台灣二輪新車掛牌:法規背景概覽
台灣機車新車掛牌須取得安全、排放、噪音、耗能四張合格證,由工研院驗證核章。電動機車申請政府補助需額外通過台灣電動機車標準(TES)測試。本文聚焦於資安合規,以下為法規整體架構。
台灣:現行掛牌法規(背景)
| 審驗類型 | 主管機關 | 說明 |
|---|---|---|
| 安全審驗 | 交通部 | 依「車輛型式安全審驗管理辦法」 |
| 排放審驗 | 環境部 | 機車排放分期管制標準 |
| 噪音審驗 | 環境部 | 與 UN/ECE R41 調和 |
| 耗能審驗 | 經濟部能源局 | 油耗 / 電耗測試 |
| 台灣電動機車標準(TES) | 工業局 | 電動機車補助額外門檻(45 工作天) |
資安合規(本文重點)
| 法規 / 標準 | 說明 |
|---|---|
| UN R155 | 網路安全管理系統(CSMS)認證,2027/12 起 L 類強制 |
| UN R156 | 軟體更新管理系統(SUMS)軟體更新安全管理 |
| ISO 21434 | 車輛資安工程實作標準 |
| 歐盟網路韌性法(CRA) | 歐盟網路韌性法,R155 L 類適用後豁免 |
| ACEA / UNECE | 委任法規 2025/1455、2025/1535 |
重要提醒: 資安法規是車廠「額外加上」的新門檻,不取代現有安全/排放/噪音/耗能規範。
UN R155 資安要求與網路安全管理系統(CSMS)核心內容
UN R155 要求車廠建立並維持網路安全管理系統(CSMS),貫穿車輛整個生命週期。車廠必須建立並證明 CSMS 運作,方可對車型申請認證(VTA)。
CSMS 五大核心領域
1. 組織與政策
- 指定資安負責人與小組
- 建立 CSMS 管理政策文件
- 資安目標與績效指標
- 管理層審查與持續改善
2. 威脅分析與風險評估(TARA)
- 識別車輛資產與通訊介面
- 執行威脅分析與風險評估(TARA)(ISO 21434)
- 風險等級分類(可接受/降低/規避)
- 定期更新風險評估結果
3. 資安設計與技術實作
- Secure Boot / 數位簽章
- ECU 通訊加密(CAN/UDS)
- OTA 更新完整性驗證
- Anti-rollback 防降版保護
4. 事件偵測與回應
- 建立資安事件監控機制
- 漏洞回報與處理流程
- 事件影響範圍評估
- 事件通報與主管機關協調
5. 供應鏈資安管理
- 向 Tier-1/2 廠傳達需求
- 要求軟體物料清單(SBOM)
- 供應商資安審核機制
- 零部件資安變更管理
CSMS 審核方: 交通部或其授權機構(如車輛安全審驗中心 VSCC),審核通過後方可取得 CSMS 認證。
UN R156 — 軟體更新管理系統(SUMS)
UN R156 與 R155 並行實施,在多數採納國被同時納入型式認證強制要求,專門規範車輛軟體更新(含 OTA 與有線更新)的安全管理。車廠需建立軟體更新管理系統(SUMS),取得公司級認證後方可對車型申請軟體更新型式認證。
SUMS 認證雙層結構
第一層:公司級 SUMS 認證
- 以整車廠為單位申請,有效期由主管機關或審核機構規定
- 建立軟體更新(含 OTA 與有線)全流程管理政策與程序
- 須先取得此證書,才可申請車型級認證
第二層:車型級 軟體更新型式認證(軟體識別碼)
- RxSWIN:標記與型式認證(法規相關)模組軟體版本識別碼
- 若僅更新與法規性能無關軟體,可依主管機關規範採簡化審核流程
R156 核心技術要求
| 要求項目 | 說明 |
|---|---|
| 完整性驗證 | 更新套件須有數位簽章,防止未授權韌體執行 |
| 防降版保護 | Anti-rollback 機制,禁止回退至已知漏洞版本 |
| 失敗復原 | 更新失敗時可恢復到已知安全狀況,避免影響行車功能 |
| 電力門檻 | 電力不足時不得執行更新,防止中途中斷 |
| 用戶通知 | 更新前須告知用戶,更新後須確認結果 |
| RxSWIN 管理 | 記錄每個「法規相關」模組的軟體版本識別碼 |
R155(資安)與 R156(軟體更新)在多數採納國同時納入強制要求。
歐盟 L 類時程:2027/12 與 2029/6 強制
歐盟透過委任法規 2025/1455 與 2025/1535,將 L 類車輛(機車、速可達、高速電動自行車等)正式納入 UN R155。
關鍵時程
| 時間點 | 里程碑 | 說明 |
|---|---|---|
| 現行 | M/N 類適用中 | 四輪客/貨車已強制 R155 認證中 |
| 2025 | 委任法規公布 | 2025/1455、1535 正式納入 L 類 |
| 2027/12 | 新車型強制 | L 類新型式車型須符合 R155 |
| 2029/6 | 既有車型強制 | 既有 L 類車型須符合 R155 |
| 持續 | 各國擴散 | UNECE 成員國自訂採用時點 |
2027/12/11 — 新車型
- L 類「新型式車型」必須取得 R155 認證才可在歐盟上市
- 未符合 R155 者不得取得型式認證(等同不能掛牌販售)
- 現在啟動認證即可在此日期前取得資格
2029/6/11 — 既有車型
- 既有 L 類車型也必須符合 R155,才能持續維持型式認證
- 未符合者將喪失歐盟市場銷售資格
- L 類車型不得豁免,無例外條款
ISO/SAE 21434 — 車輛資安工程實作標準
