autonomous driving by a e-car, e-mobility

ENX VCS contro ISO 21434: audit sulla sicurezza informatica del veicolo

Holger Schmeken

Esperto DQS per la sicurezza delle informazioni
lug 10 , 2024

La trasformazione digitale dell'industria automobilistica è in pieno svolgimento. Ovunque sia possibile, la meccanica sta lasciando il posto all'elettronica. L'installazione di un maggior numero di componenti E/E rende i veicoli più potenti e aumenta la sicurezza di guida, ma li espone anche ai pericoli degli attacchi informatici. Per questo motivo, le Nazioni Unite hanno adottato l'UN R 155, che prevede l'implementazione di moderni sistemi di gestione della sicurezza informatica (CSMS) e che entrerà pienamente in vigore dal luglio 2024.

Con lo standard ISO/SAE 21434 "Road vehicles - Cybersecurity engineering", esiste già una linea guida a cui si fa riferimento nei requisiti ufficiali, ma nella pratica si è rivelata non sufficientemente precisa. Per consentire un'implementazione standardizzata a livello globale, l'Associazione ENX ha creato una nuova opzione di certificazione con il Vehicle Cyber Security Audits (VCSA). Nel nostro post sul blog, le aziende dell'industria automobilistica possono scoprire perché questo programma di audit è più adatto a dimostrare la conformità alle nuove normative rispetto alla certificazione puramente conforme a ISO/SAE 21434.

L'importanza delle nuove norme per la sicurezza informatica nell'industria automobilistica

Con le nuove norme sulla sicurezza informatica nel settore automobilistico, i requisiti vincolanti si applicheranno a tutti i veicoli di nuova produzione a partire da luglio 2024. Se i requisiti non vengono implementati, le rispettive serie di modelli non riceveranno l'omologazione. La sicurezza informatica olistica, così come intesa dalle autorità con l'implementazione obbligatoria di un sistema di gestione della sicurezza informatica (CSMS), comprende tutti i componenti del veicolo.

La maggior parte dei componenti installati nei veicoli proviene dalla catena di fornitura delle case automobilistiche. L'UN R 155 rende questi produttori responsabili della sicurezza informatica dei componenti che forniscono. Tuttavia, possono influenzare la sicurezza informatica dei componenti solo attraverso gli accordi contrattuali con i fornitori. Come parte della loro gestione del rischio, i produttori di veicoli dipendono quindi da contratti chiari e da audit significativi dei loro fornitori per garantire e mantenere la necessaria sicurezza informatica a lungo termine.

Quali problemi affronta la nuova normativa?

L'introduzione dell'UN R 155 (e dell'UN R 156, che si concentra sugli aggiornamenti del software) da parte del legislatore richiama l'attenzione su diverse questioni complesse che esistono in relazione ai componenti controllati dal software dei veicoli stradali e alla cybersecurity:

  • Come si può garantire che il software per il funzionamento di tali componenti sia progettato, sviluppato e implementato in modo sicuro?
  • Come si fa a dotare un componente della sola versione software prevista nel processo di produzione e come si richiede ai relativi sistemi di produzione di dotare i componenti di una protezione software?
  • Come si può controllare che gli eventi di sicurezza nei componenti siano registrati e che le minacce possano essere efficacemente risolte con aggiornamenti anche dopo dieci anni?

La certificazione ISO 21434 come soluzione?

Per rispondere a queste domande, l'UN R 155 menziona l'istituzione di un sistema di gestione della sicurezza informatica (CSMS) in conformità alla norma ISO/SAE 21434 presso i produttori di veicoli. Un sistema di gestione è un insieme di processi e procedure utilizzati per gestire e controllare efficacemente un'azienda o un'organizzazione.
Ai fini dello standard, il termine "sicurezza informatica" nell'industria automobilistica si riferisce specificamente alla protezione dei sistemi informatici, delle reti e dei relativi dati nei veicoli stradali. Ciò include misure e strategie per garantire la sicurezza e l'integrità dei sistemi digitali utilizzati nei veicoli.

Per garantire la sicurezza informatica, lo standard specifica i processi e le procedure per un CSMS nella progettazione della sicurezza, nello sviluppo del prodotto, nella manutenzione del prodotto, nel rilevamento dei rischi, nella prevenzione dei pericoli, nello smaltimento del prodotto e nei processi continui associati. Lo standard fornisce quindi un modello architettonico completo di un CSMS, compreso un modello di processo per la valutazione dei rischi nella cybersecurity, denominato Threat and Risk Analysis (TARA).

Di seguito, è possibile scoprire quali sono le argomentazioni che si oppongono a una certificazione ISO/SAE 21434 pura per soddisfare i requisiti dell'UN R 155.

