Sektor
Automotive
TISAX (VDA-Initiative) · UNECE WP.29 R155 / R156 · EU Data Act · GDPR.
Sektorale Risiken
Connected-Car-Datenflüsse
Telemetriedaten moderner Fahrzeuge erreichen Backends, deren rechtliche und operative Steuerung außerhalb der EU liegen kann.
OTA-Update-Souveränität
Sicherheitskritische Funktionen werden Over-the-Air verändert. Wer den Update-Pfad kontrolliert, kontrolliert das Fahrzeug.
Lieferkettenrisiken Halbleiter
Konzentration der Halbleiterfertigung in wenigen geopolitischen Räumen ist ein strategisches D4-Risiko.
Daten-Ownership unklar
Hersteller, Fahrer, OEM-Plattformen und Drittdienste konkurrieren um Fahrzeugdaten. Rechtliche und technische Kontrolle müssen klar geregelt sein.
TISAX-Begrenzung
TISAX adressiert Informationssicherheit der Zulieferer, jedoch nicht strukturelle Souveränität — EDSO ergänzt.
Regulatorischer Anker
| Regelwerk | Status | Wesentliche Anforderung | Anschluss an EDSO |
|---|---|---|---|
| TISAX | Industrieinitiative | Informationssicherheit Zulieferer | Ergänzung um D1 / D4 |
| UNECE WP.29 R155 / R156 | Typgenehmigung | Cybersecurity und Software-Updates | Anker für D3 (OTA-Pfade) |
| EU Data Act | in Kraft | Datenzugang im IoT-Kontext | Anker für D1 |
| GDPR | EU-Verordnung | personenbezogene Daten | Bezug für D2 |
Empfohlene Mindestlevel pro Anwendungsfall
| Anwendungsfall | Gesamt | D1 | D2 | D3 | D4 | Begründung |
|---|---|---|---|---|---|---|
| OTA-Update-Pfad sicherheitsrelevant | L3 | L3 | L3 | L3 | L3 | Direkte Wirkung auf Fahrzeugsicherheit. |
| Telematik-Backend | L2 | L2 | L2 | L2 | L2 | Personenbezug, Geschäftskritikalität. |
| Connected-Services-Plattform | L2 | L2 | L2 | L1 | L1 | Komfortfunktionen mit Datenbezug. |
| Händler-CRM | L1 | L1 | L1 | L1 | L1 | Standardgeschäftsprozesse. |
| Marketing / Konfiguratoren | L1 | L1 | L1 | L1 | L1 | Geringes Risiko. |
Typische Anwendungsfälle
OTA-Plattform OEM
- Szenario
- Ein OEM betreibt eine Plattform für Software-Updates seiner Modellpalette.
- Risiken
- Single-Vendor-Cloud, geopolitische Verfügbarkeit, Sicherheitskritikalität.
- EDSO-Anwendung
- L3 zwingend für sicherheitsrelevante Funktionen.
- Vorgehen
- Pilotzertifizierung mit zwei akkreditierten Prüfstellen.
Connected-Services-Backend Zulieferer
- Szenario
- Ein Tier-1-Zulieferer betreibt ein Telematik-Backend im Auftrag mehrerer OEMs.
- Risiken
- Mandantentrennung, Schlüsselverwaltung, Datenflussdokumentation.
- EDSO-Anwendung
- L2 gesamt, D2 = L2 zwingend.
- Vorgehen
- Self-Assessment, Vorprüfung, Vollzertifizierung.
EU-Datentreuhand für Fahrzeugdaten
- Szenario
- Ein Konsortium betreibt eine Treuhand-Plattform für Fahrzeugdaten gemäß Data Act.
- Risiken
- Governance-Komplexität, Zugriffs-Audits, internationale Anschlussfähigkeit.
- EDSO-Anwendung
- L2 mit D1 = L3 (juristische Klarheit).
- Vorgehen
- Begleitung durch den Anwendungsrat, Zertifizierung mit Auflage zur Transparenz.
Vorlagen und Sofort-Einstiege
Ausschreibungs-Generator
Mit voreingestellten Sektor-Parametern
Register
Anbieter und Dienste mit Sektor-Filter
Self-Assessment
Sektor voreingestellt, in ca. 20 Minuten
Sektor-spezifische Leitfäden
- EDSO neben TISAX — Wie EDSO TISAX strukturell ergänzt.
- OTA-Plattform-Lastenheft EDSO L3 — Vergabe-Vorlage für sicherheitskritische OTA-Pfade.
Sektor-Konsultationen
Derzeit keine sektor-spezifischen Konsultationen.
Ansprechpartner
Anwendungsrat — Quadrant Anbieter / Sektor Automotive — Sektor-Sprecher
Kontaktformular (Sektor voreingestellt)