韓國汽車網絡安全法規已正式施行。該法規自2025年8月起適用于新注冊車型，現有量產注冊車型（量產車）則需在2027年8月前完成合規方可繼續銷售。也就是說，對于計劃進入韓國市場的汽車制造商而言，應對網絡安全監管已不再是可選項，而是必備條件。

然而，整個行業正面臨著“如何解讀韓國法規、又該如何應對”的現實難題。為填補這一空白，飛斯柯羅策劃了《汽車網絡安全法規應對指南系列》，該系列將為正在準備應對監管要求的企業提供戰略性的方向指引。

法規確立原則，技術落實原則。本篇的主角，是一位同時深諳法律與技術的人物。曾在韓國汽車安全研究院（KATRI）任職30余年、并親身參與韓國汽車網絡安全法規制定的前自動駕駛本部處長金城範，接受了本次專訪。

作為推動韓國立法進程的核心人物之一，他目前已加入致力于為法規合規提供技術解決方案的“飛斯柯羅”，擔任技術顧問。本次訪談將帶您走進他連接法律與技術的深度洞察。

金城範 飛斯柯羅技術顧問（來源：飛斯柯羅）

01

韓國已開始實施汽車網絡安全法規，其背景是什么？

隨著車輛從以硬件為中心向以軟件為中心轉型，隨著車聯網時代的全面到來，全球范圍內汽車網絡安全強制化正在加速擴散。聯合國歐洲經濟委員會（UNECE）下設的世界車輛法規協調論壇（WP.29）于2020年6月制定了《UN R155》。韓國則在此基礎上，于2024年2月依據《汽車管理法》建立了網絡安全制度。

該制度的目的在于，確保車輛在外部通信環境下也能安全行駛。因此，車輛制造商必須在組織內部建立可抵御網絡攻擊和威脅的“網絡安全管理體系（以下簡稱CSMS）”，并通過相關認證。這不僅要求具備技術層面的能力，也需要在組織架構和整體流程層面做好全面準備。

政府有權要求制造商提交資料以確認車輛的安全性與可靠性，如違反規定，將采取撤銷認證、暫停效力、責令停止銷售等措施。

02

韓國《汽車管理法》與 UN R155 的主要差異是什么？

網絡安全管理體系（CSMS）認證用于評估制造商在車輛開發、生產、運行、報廢等全生命周期中，是否建立并運行了完善的網絡安全組織與流程；車輛型式認證（VTA）則用于驗證在CSMS中定義的安全對策是否已正確應用到實際車輛中。不同之處在于，UN法規與《汽車管理法》在汽車制造商取得認證的時間點上存在差異。

UN R155 采用“事前認證制度”，要求在車輛銷售前同時取得兩項認證。

而《汽車管理法》原則上采取自我認證制度，即由制造商自行確認車輛是否符合安全標準后銷售，政府再進行事后檢查。但在CSMS認證方面，《汽車管理法》例外地引入了事前審批制度。也就是說，CSMS必須在車輛銷售前取得認證，而VTA則由制造商自行確保并證明合規后銷售，銷售后再接受政府的不定期抽查。

現有的汽車安全標準，如碰撞測試、制動測試等項目，都具有明確的量化基準。以制動測試為例，制動距離是否超過標準值，即使在上市之后也可以進行客觀評估。

然而，CSMS 涉及制造商的組織、流程、政策等大量定性要素。例如，法規中明確要求“應設立專門的安全組織”，但由于各制造商在治理結構、組織形態及生產規模等方面存在差異，要對“安全專門組織”設定統一的量化或具體標準并不容易。因此，CSMS 采用了事前審批制度，在認證階段對相關流程是否已被妥善構建進行預先審查。

03

鑒于 UN R155 已率先實施，應該已經有企業取得了相關認證。那么，針對韓國《汽車管理法》，還需要補充或完善哪些方面？

UN R155 的 CSMS 認證主要圍繞12個核心項目進行評估。《汽車管理法》在此基礎上，將這12個項目細化為多個子項目，并針對每一項都明確要求制造商提交具體意見與證明材料。因此，即便企業已經取得 UN R155 認證，也必須按照韓國標準進行額外補充與完善。

這并非簡單翻譯現有文件或形式化提交即可，而是需要準確理解各項條款的立法意圖，并系統性準備能夠加以證明的資料。若要“一次性”順利通過認證，前期的精細化籌備與周密規劃是不可或缺的。

04

尚未取得 UN R155 認證的進口商或中小型制造商，應從哪里著手？

首先應從構建 CSMS 開始。CSMS 并非單純的技術要求，而是一套涵蓋整個組織安全治理的管理體系。最重要的是打造“可持續運作的體系”。只要明確建立以下基本結構——組織與流程建設 → TARA（Threat Analysis and Risk Assessment，威脅分析與風險評估）→ 安全功能應用與驗證 → 事后監測與應對，無論是在認證準備階段，還是在應對外部審查時，都能夠實現一致且有序的應對。

首先，應明確組織內部的角色與責任，制定網絡安全政策與運營流程，并在開發、生產及售后階段全生命周期內持續維持。隨后，需建立 TARA 流程，系統性識別安全威脅與漏洞，并將相應的應對策略進行文檔化。由于這是認證的核心基礎，即便安全組織規模較小，也必須具備這一體系。

此外，還需建立持續監測與事故響應體系，以便在發生網絡攻擊或異常征兆時能夠迅速應對。進一步而言，還應構建覆蓋多家合作伙伴的供應鏈管理體系，從而確保相互關聯的整個生態系統層面的安全可信性。

05

汽車制造商在應對韓國《汽車管理法》時需要注意哪些要點？

目前，大多數汽車制造商都將重心放在 CSMS 認證上，但必須同時把 VTA 一并納入考量。正如前面所說，CSMS評估的是組織與流程，而 VTA 則用于確認網絡安全措施是否在實際車輛中得到有效落實。僅憑完善文檔并不足以取得認證。為應對 VTA，必須在控制器與整車層面開展多種安全測試，從多個維度驗證網絡安全的穩健性與有效性。

歸根結底，只有從政策與流程到實際車輛落地實現進行一體化推進，汽車網絡安全體系才算真正構建完成，這一點務必要牢記。

此外，網絡安全絕不止于取得認證。企業應將網絡安全內嵌于整體運營中，在全生命周期內持續迭代升級。如果還能具備在突發事故中迅速恢復的“網絡韌性”，企業的未來競爭力將得到進一步強化。

審核編輯 黃宇