Sicurezza informatica nel settore automobilistico: nuove norme a partire da luglio 2024

Con la digitalizzazione, i rischi di attacchi sono aumentati rapidamente. Le case automobilistiche sono un obiettivo interessante per i criminali informatici sotto molti aspetti. Leggete il nostro blog post per scoprire quali sono le normative in vigore per proteggerle.

Il blog

Requisiti per gli audit che utilizzano la norma ISO/PAS 5112

La norma ISO/SAE 21434 lascia molto spazio all'interpretazione per quanto riguarda le modalità di audit di un CSMS. Poiché ogni fornitore di audit crea il proprio programma di audit per lo standard ISO 21434 in base ai regolamenti del proprio organismo di accreditamento, l'ISO/PAS 5112 ha reso necessario standardizzare il processo di audit per la sicurezza informatica e il CSMS di un'organizzazione.

L'ISO/PAS 5112 contiene linee guida generali per la gestione di un programma di audit e fornisce alle organizzazioni le informazioni necessarie per la pianificazione e l'implementazione di un audit. Definisce inoltre le competenze degli auditor CSMS e spiega come verificare l'attuazione dello standard.

Perché l'audit VCS è stato sviluppato da ENX

Nonostante questi sforzi per migliorare la standardizzazione, i programmi di audit sulla cybersecurity nell'industria automobilistica variano ancora molto.

In un contesto di catene di fornitura profondamente integrate con più partner contrattuali, i programmi di audit non comparabili rappresentano un problema importante per i produttori di veicoli. I produttori devono poter contare sui risultati degli audit dei fornitori del sistema di gestione della sicurezza informatica (CSMS) per la loro gestione del rischio.

ENX ha riconosciuto questa esigenza e ha sviluppato una soluzione in collaborazione con l'industria automobilistica, implementando un programma di audit standardizzato a livello globale chiamato ENX VCS (Vehicle Cyber Security). ENX ha utilizzato la sua rete di membri per adattare il programma di audit ai requisiti specifici del settore.

Allo stesso tempo, la sola ISO/SAE 21434 non è sufficiente per soddisfare tutti i requisiti normativi dell'UN R 155. Sebbene l'UN R 155 faccia riferimento alla ISO/SAE 21434 come esempio dei processi di un CSMS, richiede anche che le capacità del CSMS siano mantenute su base continuativa:

  • UN R 155, capitolo 7.2.2.3: Le minacce e le vulnerabilità informatiche che richiedono una risposta da parte del costruttore del veicolo devono essere affrontate in tempi ragionevoli.
  • UN R 155, capitolo 7.2.2.4: il costruttore del veicolo deve dimostrare che le procedure applicate nel suo sistema di gestione della sicurezza informatica garantiscono che il monitoraggio di cui al paragrafo 7.2.2.2 g) avvenga regolarmente.

I requisiti di cui sopra possono essere realisticamente soddisfatti a lungo termine solo se accanto al CSMS viene utilizzato un sistema di gestione della sicurezza delle informazioni (ISMS) che garantisca in modo permanente la sicurezza delle informazioni in tutta l'azienda. Per questo motivo, ENX VCS richiede sempre che anche i siti di sviluppo abbiano superato una valutazione TISAX. In questo modo, il fornitore sottoposto ad audit può dimostrare in modo sostenibile l'adempimento dei propri obblighi di due diligence attraverso una gestione consapevole e avversa ai rischi.

ISO 27001 - la sicurezza delle informazioni classica

ISO/IEC 27001 è lo standard internazionale leader per l'introduzione di un sistema di gestione olistico per la sicurezza delle informazioni. Lo standard ISO è stato recentemente rivisto e ripubblicato il 25 ottobre 2022.

ISO 27001 - maggior in­for­ma­zio­ni

Vantaggi di ENX VCS

Implementazione 1:1 di ISO 21434 e ISO/PAS 5112

La prima buona notizia è che chi ha seguito le norme ISO 21434 e ISO/PAS 5112 in termini di cybersecurity automobilistica è già sulla strada giusta. I requisiti delle due norme sono - matematicamente parlando - un vero e proprio sottoinsieme delle specifiche VCS. Ciò significa che tutti i requisiti delle due norme ISO si ritrovano 1:1 nell'ENX VCS Vehicle Cyber Security.

