ENX VCS kontra ISO 21434: Audyt cyberbezpieczeństwa pojazdów

• Znaczenie nowych przepisów dla cyberbezpieczeństwa w branży motoryzacyjnej
• Jakie problemy rozwiązują nowe przepisy?
• Certyfikacja ISO/SAE 21434jako rozwiązanie?
• Wymagania dotyczące audytów CSMS zgodnie z ISO/PAS 5112
• Dlaczego audyt VCS został opracowany przez ENX?
• Zalety systemu ENX VCS
• Wnioski: ENX VCS to rozsądny sposób na wyznaczenie kursu
• DQS: niezawodny partner w zakresie certyfikacji

Znaczenie nowych przepisów dotyczących cyberbezpieczeństwa w branży motoryzacyjnej

Wraz z nowymi przepisami dotyczącymi cyberbezpieczeństwa w branży motoryzacyjnej, od lipca 2024 r. do wszystkich nowo produkowanych pojazdów będą miały zastosowanie wiążące wymogi. Jeśli wymagania nie zostaną wdrożone, dana seria modeli nie otrzyma homologacji typu. Holistyczne cyberbezpieczeństwo, zgodnie z zamierzeniami władz w zakresie obowiązkowego wdrożenia systemu zarządzania cyberbezpieczeństwem (CSMS), obejmuje wszystkie komponenty pojazdu.

Większość komponentów instalowanych w pojazdach pochodzi z łańcucha dostaw producentów motoryzacyjnych. UN R 155 nakłada na tych producentów odpowiedzialność za cyberbezpieczeństwo dostarczanych przez nich komponentów. Mogą oni jednak wpływać na cyberbezpieczeństwo podzespołów wyłącznie poprzez umowy zawierane z dostawcami. W ramach zarządzania ryzykiem producenci pojazdów są zatem zależni od jasnych umów i znaczących audytów swoich dostawców w celu zagwarantowania i utrzymania niezbędnego cyberbezpieczeństwa w perspektywie długoterminowej.

Jakie problemy rozwiązują nowe przepisy?

Wprowadzenie przez ustawodawcę UN R 155 (i UN R 156, który koncentruje się na aktualizacjach oprogramowania) zwraca uwagę na kilka złożonych kwestii, które istnieją w odniesieniu do sterowanych programowo komponentów pojazdów drogowych i cyberbezpieczeństwa:

• W jaki sposób można zapewnić, że oprogramowanie do obsługi takich komponentów jest zaprojektowane, opracowane i wdrożone w bezpieczny sposób?
• W jaki sposób komponent jest wyposażony tylko w zamierzoną wersję oprogramowania w procesie produkcyjnym i w jaki sposób odpowiednie systemy produkcyjne są zobowiązane do wyposażenia komponentów w ochronę oprogramowania?
• W jaki sposób można monitorować, czy zdarzenia bezpieczeństwa w komponentach są rejestrowane, a zagrożenia mogą być skutecznie eliminowane przez aktualizacje nawet po dziesięciu latach?

Certyfikacja ISO 21434 jako rozwiązanie?

Aby odpowiedzieć na te pytania, UN R 155 wspomina o ustanowieniu systemu zarządzania cyberbezpieczeństwem (CSMS) zgodnie z ISO/SAE 21434 u producentów pojazdów. System zarządzania to zestaw procesów i procedur wykorzystywanych do skutecznego zarządzania i kontrolowania firmy lub organizacji.
Dla celów normy termin "cyberbezpieczeństwo" w przemyśle motoryzacyjnym odnosi się w szczególności do ochrony systemów komputerowych, sieci i ich danych w pojazdach drogowych. Obejmuje to środki i strategie mające na celu zapewnienie bezpieczeństwa i integralności systemów cyfrowych wykorzystywanych w pojazdach.

Aby zapewnić cyberbezpieczeństwo, norma określa procesy i procedury CSMS w zakresie projektowania zabezpieczeń, rozwoju produktu, konserwacji produktu, wykrywania ryzyka, zapobiegania zagrożeniom, utylizacji produktu i powiązanych procesów ciągłych. W związku z tym norma zapewnia kompleksowy model architektoniczny CSMS, w tym model procesu oceny ryzyka w zakresie cyberbezpieczeństwa, który jest określany jako analiza zagrożeń i ryzyka (TARA).

