autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Cyberbeveiligingsaudit voor voertuigen

Holger Schmeken

DQS-expert voor informatiebeveiliging
jul. 10 , 2024
# Cyberbeveiliging in de auto-industrie

De digitale transformatie van de auto-industrie is in volle gang. Waar mogelijk maken mechanische onderdelen plaats voor elektronica. Het installeren van meer E/E-componenten maakt voertuigen krachtiger en verhoogt de rijveiligheid - maar het stelt ze ook bloot aan de gevaren van cyberaanvallen. Daarom hebben de Verenigde Naties UN R 155 aangenomen, die voorziet in de implementatie van moderne beheersystemen voor cyberveiligheid (CSMS) en volledig van kracht wordt vanaf juli 2024.

Met de ISO/SAE 21434-norm "Road vehicles - Cybersecurity engineering" bestaat er al een richtlijn waarnaar in de officiële vereisten wordt verwezen, maar die bleek in de praktijk niet nauwkeurig genoeg. Om een wereldwijd gestandaardiseerde implementatie mogelijk te maken, heeft de ENX Association een nieuwe certificeringsoptie gecreëerd met de Vehicle Cyber Security Audits (VCSA). In onze blogpost kunnen bedrijven in de auto-industrie lezen waarom dit auditprogramma beter geschikt is om naleving van de nieuwe regelgeving aan te tonen dan certificering puur volgens ISO/SAE 21434.

Het belang van de nieuwe regelgeving voor cybersecurity in de auto-industrie

Met de nieuwe regelgeving voor cyberveiligheid in de auto-industrie gelden vanaf juli 2024 bindende eisen voor alle nieuw geproduceerde voertuigen. Als de vereisten niet worden geïmplementeerd, krijgt de betreffende modelserie geen typegoedkeuring. Holistische cyberbeveiliging, zoals bedoeld door de autoriteiten met de verplichte implementatie van een Cyber Security Management System (CSMS), omvat alle voertuigonderdelen.

De meeste onderdelen die in voertuigen worden geïnstalleerd, zijn afkomstig van de toeleveringsketen van de autofabrikanten. UN R 155 maakt deze fabrikanten verantwoordelijk voor de cyberveiligheid van de onderdelen die ze leveren. Ze kunnen de cyberveiligheid van de onderdelen echter alleen beïnvloeden via hun contractuele overeenkomsten met de leveranciers. Als onderdeel van hun risicobeheer zijn autofabrikanten daarom afhankelijk van duidelijke contracten en zinvolle audits van hun leveranciers om de noodzakelijke cyberveiligheid op de lange termijn te garanderen en te handhaven.

Welke problemen pakken de nieuwe reglementen aan?

De introductie van UN R 155 (en UN R 156, dat zich richt op software-updates) door de wetgever vestigt de aandacht op verschillende complexe problemen die bestaan met betrekking tot softwaregestuurde onderdelen van wegvoertuigen en cyberbeveiliging:

  • Hoe kan worden gewaarborgd dat software voor de bediening van dergelijke onderdelen veilig wordt ontworpen, ontwikkeld en geïmplementeerd?
  • Hoe wordt een onderdeel in het productieproces uitgerust met alleen de bedoelde softwareversie en hoe moeten de relevante productiesystemen de onderdelen uitrusten met softwarebeveiliging?
  • Hoe kan worden gecontroleerd dat beveiligingsgebeurtenissen in de componenten worden geregistreerd en bedreigingen effectief kunnen worden verholpen door updates, zelfs na tien jaar?

ISO 21434 certificering als oplossing?

Om deze vragen te beantwoorden, noemt UN R 155 het opzetten van een cybersecurity managementsysteem (CSMS) in overeenstemming met ISO/SAE 21434 bij voertuigfabrikanten. Een beheersysteem is een verzameling processen en procedures die worden gebruikt om een bedrijf of organisatie effectief te beheren en te controleren.
In het kader van de norm verwijst de term "cyberveiligheid" in de auto-industrie specifiek naar de bescherming van computersystemen, netwerken en hun gegevens in wegvoertuigen. Dit omvat maatregelen en strategieën om de veiligheid en integriteit van digitale systemen in voertuigen te waarborgen.

Om cyberbeveiliging te garanderen, specificeert de norm processen en procedures voor een CSMS in beveiligingsontwerp, productontwikkeling, productonderhoud, risicodetectie, risicopreventie, productverwijdering en de bijbehorende continue processen. De norm biedt dus een uitgebreid architectuurmodel van een CSMS, inclusief een procesmodel voor het beoordelen van risico's op het gebied van cyberbeveiliging, dat Threat and Risk Analysis (TARA) wordt genoemd.

Hieronder vindt u de argumenten tegen een zuivere ISO/SAE 21434-certificering om te voldoen aan de vereisten van UN R 155.

