Avantages d'ENX VCS
Mise en œuvre 1:1 des normes ISO 21434 et ISO/PAS 5112
La bonne nouvelle est que quiconque a suivi les normes ISO 21434 et ISO/PAS 5112 en termes de cybersécurité automobile est déjà sur la bonne voie. Les exigences de ces deux normes constituent - mathématiquement parlant - un véritable sous-ensemble des spécifications VCS. Cela signifie que toutes les exigences des deux normes ISO se retrouvent à l'identique dans l'ENX VCS Vehicle Cyber Security.
Par rapport aux audits ISO, ENX VCS permet toutefois un modèle de procédure comparable. Afin de garantir des processus comparables à l'échelle mondiale entre tous les prestataires d'audit, ENX a également publié des "Critères et exigences d'évaluation des prestataires d'audit" (ACAR VCS 1.0) et un catalogue d'audit VCSA 1.0 contraignant lors du lancement du programme. Ces critères et exigences comprennent, entre autres, les éléments suivants
- L'audit organisationnel des règlements du SMCS (principalement des audits de documents et de processus),
- La création d'un échantillon de projets axés sur les risques qui traitent de la cybersécurité des composants,
- L'échantillon de projets est utilisé pour vérifier si les règles SMCS sont appliquées de manière cohérente dans les projets VCS. Il comprend, par exemple, des entretiens avec les membres de l'équipe d'ingénierie et l'examen des résultats de leur travail.
Compétences standardisées
L'ACAR définit également des exigences de compétences standardisées au niveau mondial et des descriptions de rôles pour les auditeurs et les experts :
- Auditeur principal VCS
- Expert VCS
Les connaissances d'un expert du SCV doivent toujours être représentées dans l'équipe d'audit du SCV. Pendant la phase d'entretien, l'expert prend en charge la conversation avec les équipes d'ingénieurs afin de réaliser une évaluation professionnelle des activités et des résultats de travail possibles.
Audit axé sur les rôles
Dans la tradition de TISAX®, ENX VCS prend également en compte les différents rôles que les fournisseurs peuvent jouer dans la fourniture de composants pertinents pour la cybersécurité sous la forme d'un nouveau système de labels VCS. Ainsi, un fournisseur ne doit satisfaire qu'aux exigences du catalogue d'évaluation VCSA correspondant à son rôle respectif :
- Développement VCS
- Production VCS
- Exploitation et maintenance VCS
Efforts comparables
Les labels ENX VCS sont valables trois ans et ne nécessitent pas d'audits de surveillance. En revanche, les audits conformes à la norme ISO/SAE 21434 nécessitent un audit de (re)certification sur trois ans et deux audits de surveillance annuels, avec les frais de déplacement correspondants.
Agilité
Contrairement à la norme ISO, ENX VCS promet également une plus grande souplesse d'adaptation aux nouvelles exigences. Les règlements de l'ACAR font généralement l'objet d'une révision obligatoire une fois par an, qui doit être mise en œuvre par tous les prestataires d'audit VCS.