auf Basis der Gap-Analyse lässt sich eine maßgeschneiderte Roadmap entwickeln. Diese enthält:

• priorisierte Maßnahmen,
• einen realistischen Zeitplan bis zu den jeweiligen Deadlines,
• Verantwortlichkeiten und Zuständigkeiten,
• konkrete Schritte zur Zertifizierungsreife.

Wichtig dabei: Die Roadmap ist praxisnah und skalierbar, angepasst an Unternehmensgröße, Struktur und vorhandene Systeme.

Jetzt starten – Fristen aktiv nutzen

Insbesondere für SUMS (UNECE R156) drängt die Zeit: Die Audit-Deadlines im Juli 2026 erfordern ein strukturiertes Vorgehen schon ab Herbst 2025. Die Roadmap sollte spätestens bis Ende Q3 stehen, damit interne Audits und Hauptzertifizierung rechtzeitig durchgeführt werden können.

Ein frühzeitiger Start ermöglicht:

• gezielte Vorbereitung ohne Zeitdruck,
• frühzeitige Fehlerkorrektur und
• eine stabile Umsetzung mit geringem Risiko.
  

Empfehlung: Gap-Analyse mit erfahrenen Partnern durchführen

Viele Unternehmen profitieren davon, die Gap-Analyse gemeinsam mit spezialisierten Partnern wie clockworkX durchzuführen. Der Aufwand ist gering, der Erkenntnisgewinn dagegen hoch.

Im Anschluss entscheiden die Unternehmen selbst, ob sie weitere Unterstützung im Rahmen eines Befähigungskonzepts in Anspruch nehmen oder die Umsetzung eigenständig fortführen.

Fazit: Cybersecurity Compliance als strategische Pflicht im Sonderfahrzeugbau

Cybersecurity Compliance ist längst keine Option mehr – sie ist gesetzlich gefordert und geschäftskritisch. Mit NIS2, CSMS und SUMS stehen Unternehmen im Sonderfahrzeugbau vor klar definierten Pflichten, deren Umsetzung über Marktzugang, Rechtssicherheit und Wettbewerbsfähigkeit entscheidet. Wer die Anforderungen isoliert betrachtet oder zu spät handelt, riskiert nicht nur Zertifizierungsverzögerungen, sondern auch Haftung und wirtschaftliche Verluste.

Ein integrierter, risikobasierter Ansatz schafft hier Abhilfe: Durch Synergien in Prozessen, Schulungen und Audits lässt sich die Umsetzung effizient gestalten – selbst in mittelständischen Strukturen. Mit einer klaren Gap-Analyse und einer praxisnahen Roadmap gelingt der Einstieg in eine nachhaltige Cybersecurity Compliance, die sowohl Produkt- als auch Unternehmenssicherheit langfristig stärkt.