Cyberveiligheid in de auto-industrie: nieuwe regelgeving vanaf juli 2024

Met de digitalisering zijn de risico's op aanvallen snel toegenomen. Autofabrikanten zijn in veel opzichten een aantrekkelijk doelwit voor cybercriminelen. Lees onze blogpost en ontdek welke regelgeving er is om hen te beschermen.

To the blog article

Vereisten voor audits volgens ISO/PAS 5112

ISO/SAE 21434 laat veel ruimte voor interpretatie over hoe een CSMS geauditeerd moet worden. Omdat elke auditaanbieder zijn eigen auditprogramma maakt voor de ISO 21434-norm volgens de voorschriften van zijn accreditatie-instelling, maakte ISO/PAS 5112 het noodzakelijk om het auditproces voor de cybersecurity en het CSMS van een organisatie te standaardiseren.

ISO/PAS 5112 bevat algemene richtlijnen voor het beheren van een auditprogramma en biedt organisaties de nodige informatie over het plannen en uitvoeren van een audit. Het definieert ook de competenties van CSMS-auditors en legt uit hoe de implementatie van de norm kan worden geverifieerd.

Waarom de VCS audit is ontwikkeld door ENX

Ondanks deze inspanningen om de standaardisatie te verbeteren, lopen de resulterende cyberbeveiligingsauditprogramma's in de auto-industrie nog steeds sterk uiteen.

Tegen de achtergrond van diep geïntegreerde toeleveringsketens met meerdere contractuele partners, vormen de niet-vergelijkbare auditprogramma's een groot probleem voor autofabrikanten. Fabrikanten moeten kunnen vertrouwen op de resultaten van leveranciersaudits van het cybersecurity managementsysteem (CSMS) voor hun risicomanagement.

ENX heeft deze behoefte onderkend en een oplossing ontwikkeld in samenwerking met de auto-industrie door het implementeren van een wereldwijd gestandaardiseerd auditprogramma genaamd ENX VCS (Vehicle Cyber Security). ENX heeft haar ledennetwerk gebruikt om het auditprogramma aan te passen aan de specifieke eisen van de industrie.

Tegelijkertijd is ISO/SAE 21434 alleen niet voldoende om aan alle wettelijke vereisten van UN R 155 te voldoen. Hoewel UN R 155 verwijst naar ISO/SAE 21434 als een voorbeeld van de processen van een CSMS, vereist het ook dat de capaciteiten van het CSMS voortdurend moeten worden onderhouden:

  • UN R 155, hoofdstuk 7.2.2.3: Cyberbedreigingen en kwetsbaarheden die een reactie van de voertuigfabrikant vereisen, moeten binnen een redelijke termijn worden aangepakt.
  • UN R 155, hoofdstuk 7.2.2.4: De voertuigfabrikant toont aan dat de in zijn beheersysteem voor cyberbeveiliging toegepaste procedures garanderen dat de in punt 7.2.2.2, onder g), bedoelde monitoring regelmatig plaatsvindt.

Aan bovengenoemde eisen kan op de lange termijn alleen realistisch worden voldaan als er naast het CSMS een beheersysteem voor informatiebeveiliging (ISMS) wordt gehanteerd, dat de informatiebeveiliging in het hele bedrijf permanent waarborgt. Om deze reden eist ENX VCS altijd dat de ontwikkellocaties ook een TISAX assessment hebben doorstaan. Op deze manier kan de geauditeerde leverancier duurzaam aantonen dat hij voldoet aan zijn due diligence verplichtingen door middel van risicobewust en risicomijdend management.

ISO 27001 - klassieke informatiebeveiliging

ISO/IEC 27001 is de toonaangevende internationale norm voor de invoering van een holistisch managementsysteem voor informatiebeveiliging. De ISO-norm is onlangs herzien en opnieuw gepubliceerd op 25 oktober 2022.

ISO 27001 - more in­for­ma­ti­on

Voordelen van ENX VCS

1:1 implementatie van ISO 21434 en ISO/PAS 5112

Het eerste goede nieuws is dat iedereen die ISO 21434 en ISO/PAS 5112 heeft gevolgd op het gebied van cyberbeveiliging in de auto-industrie, al op de goede weg is. De vereisten van de twee normen zijn - wiskundig gesproken - een echte subset van de VCS-specificaties. Dit betekent dat alle eisen van de twee ISO standaarden 1:1 terug te vinden zijn in ENX VCS Vehicle Cyber Security.