ISO/SAE 21434 是支撐 UN R155 認證的主要技術標準,定義車輛資安工程全生命週期的工作方法與證據要求,供應鏈各層級均需依此執行。
全生命週期工程流程
- 概念階段 — 資安目標定義、Item 定義與功能安全邊界
- 開發階段 — TARA 深度分析、資安需求規格、資安架構設計
- 實作階段 — 安全程式碼開發、Secure Boot / 加密、SBOM 建立
- 驗測階段 — 弱點掃描、Fuzzing 模糊測試、滲透測試
- 量產維護 — OTA 安全更新、漏洞監控與回應、CSMS 持續審查
ISO 21434 合規不僅是車廠義務——供應鏈 Tier-1/2 廠商亦需提供符合標準的開發流程證據與 SBOM。
法規與標準的區別 — R155 vs. ISO 21434
| 比較項目 | UNECE R155(法規) | ISO/SAE 21434(標準) |
|---|---|---|
| 屬性 | 法律文件,具有強制約束力 | 技術標準,理論上自願採用(但為業界實務) |
| 適用範圍 | 指定簽署國/地區(如歐盟 27 國、日韓等) | 全球通用,無地域限制 |
| 責任主體 | 整車廠(OEM),只有 OEM 能申請合規 | 供應鏈全員(OEM、Tier 1、Tier 2 等) |
| 顆粒度 | 較粗,只規定「要做什麼」(What) | 較細,提供工程層面的「如何做」(How) |
| 核心要求 | CSMS(管理體系)+ VTA(車輛型式認證) | 著重於 TARA(風險評估)與工程流程 |
實務上,R155 認證須以 ISO 21434 為技術依據——兩者相輔相成,缺一不可。
整車廠 R155 合規步驟與重點
| 階段 | 時程 | 說明 |
|---|---|---|
| CSMS 體系建設 | 至少 6 個月 | 以整車廠為單位,建立網路安全管理體系 |
| CSMS 體系審核 | 約 6 個月 | 由審批機構或其授權技術服務機構實施 |
| CSMS 發證 | — | 審核通過後由審批機構頒發 |
| VTA 工程實踐 | 至少 12 個月 | 以車型為單位,將 CSMS 在車型中進行落地 |
| VTA 工程審核 | 約 6 個月 | 由審批機構或其授權技術服務機構實施 |
| VTA 發證 | — | 審核通過後由審批機構頒發 |
車廠資安合規準備路線圖
第一階段:盤點與規劃(2026 Q1–Q2)
- CSMS Gap Analysis(對照 UN R155 條文)
- 識別資產與通訊介面(CAN / OBD / BLE / OTA)
- 成立資安小組,指定 CSMS 負責人
- 制定 CSMS 導入計畫與預算
第二階段:CSMS 建置與技術實作(2026 Q3 – 2027 Q2)
- 完成 TARA 威脅分析,輸出資安需求規格
- Secure Boot、OTA 加密、ECU 通訊保護實作
- 建立 SBOM 與供應鏈資安要求文件
- 向 Tier-1/2 廠傳達 ISO 21434 需求
第三階段:驗測與取得認證(2027 Q3 – 2027/12)
- 完成滲透測試、Fuzzing、弱點掃描報告
- 提交 CSMS 文件包至 TÜV / SGS 審核
- 取得 UN R155 型式認證(新車型 2027/12 前完成)
- 建立 VSOC 漏洞監控與 OTA 應急回應機制
關鍵里程碑: 2026 Q1 啟動 → 2027 Q3 審核準備 → 2027/12/11 新車型強制 → 2029/6/11 既有車型強制(歐盟 L 類)
歐特莫夫(AutoMorph)+ Vector:您的資安認證全程夥伴
六大服務模組,覆蓋 R155 / R156 全認證生命週期
- Gap Analysis(缺口評估) — 對照 UN R155 / R156 條文逐項盤點,識別資安缺口與優先改善項目,輸出書面缺口報告與改善計畫
- TARA 威脅分析與風險矩陣 — 執行整車資產與介面威脅建模,輸出安全需求規格與設計約束
- 資安架構設計 — Secure Boot、OTA、ECU 加密實作
- 滲透測試 & Fuzzing — 獨立第三方黑箱滲透測試、Fuzzing 模糊測試 / 弱點掃描,輸出可提交 TÜV / VSCC 測試報告
- 文件整備與審核陪跑 — 整備 VTA 認證所需完整文件包,協助對接 TÜV / SGS 審核機構,R155 CSMS 審核 + R156 SUMS 審核全程支援
- 取證後持續監控 — VSOC 漏洞監控與事件回應機制、OTA 修補流程與 RxSWIN 版本管理、CSMS 年度複查與更新
最終成果:R155 CSMS 證書 + R156 SUMS 證書 + 持續 VSOC 漏洞監控機制
重點摘要
- UN R155 將 L 類二輪車納入資安強制範疇;未通過 CSMS 認證,無法在歐盟取得型式認證
- 歐盟關鍵時程:新車型 2027/12/11,既有車型 2029/6/11(非 2028),L 類不得豁免
- CSMS 需涵蓋 TARA、資安設計、事件回應、供應鏈管理,並通過第三方機構正式審核
- ISO/SAE 21434 為 R155 認證核心技術標準,供應鏈 Tier-1/2 廠亦需同步準備
- 整車廠宜於 2026 年 Q1 啟動 Gap Analysis,CSMS 體系建設至少需 6 個月,VTA 工程實踐至少需 12 個月,2027/12 前時間已非常緊迫