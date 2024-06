Frankfurt am Main. Die DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) unterstützt Unternehmen aus der Automobilindustrie ab sofort weltweit mit der Auditierung nach ENX VCS, dem Prüfprogramm für automobile Cybersicherheit.

Mit dem erfolgreichen Assessment und dem Erhalt des "Vehicle Cyber Security"-Labels dokumentieren OEMs und deren Zulieferer, dass ihre Cyber Security Management Systeme (CSMS) den Vorgaben der UNECE Regelung R 155 entsprechen und ihre Cyber Security höchsten Anforderungen an den Schutz von Fahrzeugen und Insassen gerecht wird. Entwickler des Auditprogramms VCS ist die ENX Association, ein Zusammenschluss von Automobilherstellern, Zulieferern und internationalen Automobilverbänden.

Kern der ENX VCS-Lösung

Mit ENX VCS ist jetzt die Auditierung und Zertifizierung eines Vehicle Cyber Security Management Systems (V-CSMS) möglich, das zum einen Konformität mit ISO/SAE 21434 aufweist und gleichzeitig die Empfehlungen von ISO/PAS 5112 vollständig umsetzt. ENX VCS liefert so die für alle Beteiligten global einheitliche Prüfgrundlage mit der unverzichtbaren Vergleichbarkeit der Auditergebnisse.

"Als global tätiger Auditanbieter und ENX-Partner der ersten Stunde begrüßen wir das neue VCS-Auditprogramm der ENX sehr", erklärt Christian Gerling, Geschäftsführer der DQS GmbH. "Die Branche hat schon lange auf eine einheitliche Prüfgrundlage für die Validierung von Cyber Security Management Systemen gewartet. Ein von der ENX zentral entwickeltes, an den TISAX®-Prinzipien für Informationssicherheit in der Automobilindustrie ausgerichtetes und branchenweit durchgängiges Programm ist zweifellos der beste Ansatz. Viele unserer Kunden stehen bereits in den Startlöchern, um die VCS-Auditierung in Angriff zu nehmen - und wir freuen uns sehr darauf, diese Unternehmen beim Nachweis ihres wirksamen Cyber Security Managements zu begleiten."

Die Cyber Security-Regulierung nimmt zu

Regierungen auf der ganzen Welt definieren mit Blick auf die steigende Zahl der Cyberangriffe, die rasant expandierenden Angriffsflächen und das wachsende Schadenspotenzial der Attacken immer mehr und immer strengere Leitplanken für die Cyber Security in der Automotive-Industrie.

In der EU kommt dabei insbesondere der Anfang 2022 in Kraft getretenen Norm UNECE R155 eine Schlüsselrolle zu: Diese nimmt die Automobilhersteller in die Pflicht, zeitgemäße Cyber Security Management Systeme (CSMS) zu implementieren, die über den gesamten Lebenszyklus der Fahrzeuge hinweg deren Cybersicherheit gewährleisten - und dabei auch die gesamte Lieferkette miteinbeziehen.

Endlich eine einheitliche Prüfgrundlage

So wichtig die Cyber Security-Initiativen der Gesetzgeber nach Einschätzung der meisten Branchen-Experten auch sind, taten sich viele Unternehmen lange Zeit schwer, die Einhaltung der UNECE R155 und anderer Vorgaben zu belegen, da es an einheitlichen Auditprogrammen mangelte und jeder Auditanbieter nach eigenen Prozessen prüfte.

Dieser Herausforderung trägt die ENX jetzt mit der Veröffentlichung des neuen VCS-Auditprogramms Rechnung. Im Rahmen dieses Verfahrens können OEMs und Zulieferer, die über ein TISAX®-Label verfügen, ihr CSMS ab sofort bei zugelassenen Audit-Anbietern wie der DQS auditieren lassen und von der ENX den Nachweis über die erfolgreiche Prüfung in Form eines VCS-Labels erhalten.

Verbindliche Abläufe für Auditoren

Um global über alle Auditanbieter hinweg vergleichbare Abläufe zu gewährleisten, hat die ENX zum Launch des Programms auch konkrete "Audit Provider Criteria & Assessment Requirements" (ACAR VCS) sowie einen verbindlichen Prüfkatalog für Vehicle Cyber Security Audits (VCSA) veröffentlicht. Dieser definiert für Auditoren eine Reihe obligatorischer Meilensteine - neben der organisatorischen Prüfung der CSMS-Regelungen etwa auch eine vorzunehmende Dokumenten- und Prozessprüfung sowie die Bildung einer risikoorientierten Stichprobe aller Cyber Security-relevanten Projekte.

Anschließend müssen die Auditoren zusätzlich das Team interviewen und die Arbeitsergebnisse sichten, um sicherzustellen, dass das CSMS auch tatsächlich in der Praxis gelebt wird. Nach Abschluss der erfolgreichen Prüfung können die Unternehmen bei der ENX ein entsprechendes VCS-Label beantragen.

Das Label reflektiert die Rolle des Lieferanten

Ähnlich wie bei TISAX® berücksichtigt auch das VCS-Audit die verschiedenen Rollen, die Lieferanten bei der Bereitstellung von Cyber Security-relevanten Komponenten einnehmen können. Auf diese Weise muss jeder Lieferant nur diejenigen Anforderungen des VCSA-Prüfkatalogs erfüllen, die seiner realen Rolle entsprechen. Unterschieden wird dabei zwischen den Labeln:

VCS Development

VCS Production

VCS Operations & Maintenance

Branchenweite Transparenz in Sachen Cyber Security

"Die VCS-Auditierung ist für die Automobilhersteller und deren Zulieferer eine einmalige Gelegenheit", bestätigt DQS-Geschäftsführer Christian Gerling. "Die Herausforderung einer standardisierten Vorgehensweise hat die ENX jetzt im Sinne aller gelöst und schafft mit VCS die Voraussetzung für eine branchenweite Transparenz."

Die DQS als kompetenter Partner

Als einer der national und international erfahrensten Dienstleister für die Zertifizierung von Managementsystemen arbeitet die DQS seit vielen Jahren mit der ENX zusammen und war auch unmittelbar an der Entwicklung des neuen Auditprogramms beteiligt. In der relativ langen Anbahnungszeit bis zur Veröffentlichung des Programms hat die DQS in einer Vielzahl von Probeaudits wertvolle Erfahrungen gesammelt und ist damit bestens vorbereitet, um die CSMS der Kunden weltweit auf Basis der VCS-Vorgaben zu auditieren. Angesiedelt ist das Thema VCS im "Center of Excellence Information & Data Security" und damit in einem zentralen Dienstleistungsbereich der DQS, um Unternehmen durch Audits und Assessments auf ein neues Sicherheits- und Qualitätslevel bei Informationssicherheit und Cyber Security zu heben.

