Gecertificeerde cyberbeveiliging voor de auto-industrie met ENX VCS

Inhoudsopgave

• Bindende voorschriften voor cyberbeveiliging
• ENX VCS - wereldwijd auditprogramma voor ISO/SAE 21434
• Gestandaardiseerde audits - vergelijkbare resultaten
• ^TISAX® en VCS werken samen
• Bewijs van conformiteit volgens ENX VCS
• DQS - Eenvoudig gebruik van beveiliging

Bindende voorschriften voor cyberveiligheid

Om de toenemende cyberdreigingen tegen te gaan, hebben de Verenigde Naties UNECE R 155 en 156 aangenomen, die respectievelijk de implementatie van een Cyber Security Management System (CSMS) en een Software Updates Management System (SUMS) omvatten. De regelgeving is bedoeld om cyberveiligheid te garanderen gedurende de gehele levenscyclus van een model en in de gehele toeleveringsketen. In de EU zijn de voorschriften sinds juli 2024 verplicht voor alle nieuw geproduceerde voertuigen.

ENX VCS - wereldwijd auditprogramma voor ISO/SAE 21434

Met ISO/SAE 21434 (Road Vehicles - Cybersecurity Engineering) is in de loop van de VN-regelgeving een poging gedaan om een richtlijn en bewijs van conformiteit te creëren voor naleving van de regelgeving. In de praktijk bleken de respectievelijke auditprogramma's van de testdienstverleners echter te verschillend - ondanks de specificaties van ISO/PAS 5112. Fabrikanten hadden daarom nog steeds niet de mogelijkheid om de wetgever te voorzien van betrouwbaar en vergelijkbaar bewijs van de naleving door hun leveranciers - die op hun beurt problemen hadden om de naleving van hun contractuele bepalingen te bewijzen op basis van een vergelijkbare testbasis.

Daarom heeft de ENX Association (een vereniging van Europese autofabrikanten, leveranciers en verenigingen) het ENX VCS auditprogramma ontworpen. ENX VCS audit de implementatie van een Cyber Security Management Systeem voor voertuigen (VCSMS) in overeenstemming met ISO 21434 en ISO
5112. Het doorslaggevende voordeel: de VCS audit is wereldwijd gestandaardiseerd en kan sneller worden aangepast aan nieuwe uitdagingen dan een ISO standaard. Een groep internationale experts beoordeelt regelmatig het auditprogramma om het up-to-date te houden.

Gestandaardiseerde audits - vergelijkbare resultaten

Met de gestandaardiseerde ENX VCS audit vermijden bedrijven onnodige, niet in de laatste plaats financiële, kosten die kunnen ontstaan door multi-plane audit processen en uiteenlopende audits. Om wereldwijd vergelijkbare processen bij alle auditaanbieders te garanderen, heeft ENX bij de lancering van het programma ook specifieke Audit Provider Criteria & Assessment Requirements (ACAR VCS) en een bindende auditcatalogus voor Vehicle Cyber Security Audits (VCSA) gepubliceerd. Deze definiëren een reeks verplichte competenties en een bindend proceduremodel voor VCS-auditors - naast de organisatorische audit van de V-CSMS-regelgeving bijvoorbeeld een verplichte document- en procesaudit - en de vorming van een risicogerichte steekproef uit alle cyberbeveiligingsrelevante projecten. De engineeringteams die verantwoordelijk zijn voor de projecten in de steekproef worden vervolgens geïnterviewd door de auditors en experts. De werkresultaten van het team worden beoordeeld om er zeker van te zijn dat het V-CSMS daadwerkelijk in de praktijk wordt gebruikt. Zodra de test met succes is afgerond, kunnen de bedrijven een aanvraag indienen bij ENX voor een overeenkomstig VCS-label en dit beschikbaar stellen aan geïnteresseerde partijen via het ENX-uitwisselingsmechanisme.

TISAX^® en VCS werken samen

Structureel zijn de VCS-audits met het ACAR VCS gebaseerd op de gevestigde automobielstandaard TISAX^®. De twee auditmechanismen vullen elkaar aan: terwijl TISAX^®de informatiebeveiliging in een bedrijf beoordeelt, bevestigt het VCS-label de cyberveiligheid van voertuigonderdelen. Net als ^TISAX® houdt de VCS-audit rekening met de verschillende rollen van leveranciers bij de levering van cyberrelevante componenten. Elke leverancier moet daarom alleen voldoen aan de eisen van de VCSA-auditcatalogus die overeenkomen met hun feitelijke, specifieke rol. Er wordt onderscheid gemaakt tussen verschillende labels:

• VCS Ontwikkeling: Het bedrijf voert de veilige ontwikkeling van VCS-componenten uit - van de integratie. Het proces van het integreren van het systeem in de algemene veiligheidsarchitectuur tot en met de veilige implementatie en de veilige overgang naar productie.
• VCS Productie: Het bedrijf produceert VCS-componenten en zorgt voor de veilige configuratie en software-uitrusting ervan.
• VCS Operatie & Onderhoud: Aan het bedrijf worden loggegevens van het wagenpark toevertrouwd, waarmee problematische bedrijfsomstandigheden kunnen worden geïdentificeerd of specifieke veiligheidsincidenten kunnen worden vastgesteld. Dit label is ook geschikt voor bedrijven die hun VCS-componenten up-to-date moeten houden.