Vergeleken met de ISO-audits maakt ENX VCS echter een vergelijkbaar proceduremodel mogelijk. Om wereldwijd vergelijkbare processen voor alle auditaanbieders te garanderen, heeft ENX bij de lancering van het programma ook specifieke "Audit Provider Criteria & Assessment Requirements" (ACAR VCS 1.0) en een bindende VCSA-auditcatalogus 1.0 gepubliceerd. Deze omvatten onder andere:

  • De organisatorische audit van de CSMS-regelgeving (voornamelijk document- en procesaudits),
  • Het maken van een risicogerichte steekproef van projecten die te maken hebben met de cyberveiligheid van componenten,
  • De steekproef van projecten wordt gebruikt om te controleren of de CSMS-regelgeving consistent wordt toegepast in VCS-projecten. Dit omvat bijvoorbeeld interviews met teamleden van het engineeringteam en de beoordeling van hun werkresultaten.

Gestandaardiseerde competenties

ACAR definieert ook wereldwijd gestandaardiseerde competentievereisten en rolbeschrijvingen voor auditors en experts:

  • VCS hoofdauditor
  • VCS expert

De kennis van een VCS expert moet altijd vertegenwoordigd zijn in het VCS auditteam. Tijdens de interviewfase neemt de expert het gesprek met de engineeringteams over om een professionele beoordeling van de activiteiten en werkresultaten mogelijk te maken.

Rolgeoriënteerde auditing

In de traditie van TISAX® houdt ENX VCS ook rekening met de verschillende rollen die leveranciers kunnen spelen bij het leveren van cybersecurity-relevante componenten in de vorm van een nieuw systeem voor VCS-labels. Op deze manier hoeft een leverancier alleen te voldoen aan die eisen van de VCSA beoordelingscatalogus die passen bij zijn rol:

  • VCS Ontwikkeling
  • VCS Productie
  • VCS Exploitatie en onderhoud

Vergelijkbare inspanningen

De ENX VCS-labels zijn drie jaar geldig en vereisen geen toezichtsaudits. Daarentegen vereisen audits in overeenstemming met ISO/SAE 21434 een (her)certificeringsaudit over drie jaar en twee jaarlijkse toezichtsaudits met bijbehorende reiskosten.

Wendbaarheid

In tegenstelling tot de ISO-norm belooft ENX VCS ook een grotere flexibiliteit bij het aanpassen aan nieuwe vereisten. De ACAR-regelgeving wordt gewoonlijk eenmaal per jaar verplicht herzien, wat door alle VCS-auditaanbieders moet worden geïmplementeerd.

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Conclusie: ENX VCS als een verstandige manier om de koers te bepalen

Samenvattend maakt het ENX VCS auditprogramma een wereldwijd verbeterde implementatie van audits mogelijk in overeenstemming met de eisen van ISO/SAE 21434 en ISO/PAS 5112. De toegenomen wereldwijde vergelijkbaarheid van het nieuwe label zorgt voor een aanzienlijk groter vertrouwen in de certificering en in de implementatie van de cyberbeveiligingsvereisten van UN R 155.

DQS: uw betrouwbare partner voor certificering

Als een van de meest ervaren Duitse dienstverleners voor de certificering van managementsystemen werkt DQS al vele jaren samen met ENX en was ook direct betrokken bij de ontwikkeling van het nieuwe auditprogramma. Tijdens de lange ontwikkelingsperiode voorafgaand aan de publicatie van het programma heeft DQS waardevolle ervaring opgedaan in een groot aantal proefaudits en is daarom uitstekend voorbereid om uw CSMS te auditen op basis van de VCS-specificaties.

Profiteer van de kennis van onze experts en leer alles over ENX VCS en de betekenis ervan voor uw bedrijf. Met meer dan 35 jaar ervaring en de knowhow van 2.500 auditors wereldwijd, zijn wij uw competente certificeringspartner en bieden wij antwoorden op alle vragen met betrekking tot gegevensbescherming en informatiebeveiliging.

questions-answers-dqs-question mark on wooden dice on table

We will be happy to answer your questions

Wat zijn de vereisten voor certificering volgens ISO 27001, IATF 16949, ENX VCS of een TISAX® beoordeling? En welke inspanning mag u verwachten? Ontdek het zelf. Niet-bindend en gratis.

We look forward to hearing from you!
Auteur
Holger Schmeken

Productmanager en expert voor informatiebeveiliging en softwareontwikkeling. Holger Schmeken brengt ook zijn expertise in als auditor voor ISO 27001 met KRITIS audit procedure competentie en Chief Information Security Officer van DQS BIT GmbH.

Relevante artikelen en gebeurtenissen

Misschien bent u ook hierin geïnteresseerd 
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Lessen uit ISO 27001 - een casestudy van ENTERBRAIN Software

Lees meer
Blog
technical-measures-information-security-dqs-servers-cabinet-with-grid-door-and-lockable-door-handle

Technische maatregelen voor informatiebeveiliging

Lees meer
Blog
Code, HTML, PHP Web-Programmierung Quellcode. Abstrakter Codehintergrund

Veilig coderen - Uitdagingen voor informatiebeveiliging

Lees meer

Hebt u vragen?

Wij zijn er voor u.
Neem contact met ons op