Vantaggi di ENX VCS
Implementazione 1:1 di ISO 21434 e ISO/PAS 5112
La prima buona notizia è che chi ha seguito le norme ISO 21434 e ISO/PAS 5112 in termini di cybersecurity automobilistica è già sulla strada giusta. I requisiti delle due norme sono - matematicamente parlando - un vero e proprio sottoinsieme delle specifiche VCS. Ciò significa che tutti i requisiti delle due norme ISO si ritrovano 1:1 nell'ENX VCS Vehicle Cyber Security.
Rispetto alle verifiche ISO, tuttavia, ENX VCS consente un modello di procedura comparabile. Al fine di garantire processi comparabili a livello globale tra tutti i fornitori di audit, ENX ha anche pubblicato specifici "Audit Provider Criteria & Assessment Requirements" (ACAR VCS 1.0) e un catalogo di audit VCSA 1.0 vincolante al lancio del programma. Questi includono, tra l'altro
- L'audit organizzativo dei regolamenti CSMS (principalmente audit dei documenti e dei processi),
- la creazione di un campione di progetti orientati al rischio che riguardano la sicurezza informatica dei componenti,
- Il campione di progetti viene utilizzato per verificare se i regolamenti CSMS sono applicati in modo coerente nei progetti VCS. Include, ad esempio, interviste con i membri del team di ingegneria e la revisione dei risultati del loro lavoro.
Competenze standardizzate
L'ACAR definisce anche requisiti di competenza standardizzati a livello globale e descrizioni di ruolo per auditor ed esperti:
- Lead Auditor VCS
- Esperto VCS
Le conoscenze di un esperto VCS devono sempre essere rappresentate nel team di audit VCS. Durante la fase di intervista, l'esperto si occupa della conversazione con i team di ingegneri per effettuare una valutazione professionale delle attività e dei risultati di lavoro possibili.
Audit orientato al ruolo
Nella tradizione di TISAX®, ENX VCS considera anche i diversi ruoli che i fornitori possono svolgere nella fornitura di componenti rilevanti per la sicurezza informatica sotto forma di un nuovo sistema di etichette VCS. In questo modo, un fornitore deve soddisfare solo i requisiti del catalogo di valutazione VCSA che sono appropriati al suo ruolo:
- Sviluppo VCS
- Produzione VCS
- Operazioni e manutenzione VCS
Sforzi comparabili
Le etichette ENX VCS sono valide per tre anni e non richiedono audit di sorveglianza. Al contrario, gli audit in conformità alla norma ISO/SAE 21434 richiedono un audit di (ri)certificazione nell'arco di tre anni e due audit di sorveglianza annuali con relative spese di viaggio.
Agilità
A differenza dello standard ISO, ENX VCS promette anche una maggiore agilità nell'adattarsi ai nuovi requisiti. I regolamenti ACAR sono generalmente soggetti a una revisione obbligatoria una volta all'anno, che deve essere implementata da tutti i fornitori di audit VCS.