Car interior with large display and digital interface on a blurred background

VCS Zer­ti­fi­zie­rung

Vehicle Cyber Security
Ihre Anfrage


VCS Audit – Fahr­zeug-Cy­ber­si­cher­heit in der Au­to­mo­bil­in­dus­trie

Sie sind Ent­wick­ler oder Her­stel­ler oder übernehmen die lang­fris­ti­ge Wartung von VCS Kom­po­nen­ten, die sich in die Cy­ber­si­cher­heits-Ar­chi­tek­tur eines Fahr­zeugs in­te­grie­ren? Dann müssen Sie einen Nachweis er­brin­gen, dass Sie die ver­trag­lich zu­ge­si­cher­ten An­for­de­run­gen der Norm ISO/SAE 21434 über den gesamten Le­bens­zy­klus des Fahr­zeugs erfüllen.

Als Teil­neh­mer am VCS Ver­fah­ren ist das über ent­spre­chen­de Audits möglich, welche alle 3 Jahre und für die Dauer der ver­trag­lich übernommenen Pflich­ten erfolgen müssen. Die VCS Zertifizierung ist über alle Branchen hinweg an­wend­bar und de­fi­niert An­for­de­run­gen an Ihr Cyber Security Ma­nage­ment System (CSMS) über alle re­le­van­ten Le­bens­zy­klen Ihrer VCS Kom­po­nen­ten. Vor­aus­set­zung für die VCS Zer­ti­fi­zie­rung ist ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem (ISMS) gemäß TISAX® und ein Qualitätsmanagementsystem.

Gegenseitige Anerkennung unter allen VCS Teilnehmern

Lieferanten und Dienstleister gewinnen mehr Vertrauen in Ihr geprüftes Unternehmen

Die VCS Zertifizierung erfolgt nur alle 3 Jahre

Einsparung von Zeit und Kosten als Mitglied im VCS Netzwerk

Beschreibung Standard/Regelwerk

Grund­le­gen­de In­for­ma­tio­nen zur VCS Zer­ti­fi­zie­rung

VCS ist ein ge­mein­sa­mes Prüf- und Aus­tausch­ver­fah­ren für Un­ter­neh­men in der Au­to­mo­bil­in­dus­trie. Es basiert auf dem Fra­gen­ka­ta­log VCSA (Vehicle Cyber Security Audit). VCS stellt ein in­ter­na­tio­nal nor­mier­tes Au­dit­pro­gramm dar und im­ple­men­tiert die we­sent­li­chen Aspekte der in­ter­na­tio­na­len Normen ISO/SAE 21434 und ISO/PAS 5112 für Cy­ber Security Ma­nage­ment Sys­te­me (CSMS).

Im Rahmen der UN Regelung R 155 werden die Her­stel­ler von Straßenfahrzeugen dazu ver­pflich­tet, die Ver­ant­wor­tung für die Cy­ber­si­cher­heit ihrer Fahr­zeu­ge zu übernehmen. Der Begriff Cy­ber­si­cher­heit bezieht sich dabei auf die Si­cher­heit und Zuverlässigkeit aller IT-gestützten Kom­po­nen­ten eines Fahr­zeugs. Im Un­ter­schied zu rein elek­tro­nisch oder phy­si­ka­lisch ge­re­gel­ten Kom­po­nen­ten, werden VCS Kom­po­nen­ten mit Software be­trie­ben. Dadurch kann ein Fahrzeug sein Fahr­ver­hal­ten dy­na­misch an Fahrer und Umwelt an­pas­sen, eigenständig ein­par­ken oder Not­brem­sun­gen ein­lei­ten. Aus der Luft­fahrt schon länger bekannte By-Wire-Lösungen erlauben neue Design-Lösungen für Fahr­gast­zel­len, leich­te­res Ran­gie­ren in der In­nen­stadt durch höhere Lenkeinschläge bei nied­ri­gen Ge­schwin­dig­kei­ten (Steer-By-Wire) oder voll­au­to­ma­ti­sche Park­brem­sen (Bra­ke-by-Wire).

Die Cyber Security Ar­chi­tek­tur von Straßenfahrzeugen beruht auf dem sinn­vol­len Zu­sam­men­wir­ken vieler VCS Kom­po­nen­ten, die zusammen die Funktionalitäten des Fahr­zeugs im­ple­men­tie­ren und oftmals von externen Lie­fe­ran­ten stammen. Mittels VCS können die Her­stel­ler von Ihren Lie­fe­ran­ten den Nachweis er­hal­ten, dass VCS Kom­po­nen­ten unter den wirk­sa­men Re­ge­lun­gen eines CSMS sicher kon­stru­iert, pro­du­ziert und lang­fris­tig gewartet werden können. Auch in 10 Jahren soll es einem ver­trag­lich dazu ver­pflich­te­ten Lie­fe­ran­ten noch möglich sein ein Update für seine Kom­po­nen­ten zur Verfügung zu stellen, um ein neu auf­ge­tre­te­nes Si­cher­heits­pro­blem zu be­sei­ti­gen. Unser ENX VCS Audit zielt darauf ab, diese Be­reit­schaft zu prüfen.

