Ventajas de ENX VCS
Implementación 1:1 de ISO 21434 e ISO/PAS 5112
En primer lugar, la buena noticia es que cualquiera que haya seguido las normas ISO 21434 e ISO/PAS 5112 en materia de ciberseguridad en automoción ya va por buen camino. Los requisitos de ambas normas son -matemáticamente hablando- un auténtico subconjunto de las especificaciones VCS. Esto significa que todos los requisitos de las dos normas ISO pueden encontrarse 1:1 en ENX VCS Vehicle Cyber Security.
Sin embargo, en comparación con las auditorías ISO, ENX VCS permite un modelo de procedimiento comparable. Con el fin de garantizar procesos comparables a nivel mundial entre todos los proveedores de auditorías, ENX también publicó "Criterios de proveedores de auditorías y requisitos de evaluación" específicos (ACAR VCS 1.0) y un catálogo de auditorías VCSA 1.0 vinculante en el lanzamiento del programa. Estos incluyen, entre otras cosas
- La auditoría organizativa de la normativa SGC (principalmente auditorías de documentos y procesos),
- La creación de una muestra orientada al riesgo de proyectos que se ocupan de la ciberseguridad de los componentes,
- La muestra de proyectos se utiliza para comprobar si la normativa CSMS se aplica de forma coherente en los proyectos VCS. Incluye, por ejemplo, entrevistas con miembros del equipo de ingeniería y la revisión de los resultados de su trabajo.
Competencias normalizadas
El ACAR también define requisitos de competencia normalizados a nivel mundial y descripciones de funciones para auditores y expertos:
- Auditor jefe VCS
- Experto VCS
Los conocimientos de un experto VCS deben estar siempre representados en el equipo de auditoría VCS. Durante la fase de entrevista, el experto asume la conversación con los equipos de ingeniería para hacer posible una evaluación profesional de las actividades y los resultados del trabajo.
Auditoría orientada a la función
Siguiendo la tradición de TISAX®, ENX VCS también tiene en cuenta las distintas funciones que pueden desempeñar los proveedores a la hora de suministrar componentes relevantes para la ciberseguridad en forma de un nuevo sistema de etiquetas VCS. De este modo, un proveedor sólo tiene que cumplir los requisitos del catálogo de evaluación VCSA que sean apropiados para su función respectiva:
- VCS Desarrollo
- Producción VCS
- Operaciones y mantenimiento VCS
Esfuerzos comparables
Las etiquetas ENX VCS tienen una validez de tres años y no requieren auditorías de vigilancia. Por el contrario, las auditorías de conformidad con la norma ISO/SAE 21434 requieren una auditoría de (re)certificación durante tres años y dos auditorías anuales de vigilancia con sus correspondientes gastos de viaje.
Agilidad
A diferencia de la norma ISO, ENX VCS también promete una mayor agilidad a la hora de adaptarse a nuevos requisitos. La normativa ACAR suele ser objeto de una revisión obligatoria una vez al año, que deben aplicar todos los proveedores de auditorías VCS.