Poniżej można dowiedzieć się, jakie argumenty przemawiają przeciwko czystej certyfikacji ISO/SAE 21434 w celu spełnienia wymagań UN R 155.

Wymagania dotyczące audytów z wykorzystaniem ISO/PAS 5112

Norma ISO/SAE 21434 pozostawia wiele miejsca na interpretację sposobu przeprowadzania audytu CSMS. Ponieważ każdy dostawca audytu tworzy własny program audytu dla normy ISO 21434 zgodnie z przepisami swojej jednostki akredytującej, norma ISO/PAS 5112 spowodowała konieczność standaryzacji procesu audytu cyberbezpieczeństwa i CSMS organizacji.

Norma ISO/PAS 5112 zawiera ogólne wytyczne dotyczące zarządzania programem audytu i dostarcza organizacjom niezbędnych informacji na temat planowania i wdrażania audytu. Określa również kompetencje audytorów CSMS i wyjaśnia, w jaki sposób można zweryfikować wdrożenie standardu.

Dlaczego audyt VCS został opracowany przez ENX?

Pomimo tych wysiłków na rzecz poprawy standaryzacji, wynikające z nich programy audytów cyberbezpieczeństwa w przemyśle motoryzacyjnym nadal znacznie się różnią.

W kontekście głęboko zintegrowanych łańcuchów dostaw z wieloma partnerami umownymi, nieporównywalne programy audytów stanowią poważny problem dla producentów pojazdów. Producenci muszą być w stanie polegać na wynikach audytów dostawców w zakresie systemu zarządzania cyberbezpieczeństwem (CSMS) w celu zarządzania ryzykiem.

ENX dostrzegł tę potrzebę i opracował rozwiązanie we współpracy z przemysłem motoryzacyjnym, wdrażając globalnie znormalizowany program audytu o nazwie ENX VCS (Vehicle Cyber Security). ENX wykorzystała sieć swoich członków, aby dostosować program audytu do specyficznych wymagań branży

Jednocześnie sama norma ISO/SAE 21434 nie jest wystarczająca do spełnienia wszystkich wymogów regulacyjnych UN R 155. Chociaż UN R 155 odnosi się do ISO/SAE 21434 jako przykładu procesów CSMS, wymaga również, aby możliwości CSMS były utrzymywane na bieżąco:

• UN R 155, Rozdział 7.2.2.3: Zagrożenia cybernetyczne i luki w zabezpieczeniach wymagające reakcji ze strony producenta pojazdu są rozwiązywane w rozsądnych ramach czasowych.
• UN R 155, rozdział 7.2.2.4: Producent pojazdu musi wykazać, że procedury stosowane w jego systemie zarządzania cyberbezpieczeństwem zapewniają regularne monitorowanie, o którym mowa w pkt 7.2.2.2 g).

Wyżej wymienione wymagania mogą być realistycznie spełnione w dłuższej perspektywie tylko wtedy, gdy system zarządzania bezpieczeństwem informacji (ISMS) jest obsługiwany równolegle z CSMS, co trwale zapewnia bezpieczeństwo informacji w całej firmie. Z tego powodu ENX VCS zawsze wymaga, aby zakłady rozwojowe również przeszły ocenę TISAX. W ten sposób audytowany dostawca może trwale wykazać wypełnienie swoich zobowiązań w zakresie należytej staranności poprzez zarządzanie świadome i unikające ryzyka.

Zalety ENX VCS

Wdrożenie 1:1 norm ISO 21434 i ISO/PAS 5112

Dobrą wiadomością jest to, że każdy, kto śledzi normy ISO 21434 i ISO/PAS 5112 w zakresie cyberbezpieczeństwa w branży motoryzacyjnej, jest już na dobrej drodze. Z matematycznego punktu widzenia wymagania tych dwóch norm stanowią prawdziwy podzbiór specyfikacji VCS. Oznacza to, że wszystkie wymagania dwóch norm ISO można znaleźć 1:1 w ENX VCS Vehicle Cyber Security.