Analog zu TISAX® besitzt auch VCS einen Aus­tauschme­cha­nis­mus für die Er­geb­nis­se von ENX VCS Audits. VCS ist ein Prüfmechanismus der ENX As­so­cia­ti­on. Ein Zu­sam­men­schluss europäischer Au­to­mo­bil­her­stel­ler, Au­to­mo­bil­zu­lie­fe­rer und Automobilverbände, der die Qualität der VCS Zertifizierung überwacht und die Zu­las­sung der VCS Prüfdienstleister steu­ert.

mehr anzeigen
weniger anzeigen
Mehrwert

Welche Vorteile hat ein VCS Audit für Ihr Un­ter­neh­men?

Als Dienst­leis­ter oder Zu­lie­fe­rer für VCS Kom­po­nen­ten übernehmen Sie gegenüber Her­stel­lern die Ver­ant­wor­tung für be­stimm­te Aktivitäten, die die Cy­ber­si­cher­heit der Kom­po­nen­ten be­stim­men. Mit einem ENX VCS Audit erhalten Sie nicht nur einen Konformitätsnachweis durch die DQS, sondern be­trei­ben auch ein pro­ak­ti­ves Ri­si­ko­ma­nage­ment. Gerade im Hinblick auf die sehr lang­fris­ti­gen Ver­pflich­tun­gen können wir dazu bei­tra­gen, dass Ihre Maßnahmen lang­fris­tig an­ge­mes­sen sind. Bisher wurden diese Prüfungen vor allem durch die Her­stel­ler selbst durchgeführt. Re­gis­trier­te Teil­neh­mer am VCS Netzwerk können über eine ge­mein­sa­me On­line-Platt­form einen Prüfdienstleister auswählen und mit einer VCS Zertifizierung beauftragen. Die Vorteile für Un­ter­neh­men überwiegen:

  • Dop­pel- und Mehrfachprüfungen durch ver­schie­de­ne Kunden lassen sich ver­mei­den, das spart Zeit und Kosten
  • Unternehmensübergreifende An­er­ken­nung von Audits durch VCS Teilnehmer
  • Zuverlässige Er­geb­nis­se durch den har­mo­ni­sier­ten VCSA Prüfkatalog, der einen ein­heit­li­chen Au­dit­pro­zess gewährleistet
  • Stärkung des Ver­trau­ens in Ihr geprüftes Un­ter­neh­men mit einem oder mehreren VCS Labels namens "VCS De­ve­lo­p­ment", "VCS Pro­duc­tion" oder "VCS Ope­ra­ti­ons & Main­ten­an­ce"

Nach er­folg­rei­chem Audit erhalten Sie auf der VCS On­line-Platt­form Ihre VCS Label zu­ge­wie­sen. Diese Label sind mit dem Erhalt von Zer­ti­fi­ka­ten ver­gleich­bar und dienen dazu, Ihre Fähigkeiten als VCS Lie­fe­rant zu bestätigen.

mehr anzeigen
weniger anzeigen
Wie funktioniert

Wie funk­tio­niert VCS?

In VCS können Teil­neh­mer zwei ver­schie­de­ne Rollen ein­neh­men: den „Information Consumer“ (pas­siv), zum Beispiel als Her­stel­ler, der In­for­ma­tio­nen über einen Lie­fe­ran­ten erhalten möchte, sowie den „Information Contributor“ (aktiv), zum Beispiel als VCS Zu­lie­fe­rer oder Dienst­leis­ter, der sich auf seine Eignung au­di­tie­ren lassen möchte, um von Her­stel­lern be­auf­tragt werden zu können.

Ein Un­ter­neh­men kann auch beide Teil­neh­mer-Rol­len ein­neh­men. Wer als In­for­ma­ti­on Con­tri­bu­tor an VCS teil­neh­men möchte, muss die fol­gen­den vier Haupt­schrit­te um­set­zen:

1. On­line-Re­gis­trie­rung auf www.enx.com/VCS

2. Wahl eines von ENX zu­ge­las­se­nen Prüfdienstleisters wie die DQS 

3. ENX VCS Zer­ti­fi­zie­rung

4. Aus­tausch der Au­dit­er­geb­nis­se auf der VCS On­line-Platt­form

Ist ein Un­ter­neh­men an Ihren VCS Er­geb­nis­sen in­ter­es­siert, so kann es sich bei der ENX als „Information Consumer“ re­gis­trie­ren lassen. Sie können für jeden „Information Consumer“ selber ent­schei­den, ob Sie Ihren ak­tu­el­len VCS Status mit diesem teilen möchten.

mehr anzeigen
weniger anzeigen
Business28.png

Wie läuft eine VCS Zer­ti­fi­zie­rung ab?

Bevor Sie mit dem VCS Audit beginnen, muss Ihr Unternehmen einen klaren Geltungsbereich festlegen. Dazu gehört auch die Bestimmung für welche VCS Aktivitäten Ihr Unternehmen verantwortlich ist. Auf diese Weise müssen nur diejenigen Anforderungen des VCSA-Prüfkatalogs erfüllt werden, die der realen Rolle entsprechen. 

