韩国汽车网络安全法规已正式施行。该法规自 2025 年 8 月起适用于新注册车型，现有量产注册车型（量产车）则需在 2027 年 8 月前完成合规方可继续销售。也就是说，对于计划进入韩国市场的汽车制造商而言，应对网络安全监管已不再是可选项，而是必备条件。然而，整个行业正面临着 " 如何解读韩国法规、又该如何应对 " 的现实难题。为填补这一空白，飞斯柯罗策划了《汽车网络安全法规应对指南系列》，该系列将为正在准备应对监管要求的企业提供战略性的方向指引。

法规确立原则，技术落实原则。本篇的主角，是一位同时深谙法律与技术的人物。曾在韩国汽车安全研究院（KATRI）任职 30 余年、并亲身参与韩国汽车网络安全法规制定的前自动驾驶本部处长金城範，接受了本次专访。作为推动韩国立法进程的核心人物之一，他目前已加入致力于为法规合规提供技术解决方案的 " 飞斯柯罗 "，担任技术顾问。本次访谈将带您走进他连接法律与技术的深度洞察。

金城範 飞斯柯罗技术顾问（来源：飞斯柯罗）

1. 韩国已开始实施汽车网络安全法规，其背景是什么？

随着车辆从以硬件为中心向以软件为中心转型，随着车联网时代的全面到来，全球范围内汽车网络安全强制化正在加速扩散。联合国欧洲经济委员会（UNECE）下设的世界车辆法规协调论坛（WP.29）于 2020 年 6 月制定了《UN R155》。韩国则在此基础上，于 2024 年 2 月依据《汽车管理法》建立了网络安全制度。

该制度的目的在于，确保车辆在外部通信环境下也能安全行驶。因此，车辆制造商必须在组织内部建立可抵御网络攻击和威胁的 " 网络安全管理体系（以下简称 CSMS）"，并通过相关认证。这不仅要求具备技术层面的能力，也需要在组织架构和整体流程层面做好全面准备。

政府有权要求制造商提交资料以确认车辆的安全性与可靠性，如违反规定，将采取撤销认证、暂停效力、责令停止销售等措施。

2. 韩国《汽车管理法》与 UN R155 的主要差异是什么？

网络安全管理体系（CSMS）认证用于评估制造商在车辆开发、生产、运行、报废等全生命周期中，是否建立并运行了完善的网络安全组织与流程；车辆型式认证（VTA）则用于验证在 CSMS 中定义的安全对策是否已正确应用到实际车辆中。不同之处在于，UN 法规与《汽车管理法》在汽车制造商取得认证的时间点上存在差异。

UN R155 采用 " 事前认证制度 "，要求在车辆销售前同时取得两项认证。

而《汽车管理法》原则上采取自我认证制度，即由制造商自行确认车辆是否符合安全标准后销售，政府再进行事后检查。但在 CSMS 认证方面，《汽车管理法》例外地引入了事前审批制度。也就是说，CSMS 必须在车辆销售前取得认证，而 VTA 则由制造商自行确保并证明合规后销售，销售后再接受政府的不定期抽查。

现有的汽车安全标准，如碰撞测试、制动测试等项目，都具有明确的量化基准。以制动测试为例，制动距离是否超过标准值，即使在上市之后也可以进行客观评估。然而，CSMS 涉及制造商的组织、流程、政策等大量定性要素。例如，法规中明确要求 " 应设立专门的安全组织 "，但由于各制造商在治理结构、组织形态及生产规模等方面存在差异，要对 " 安全专门组织 " 设定统一的量化或具体标准并不容易。因此，CSMS 采用了事前审批制度，在认证阶段对相关流程是否已被妥善构建进行预先审查。

3. 鉴于 UN R155 已率先实施，应该已经有企业取得了相关认证。那么，针对韩国《汽车管理法》，还需要补充或完善哪些方面？

UN R155 的 CSMS 认证主要围绕 12 个核心项目进行评估。《汽车管理法》在此基础上，将这 12 个项目细化为多个子项目，并针对每一项都明确要求制造商提交具体意见与证明材料。因此，即便企业已经取得 UN R155 认证，也必须按照韩国标准进行额外补充与完善。这并非简单翻译现有文件或形式化提交即可，而是需要准确理解各项条款的立法意图，并系统性准备能够加以证明的资料。若要 " 一次性 " 顺利通过认证，前期的精细化筹备与周密规划是不可或缺的。

4. 尚未取得 UN R155 认证的进口商或中小型制造商，应从哪里着手？

首先应从构建 CSMS 开始。CSMS 并非单纯的技术要求，而是一套涵盖整个组织安全治理的管理体系。最重要的是打造 " 可持续运作的体系 "。只要明确建立以下基本结构——组织与流程建设 → TARA（Threat Analysis and Risk Assessment，威胁分析与风险评估）→ 安全功能应用与验证 → 事后监测与应对，无论是在认证准备阶段，还是在应对外部审查时，都能够实现一致且有序的应对。

首先，应明确组织内部的角色与责任，制定网络安全政策与运营流程，并在开发、生产及售后阶段全生命周期内持续维持。随后，需建立 TARA 流程，系统性识别安全威胁与漏洞，并将相应的应对策略进行文档化。由于这是认证的核心基础，即便安全组织规模较小，也必须具备这一体系。

此外，还需建立持续监测与事故响应体系，以便在发生网络攻击或异常征兆时能够迅速应对。进一步而言，还应构建覆盖多家合作伙伴的供应链管理体系，从而确保相互关联的整个生态系统层面的安全可信性。

5. 汽车制造商在应对韩国《汽车管理法》时需要注意哪些要点？

目前，大多数汽车制造商都将重心放在 CSMS 认证上，但必须同时把 VTA 一并纳入考量。正如前面所说，CSMS 评估的是组织与流程，而 VTA 则用于确认网络安全措施是否在实际车辆中得到有效落实。仅凭完善文档并不足以取得认证。为应对 VTA，必须在控制器与整车层面开展多种安全测试，从多个维度验证网络安全的稳健性与有效性。归根结底，只有从政策与流程到实际车辆落地实现进行一体化推进，汽车网络安全体系才算真正构建完成，这一点务必要牢记。

此外，网络安全绝不止于取得认证。企业应将网络安全内嵌于整体运营中，在全生命周期内持续迭代升级。如果还能具备在突发事故中迅速恢复的 " 网络韧性 "，企业的未来竞争力将得到进一步强化。

─

在本次专访中，从参与制定韩国汽车网络安全法规的专家视角，对制度的整体结构进行了梳理。然而，仅理解法规本身仍不足以实现全面应对。在下一期系列中，将邀请 CSMS 认证审查专家，深入解析实际审查流程中的评估标准与可操作性应对方案。