Rispetto alle verifiche ISO, tuttavia, ENX VCS consente un modello di procedura comparabile. Al fine di garantire processi comparabili a livello globale tra tutti i fornitori di audit, ENX ha anche pubblicato specifici "Audit Provider Criteria & Assessment Requirements" (ACAR VCS 1.0) e un catalogo di audit VCSA 1.0 vincolante al lancio del programma. Questi includono, tra l'altro

  • L'audit organizzativo dei regolamenti CSMS (principalmente audit dei documenti e dei processi),
  • la creazione di un campione di progetti orientati al rischio che riguardano la sicurezza informatica dei componenti,
  • Il campione di progetti viene utilizzato per verificare se i regolamenti CSMS sono applicati in modo coerente nei progetti VCS. Include, ad esempio, interviste con i membri del team di ingegneria e la revisione dei risultati del loro lavoro.

Competenze standardizzate

L'ACAR definisce anche requisiti di competenza standardizzati a livello globale e descrizioni di ruolo per auditor ed esperti:

  • Lead Auditor VCS
  • Esperto VCS

Le conoscenze di un esperto VCS devono sempre essere rappresentate nel team di audit VCS. Durante la fase di intervista, l'esperto si occupa della conversazione con i team di ingegneri per effettuare una valutazione professionale delle attività e dei risultati di lavoro possibili.

Audit orientato al ruolo

Nella tradizione di TISAX®, ENX VCS considera anche i diversi ruoli che i fornitori possono svolgere nella fornitura di componenti rilevanti per la sicurezza informatica sotto forma di un nuovo sistema di etichette VCS. In questo modo, un fornitore deve soddisfare solo i requisiti del catalogo di valutazione VCSA che sono appropriati al suo ruolo:

  • Sviluppo VCS
  • Produzione VCS
  • Operazioni e manutenzione VCS

Sforzi comparabili

Le etichette ENX VCS sono valide per tre anni e non richiedono audit di sorveglianza. Al contrario, gli audit in conformità alla norma ISO/SAE 21434 richiedono un audit di (ri)certificazione nell'arco di tre anni e due audit di sorveglianza annuali con relative spese di viaggio.

Agilità

A differenza dello standard ISO, ENX VCS promette anche una maggiore agilità nell'adattarsi ai nuovi requisiti. I regolamenti ACAR sono generalmente soggetti a una revisione obbligatoria una volta all'anno, che deve essere implementata da tutti i fornitori di audit VCS.

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Conclusioni: ENX VCS: un modo sensato di impostare la rotta

In sintesi, il programma di audit ENX VCS consente un'implementazione migliorata a livello globale dell'audit in conformità ai requisiti delle norme ISO/SAE 21434 e ISO/PAS 5112. La maggiore comparabilità globale del nuovo marchio garantisce una fiducia significativamente maggiore nella certificazione e nell'implementazione dei requisiti di sicurezza informatica della norma UN R 155.

DQS: il vostro partner affidabile per la certificazione

DQS, uno dei più esperti fornitori di servizi tedeschi per la certificazione dei sistemi di gestione, collabora con ENX da molti anni ed è stato direttamente coinvolto nello sviluppo del nuovo programma di audit. Durante il lungo periodo di sviluppo che ha portato alla pubblicazione del programma, DQS ha acquisito una preziosa esperienza in un gran numero di audit di prova ed è quindi perfettamente preparata ad effettuare l'audit del vostro CSMS sulla base delle specifiche VCS.

Approfittate delle conoscenze dei nostri esperti e imparate tutto ciò che vi serve su ENX VCS e sulla sua importanza per la vostra azienda. Con oltre 35 anni di esperienza e il know-how di 2.500 auditor in tutto il mondo, siamo il vostro partner di certificazione competente e forniamo risposte a tutte le domande relative alla protezione dei dati e alla sicurezza delle informazioni.

questions-answers-dqs-question mark on wooden dice on table

Saremo felici di rispondere alle tue domande

Quali sono i requisiti per la certificazione ISO 27001, IATF 16949, ENX VCS o una valutazione TISAX®? E quale impegno dovete aspettarvi? Scopritelo voi stessi. Non vincolante e gratuito.

Speriamo di sentirvi presto
Autore
Holger Schmeken

Responsabile di prodotto ed esperto di sicurezza delle informazioni e sviluppo software. Holger Schmeken contribuisce anche con la sua esperienza come auditor ISO 27001 con competenza nella procedura di audit KRITIS.

Articoli ed eventi rilevanti

Potrebbe interessarti
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lezioni apprese dalla ISO 27001 - un caso di studio di ENTERBRAIN Software

Leggi di più
Blog
technical-measures-information-security-dqs-servers-cabinet-with-grid-door-and-lockable-door-handle

Misure tecniche per la sicurezza delle informazioni

Leggi di più
Blog
ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Sicurezza ICT per la continuità aziendale - controllo 5.30 in ISO 27001

Leggi di più

Hai delle domande?

Siamo qui per te.
Contattaci