Voordelen van ENX VCS
1:1 implementatie van ISO 21434 en ISO/PAS 5112
Het eerste goede nieuws is dat iedereen die ISO 21434 en ISO/PAS 5112 heeft gevolgd op het gebied van cyberbeveiliging in de auto-industrie, al op de goede weg is. De vereisten van de twee normen zijn - wiskundig gesproken - een echte subset van de VCS-specificaties. Dit betekent dat alle eisen van de twee ISO standaarden 1:1 terug te vinden zijn in ENX VCS Vehicle Cyber Security.
Vergeleken met de ISO-audits maakt ENX VCS echter een vergelijkbaar proceduremodel mogelijk. Om wereldwijd vergelijkbare processen voor alle auditaanbieders te garanderen, heeft ENX bij de lancering van het programma ook specifieke "Audit Provider Criteria & Assessment Requirements" (ACAR VCS 1.0) en een bindende VCSA-auditcatalogus 1.0 gepubliceerd. Deze omvatten onder andere:
- De organisatorische audit van de CSMS-regelgeving (voornamelijk document- en procesaudits),
- Het maken van een risicogerichte steekproef van projecten die te maken hebben met de cyberveiligheid van componenten,
- De steekproef van projecten wordt gebruikt om te controleren of de CSMS-regelgeving consistent wordt toegepast in VCS-projecten. Dit omvat bijvoorbeeld interviews met teamleden van het engineeringteam en de beoordeling van hun werkresultaten.
Gestandaardiseerde competenties
ACAR definieert ook wereldwijd gestandaardiseerde competentievereisten en rolbeschrijvingen voor auditors en experts:
- VCS hoofdauditor
- VCS expert
De kennis van een VCS expert moet altijd vertegenwoordigd zijn in het VCS auditteam. Tijdens de interviewfase neemt de expert het gesprek met de engineeringteams over om een professionele beoordeling van de activiteiten en werkresultaten mogelijk te maken.
Rolgeoriënteerde auditing
In de traditie van TISAX® houdt ENX VCS ook rekening met de verschillende rollen die leveranciers kunnen spelen bij het leveren van cybersecurity-relevante componenten in de vorm van een nieuw systeem voor VCS-labels. Op deze manier hoeft een leverancier alleen te voldoen aan die eisen van de VCSA beoordelingscatalogus die passen bij zijn rol:
- VCS Ontwikkeling
- VCS Productie
- VCS Exploitatie en onderhoud
Vergelijkbare inspanningen
De ENX VCS-labels zijn drie jaar geldig en vereisen geen toezichtsaudits. Daarentegen vereisen audits in overeenstemming met ISO/SAE 21434 een (her)certificeringsaudit over drie jaar en twee jaarlijkse toezichtsaudits met bijbehorende reiskosten.
Wendbaarheid
In tegenstelling tot de ISO-norm belooft ENX VCS ook een grotere flexibiliteit bij het aanpassen aan nieuwe vereisten. De ACAR-regelgeving wordt gewoonlijk eenmaal per jaar verplicht herzien, wat door alle VCS-auditaanbieders moet worden geïmplementeerd.