W porównaniu do audytów ISO, ENX VCS umożliwia jednak porównywalny model procedur. W celu zapewnienia porównywalnych procesów na całym świecie przez wszystkich dostawców audytów, ENX opublikował również konkretne "Kryteria dostawcy audytu i wymagania dotyczące oceny" (ACAR VCS 1.0) oraz wiążący katalog audytów VCSA 1.0 przy uruchomieniu programu. Obejmują one między innymi:

• Audyt organizacyjny regulacji CSMS (przede wszystkim audyty dokumentów i procesów),
• Stworzenie zorientowanej na ryzyko próbki projektów, które dotyczą cyberbezpieczeństwa komponentów,
• Próba projektów służy do sprawdzenia, czy przepisy CSMS są konsekwentnie stosowane w projektach VCS. Obejmuje ona na przykład wywiady z członkami zespołu inżynierów i przegląd wyników ich pracy.

Znormalizowane kompetencje

ACAR definiuje również globalnie znormalizowane wymagania kompetencyjne i opisy ról dla audytorów i ekspertów:

• Audytor wiodący VCS
• Ekspert VCS

Wiedza eksperta VCS musi być zawsze reprezentowana w zespole audytorów VCS. Podczas fazy wywiadu ekspert przejmuje rozmowę z zespołami inżynieryjnymi, aby umożliwić profesjonalną ocenę działań i wyników pracy.

Audyt zorientowany na role

Zgodnie z tradycją TISAX®, ENX VCS uwzględnia również różne role, jakie dostawcy mogą odgrywać w dostarczaniu komponentów istotnych dla bezpieczeństwa cybernetycznego w postaci nowego systemu etykiet VCS. W ten sposób dostawca musi spełnić tylko te wymagania katalogu oceny VCSA, które są odpowiednie dla jego roli:

• VCS Development
• Produkcja VCS
• Operacje i konserwacja VCS

Porównywalne wysiłki

Etykiety ENX VCS są ważne przez trzy lata i nie wymagają audytów nadzoru. W przeciwieństwie do tego, audyty zgodne z ISO/SAE 21434 wymagają audytu (ponownej) certyfikacji w ciągu trzech lat i dwóch rocznych audytów nadzoru z odpowiednimi kosztami podróży.

Elastyczność

W przeciwieństwie do standardu ISO, ENX VCS obiecuje również większą elastyczność w dostosowywaniu się do nowych wymagań. Przepisy ACAR podlegają obowiązkowej rewizji raz w roku, która musi być wdrożona przez wszystkich dostawców audytów VCS.

Wnioski: ENX VCS jako rozsądny sposób wyznaczania kursu

Podsumowując, program audytu ENX VCS umożliwia globalnie ulepszone wdrożenie audytu zgodnie z wymaganiami ISO/SAE 21434 i ISO/PAS 5112. Zwiększona globalna porównywalność nowej etykiety zapewnia znacznie większe zaufanie do certyfikacji i wdrażania wymagań bezpieczeństwa cybernetycznego UN R 155.

DQS: niezawodny partner w zakresie certyfikacji

Jako jeden z najbardziej doświadczonych niemieckich dostawców usług w zakresie certyfikacji systemów zarządzania, DQS współpracuje z ENX od wielu lat i był również bezpośrednio zaangażowany w opracowywanie nowego programu audytów. Podczas długiego okresu rozwoju prowadzącego do publikacji programu, DQS zdobył cenne doświadczenie w dużej liczbie próbnych audytów i dlatego jest idealnie przygotowany do przeprowadzenia audytu CSMS na podstawie specyfikacji VCS.

Skorzystaj z wiedzy naszych ekspertów i dowiedz się wszystkiego o ENX VCS i jego znaczeniu dla Twojej firmy. Dzięki ponad 35-letniemu doświadczeniu i wiedzy 2500 audytorów na całym świecie jesteśmy kompetentnym partnerem w zakresie certyfikacji i udzielamy odpowiedzi na wszystkie pytania dotyczące ochrony danych i bezpieczeństwa informacji.