Ventajas de ENX VCS
Implementación 1:1 de ISO 21434 e ISO/PAS 5112
En primer lugar, la buena noticia es que cualquiera que haya seguido las normas ISO 21434 e ISO/PAS 5112 en términos de ciberseguridad automotriz ya está en el camino correcto. Los requisitos de ambos estándares son, matemáticamente hablando, un subconjunto genuino de las especificaciones VCS. Esto significa que todos los requisitos de los dos estándares ISO se pueden encontrar 1:1 en ENX VCS Vehicle Cyber Security.
Sin embargo, en comparación con las auditorías ISO, ENX VCS permite un modelo de procedimiento comparable. Para garantizar procesos comparables a nivel mundial entre todos los proveedores de auditoría, ENX también publicó "Criterios y requisitos de evaluación de proveedores de auditoría" específicos (ACAR VCS 1.0) y un catálogo de auditoría VCSA 1.0 vinculante en el lanzamiento del programa. Estos incluyen, entre otras cosas:
- La auditoría organizacional de las regulaciones CSMS (principalmente auditorías de documentos y procesos),
- La creación de una muestra de proyectos orientados al riesgo que se ocupan de la ciberseguridad de componentes,
- La muestra de proyectos se utiliza para comprobar si las regulaciones CSMS se aplican consistentemente en los proyectos VCS. Incluye, por ejemplo, entrevistas con miembros del equipo de ingeniería y la revisión de los resultados de su trabajo.
Competencias estandarizadas
ACAR también define requisitos de competencia estandarizados a nivel mundial y descripciones de roles para auditores y expertos:
- Auditor Líder de VCS
- Experto en VCS
El conocimiento de un experto en VCS siempre debe estar representado en el equipo de auditoría de VCS. Durante la fase de entrevista, el experto retoma la conversación con los equipos de ingeniería para hacer posible una valoración profesional de las actividades y de los resultados del trabajo.
Auditoría orientada a roles
Siguiendo la tradición de TISAX®, ENX VCS también considera las diversas funciones que los proveedores pueden desempeñar al proporcionar componentes relevantes para la seguridad cibernética en forma de un nuevo sistema para etiquetas VCS. De esta forma, un proveedor sólo debe cumplir aquellos requisitos del catálogo de evaluación VCSA que sean adecuados a su respectivo rol:
- Desarrollo de VCS
- Producción de VCS
- Operaciones y mantenimiento de VCS
Esfuerzos comparables
Las etiquetas ENX VCS tienen una validez de tres años y no requieren auditorías de vigilancia. Por el contrario, las auditorías de conformidad con ISO/SAE 21434 requieren una auditoría de (re)certificación durante tres años y dos auditorías de seguimiento anuales con los correspondientes gastos de viaje.
Agilidad
A diferencia del estándar ISO, ENX VCS también promete una mayor agilidad a la hora de adaptarse a nuevos requisitos. Las normas ACAR suelen estar sujetas a una revisión obligatoria una vez al año, que deben implementar todos los proveedores de auditorías de VCS.