Handelt es sich dabei um VCS Entwicklungstätigkeiten, so müssen Sie die Anforderungen von "VCS Development" erfüllen. Ist Ihr Unternehmen für die sichere Produktion und Basiskonfiguration von VCS Komponenten verantwortlich, so muss es die Anforderungen von "VCS Production" erfüllen. Muss Ihr Unternehmen den langfristigen Betrieb von VCS Komponenten und deren eventuelle Wartung gewährleisten, so muss es die Anforderungen von "VCS Operations & Maintenance" erfüllen.

Auditiert wird das zentrale Cyber Security Management System an dem Ort, welcher das CSMS maßgeblich steuert. Die Wirksamkeit des zentralen CSMS wird an den Standorten überprüft, an denen VCS Aktivitäten des CSMS ausgeführt werden. Es sind somit alle Standorte im Scope des Audits an denen diese verteilten VCS Aktivitäten stattfinden. Im Laufe des Audits wird allerdings eine Stichprobe der VCS Projekte gebildet und daraus ergibt sich, welche Standorte tatsächlich an der Zertifizierung beteiligt werden. Grundsätzlich müssen alle besagten Standorte zum Zeitpunkt des Audits über ein gültiges TISAX® Label verfügen.

  • Im ersten Schritt wählen Sie die DQS als Ihren zugelassenen Prüfdienstleister aus.
  • Im zweiten Schritt findet ein Kickoff statt, das allen Verantwortlichen eine Orientierung zu den Erwartungen des Auditteams gibt.
  • Im dritten Schritt führen Sie ein Self-Assessment Ihres zentralen CSMS mit dem VCSA Prüfkatalog durch und stellen ein Paket der darin referenzierten Dokumente zusammen, welches Sie dem Auditteam zur Verfügung stellen.
  • Im vierten Schritt führt Ihr Lead Auditor eine Prüfung aller übergebenen Dokumente durch.
  • Im fünften Schritt wird Ihr zentrales CSMS auditiert und auf Konformität mit dem VCSA geprüft.
  • Im sechsten Schritt wird nach Risikokriterien eine Stichprobe Ihrer VCS Projekte bestimmt.
  • Im siebten Schritt wird in den VCS Projekten der Stichprobe überprüft, ob darin die Regelungen des CSMS tatsächlich umgesetzt wurden. Zu diesem Zweck werden Verantwortliche des Projektteams auditiert und von der ISO/SAE 21434 geforderte Arbeitsergebnisse (work products) eingesehen.

Die Feststellungen aus dem ENX VCS Audit werden in einem Zwischenbericht festgehalten. Bei Abweichungen werden umzusetzende Maßnahmen vereinbart. Bei Bedarf wird die Umsetzung der Maßnahmen in einem vereinbarten Zeitraum festgelegt. Dieses Verfahren stellt sicher, dass alle festgestellten Abweichungen wirksam und zeitnah angegangen werden.

Nach Schließung der Abweichungen findet eine Wirksamkeitsprüfung statt, um die Behebung der Nichtkonformitäten zu validieren und die Gesamtwirksamkeit der ergriffenen Korrekturmaßnahmen zu bewerten.

Das finale Ergebnis wird online auf dem ENX®-Portal eingestellt. Damit ist Ihr Unternehmen als Teilnehmer am VCS Verfahren mit den entsprechenden Prüflabels gelistet.

Banking13.png

Was kostet die VCS Zer­ti­fi­zie­rung?

Die benötigten VCS Labels be­stim­men, welche Kapitel des VCSA konkret geprüft werden: VCS De­ve­lo­p­ment, VCS Pro­duc­tion oder VCS Ope­ra­ti­ons & Main­ten­an­ce. Daraus ergibt sich, dass für jedes Un­ter­neh­men die benötigten Per­so­nen­ta­ge für ein VCS Audit anders aus­fal­len. Selbst im Audit kann sich noch die Not­wen­dig­keit ergeben, dass weitere Per­so­nen­ta­ge er­for­der­lich sind. Dies wiederum be­ein­flusst den Umfang der Zertifizierung und damit die Kos­ten.

Die Ge­samt­zahl der VCS Projekte bestimmt den Min­dest­um­fang der Stich­pro­be. Daraus ergibt sich welche Pro­jekt­teams an welchen Stand­or­ten zu au­di­tie­ren sind.

Business2.png

Das können Sie von uns erwarten

  • DQS ist zu­ge­las­se­ner Prüfdienstleiter der ENX Association
  • Wertschöpfende Ein­bli­cke zur In­for­ma­ti­ons­si­cher­heit in Ihrem Un­ter­neh­men
  • Ak­kre­di­tie­run­gen für alle maßgeblichen Re­gel­wer­ke der Au­to­mo­bil­in­dus­trie
  • Er­fah­re­ne Au­di­to­ren und Experten aus Au­to­mo­bil­in­dus­trie und In­for­ma­ti­ons­si­cher­heit
  • Mehr als 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und Prozessen
  • Persönliche, rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kos­ten
philipp tesar-dqs-contact person

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für ein ENX VCS Au­dit.

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns