VCS Audit – Fahrzeug-Cybersicherheit in der Automobilindustrie
Gegenseitige Anerkennung unter allen VCS Teilnehmern
Lieferanten und Dienstleister gewinnen mehr Vertrauen in Ihr geprüftes Unternehmen
Die VCS Zertifizierung erfolgt nur alle 3 Jahre
Einsparung von Zeit und Kosten als Mitglied im VCS Netzwerk
Grundlegende Informationen zur VCS Zertifizierung
Im Rahmen der UN Regelung R 155 werden die Hersteller von Straßenfahrzeugen dazu verpflichtet, die Verantwortung für die Cybersicherheit ihrer Fahrzeuge zu übernehmen. Der Begriff Cybersicherheit bezieht sich dabei auf die Sicherheit und Zuverlässigkeit aller IT-gestützten Komponenten eines Fahrzeugs. Im Unterschied zu rein elektronisch oder physikalisch geregelten Komponenten, werden VCS Komponenten mit Software betrieben. Dadurch kann ein Fahrzeug sein Fahrverhalten dynamisch an Fahrer und Umwelt anpassen, eigenständig einparken oder Notbremsungen einleiten. Aus der Luftfahrt schon länger bekannte By-Wire-Lösungen erlauben neue Design-Lösungen für Fahrgastzellen, leichteres Rangieren in der Innenstadt durch höhere Lenkeinschläge bei niedrigen Geschwindigkeiten (Steer-By-Wire) oder vollautomatische Parkbremsen (Brake-by-Wire).
Die Cyber Security Architektur von Straßenfahrzeugen beruht auf dem sinnvollen Zusammenwirken vieler VCS Komponenten, die zusammen die Funktionalitäten des Fahrzeugs implementieren und oftmals von externen Lieferanten stammen. Mittels VCS können die Hersteller von Ihren Lieferanten den Nachweis erhalten, dass VCS Komponenten unter den wirksamen Regelungen eines CSMS sicher konstruiert, produziert und langfristig gewartet werden können. Auch in 10 Jahren soll es einem vertraglich dazu verpflichteten Lieferanten noch möglich sein ein Update für seine Komponenten zur Verfügung zu stellen, um ein neu aufgetretenes Sicherheitsproblem zu beseitigen. Unser ENX VCS Audit zielt darauf ab, diese Bereitschaft zu prüfen.
Analog zu TISAX® besitzt auch VCS einen Austauschmechanismus für die Ergebnisse von ENX VCS Audits. VCS ist ein Prüfmechanismus der ENX Association. Ein Zusammenschluss europäischer Automobilhersteller, Automobilzulieferer und Automobilverbände, der die Qualität der VCS Zertifizierung überwacht und die Zulassung der VCS Prüfdienstleister steuert.
Welche Vorteile hat ein VCS Audit für Ihr Unternehmen?
- Doppel- und Mehrfachprüfungen durch verschiedene Kunden lassen sich vermeiden, das spart Zeit und Kosten
- Unternehmensübergreifende Anerkennung von Audits durch VCS Teilnehmer
- Zuverlässige Ergebnisse durch den harmonisierten VCSA Prüfkatalog, der einen einheitlichen Auditprozess gewährleistet
- Stärkung des Vertrauens in Ihr geprüftes Unternehmen mit einem oder mehreren VCS Labels namens "VCS Development", "VCS Production" oder "VCS Operations & Maintenance"
Nach erfolgreichem Audit erhalten Sie auf der VCS Online-Plattform Ihre VCS Label zugewiesen. Diese Label sind mit dem Erhalt von Zertifikaten vergleichbar und dienen dazu, Ihre Fähigkeiten als VCS Lieferant zu bestätigen.
Wie funktioniert VCS?
1. Online-Registrierung auf www.enx.com/VCS
2. Wahl eines von ENX zugelassenen Prüfdienstleisters wie die DQS
3. ENX VCS Zertifizierung
4. Austausch der Auditergebnisse auf der VCS Online-Plattform
Ist ein Unternehmen an Ihren VCS Ergebnissen interessiert, so kann es sich bei der ENX als „Information Consumer“ registrieren lassen. Sie können für jeden „Information Consumer“ selber entscheiden, ob Sie Ihren aktuellen VCS Status mit diesem teilen möchten.
Wie läuft eine VCS Zertifizierung ab?
Bevor Sie mit dem VCS Audit beginnen, muss Ihr Unternehmen einen klaren Geltungsbereich festlegen. Dazu gehört auch die Bestimmung für welche VCS Aktivitäten Ihr Unternehmen verantwortlich ist. Auf diese Weise müssen nur diejenigen Anforderungen des VCSA-Prüfkatalogs erfüllt werden, die der realen Rolle entsprechen.
Handelt es sich dabei um VCS Entwicklungstätigkeiten, so müssen Sie die Anforderungen von "VCS Development" erfüllen. Ist Ihr Unternehmen für die sichere Produktion und Basiskonfiguration von VCS Komponenten verantwortlich, so muss es die Anforderungen von "VCS Production" erfüllen. Muss Ihr Unternehmen den langfristigen Betrieb von VCS Komponenten und deren eventuelle Wartung gewährleisten, so muss es die Anforderungen von "VCS Operations & Maintenance" erfüllen.
Auditiert wird das zentrale Cyber Security Management System an dem Ort, welcher das CSMS maßgeblich steuert. Die Wirksamkeit des zentralen CSMS wird an den Standorten überprüft, an denen VCS Aktivitäten des CSMS ausgeführt werden. Es sind somit alle Standorte im Scope des Audits an denen diese verteilten VCS Aktivitäten stattfinden. Im Laufe des Audits wird allerdings eine Stichprobe der VCS Projekte gebildet und daraus ergibt sich, welche Standorte tatsächlich an der Zertifizierung beteiligt werden. Grundsätzlich müssen alle besagten Standorte zum Zeitpunkt des Audits über ein gültiges TISAX® Label verfügen.
- Im ersten Schritt wählen Sie die DQS als Ihren zugelassenen Prüfdienstleister aus.
- Im zweiten Schritt findet ein Kickoff statt, das allen Verantwortlichen eine Orientierung zu den Erwartungen des Auditteams gibt.
- Im dritten Schritt führen Sie ein Self-Assessment Ihres zentralen CSMS mit dem VCSA Prüfkatalog durch und stellen ein Paket der darin referenzierten Dokumente zusammen, welches Sie dem Auditteam zur Verfügung stellen.
- Im vierten Schritt führt Ihr Lead Auditor eine Prüfung aller übergebenen Dokumente durch.
- Im fünften Schritt wird Ihr zentrales CSMS auditiert und auf Konformität mit dem VCSA geprüft.
- Im sechsten Schritt wird nach Risikokriterien eine Stichprobe Ihrer VCS Projekte bestimmt.
- Im siebten Schritt wird in den VCS Projekten der Stichprobe überprüft, ob darin die Regelungen des CSMS tatsächlich umgesetzt wurden. Zu diesem Zweck werden Verantwortliche des Projektteams auditiert und von der ISO/SAE 21434 geforderte Arbeitsergebnisse (work products) eingesehen.
Die Feststellungen aus dem ENX VCS Audit werden in einem Zwischenbericht festgehalten. Bei Abweichungen werden umzusetzende Maßnahmen vereinbart. Bei Bedarf wird die Umsetzung der Maßnahmen in einem vereinbarten Zeitraum festgelegt. Dieses Verfahren stellt sicher, dass alle festgestellten Abweichungen wirksam und zeitnah angegangen werden.
Nach Schließung der Abweichungen findet eine Wirksamkeitsprüfung statt, um die Behebung der Nichtkonformitäten zu validieren und die Gesamtwirksamkeit der ergriffenen Korrekturmaßnahmen zu bewerten.
Das finale Ergebnis wird online auf dem ENX®-Portal eingestellt. Damit ist Ihr Unternehmen als Teilnehmer am VCS Verfahren mit den entsprechenden Prüflabels gelistet.