Was ist ENX VCS?
ENX VCS ist ein harmonisiertes, auf ISO/SAE 21434 basierendes Schema für die unabhängige Drittanbieter-Auditierung des Vehicle Cybersecurity Management Systems (V‑CSMS) von automobil‑relevanten Lieferanten im Bereich Cybersicherheit.
ORIENTIERUNG AN INTERNATIONALEN STANDARDS
Basierend auf ISO/SAE 21434 und unter vollständiger Umsetzung der Empfehlungen der ISO/PAS 5112 ermöglicht ENX VCS eine strukturierte und konsistente Bewertung der organisatorischen Cybersecurity‑Managementfähigkeiten über den gesamten Lebenszyklus von automobilen Produkten hinweg.
UNABHÄNGIG VON Prüfdienstleistern
Audits werden von mehreren international anerkannten Prüfdienstleistern gemäß den ENX Audit‑Provider Criteria and Assessment Requirements (ENX ACAR) durchgeführt. Die Audit-Ergebnisse bilden die Grundlage für die Vergabe eines ENX VCS Labels.
ÖFFENTLICHE PrüfKRITERIEN
ENX VCS Audits werden auf Basis des öffentlich verfügbaren Kriterienkatalogs ENX Vehicle Cybersecurity Audit (ENX VCSA) durchgeführt, der die zu bewertenden organisatorischen Cybersecurity‑Managementfähigkeiten definiert.
VON DER INDUSTRIE GETRIEBEN
ENX VCS und der ENX VCSA werden von einer internationalen Expertengruppe aus Automobilherstellern und Zulieferern entwickelt und gepflegt. Dies stellt ein industriegetragenes und nicht proprietäres Rahmenwerk für skalierbare Audits organisatorischer Cybersecurity‑Fähigkeiten entlang globaler Lieferketten dar.
Warum ist ENX VCS wichtig?
FAHRZEUGDIGITALISIERUNG
Zunehmende Vernetzung, Softwareintegration und Automatisierung erweitern die Angriffsfläche für Cyberangriffe in Fahrzeugen und erfordern ein systematisches Management von Cybersecurity‑Risiken über den gesamten Produk-Lebenszyklus.
KOMPLEXITÄT DER LIEFERKETTE
Cybersecurity‑Risiken müssen entlang einer global verteilten automobilen Lieferkette effektiv gesteuert werden. Gleichzeitig müssen Zulieferer ihre organisatorischen Cybersecurity‑Fähigkeiten mehreren Kunden nachweisen, wodurch der Bedarf an einem skalierbaren und standardisierten Auditansatz entsteht, der den Aufwand für individuelle Second‑Party‑Audits reduziert.
REGULATORISCHE ANFORDERUNGEN
Die UNECE‑Regelung Nr. 155 verlangt von Fahrzeugherstellern den Nachweis der Wirksamkeit ihres Cybersecurity Management Systems (CSMS), unter anderem durch organisatorische Audits, die in einem Certificate of Compliance (CoC) resultieren.
Was ist das ENX Governance Framework?
Teilnehmer von ENX VCS profitieren vom etablierten ENX ACAR, das objektive, transparente und kundenunabhängige Prüfergebnisse über verschiedene Prüfdienstleister hinweg sicherstellt.
ENX stellt eine zentrale Steuerung des Systems sicher durch:
- Zulassung und Überwachung von ENX VCS Prüfdienstleistern
- Definition und Pflege von ENX ACAR
- Anbieterübergreifende Abstimmung und Kalibrierung von Audit‑Interpretationen und -Durchführungen
- Kontinuierliche Überwachung der Auditqualität
- Verwaltung standardisierter Informationsaustauschmechanismen
- Bereitstellung einer gemeinsamen ENX VCS Ergebnisdatenbank für autorisierte Geschäftspartner
Der ENX VCS Lifecycle
Aufgrund des ENX ACAR‑Frameworks, der auch bei TISAX angewendet wird, ist der ENX VCS-Lifecycle eng an den etablierten TISAX Assessment‑Lifecycle angelehnt.
Unternehmen, die ENX VCS Audits für ihre Standorte durchführen möchten, müssen zum Zeitpunkt des Audits über ein gültiges TISAX-Label verfügen, das ihr Informationssicherheitsmanagementsystem (ISMS) abdeckt.
ENX VCS Audits bauen auf den bereits im TISAX bewerteten Informationssicherheits-Controls auf und können mit dem bestehenden TISAX Assessment-Prozess abgestimmt werden, wodurch zusätzlicher Prüfaufwand minimiert wird.
Wie funktioniert ENX VCS?
1. Registrierung
Registrierung als ENX VCS-Teilnehmer sowie Anmeldung mindestens eines ENX VCS Scopes
(Hinweis: Wenigstens eine TISAX Scope-Registrierung ist Voraussetzung)
2. Auswahl
After a successful registration you can choose a ENX VCS audit provider for your ENX VCS audit.
3. Audit
Undergoing an ENX VCS audit.
4. Exchange
-
Austausch der Prüfergebnisse mit bestehenden und potenziellen Partnern
Nach der Registrierung und Erstellung eines ENX VCS-Scopes im ENX-Portal führen Organisationen eine Selbstbewertung ihres Vehicle Cybersecurity Management Systems (V‑CSMS) anhand des ENX VCSA Kriterienkatalogs durch.
Diese Selbstbewertung hilft, mögliche Schwachstellen in den Cybersecurity‑Managementfähigkeiten frühzeitig zu erkennen und vor dem Kick‑off‑Meeting mit einem zugelassenen Audit‑Anbieter zu beheben.
Auf Basis des definierten Scopes und der Ergebnisse der Selbstbewertung wird das Audit geplant. Je nach Reifegrad des V‑CSMS dauert die organisatorische Vorbereitung in der Regel mehrere Monate.
Was sind die ENX VCS Prüfziele?
ENX VCS unterstützt unterschiedliche Prüfziele entlang der Cybersecurity‑Verantwortlichkeiten im Fahrzeuglebenszyklus.
Je nach Rolle des Unternehmens und Scope können folgende Bereiche betrachtet werden:
- VCS Development
- VCS Production
- VCS Operations & Maintenance
REGULIERUNG, STANDARDS UND UMSETZUNG
UNECE Regelung Nr. 155 ist eine verbindliche Vorschrift für Fahrzeugzulassungen und verlangt ein Cybersecurity‑Management über den gesamten Lebenszyklus
ISO/SAE 21434 bietet ein Rahmenwerk für Cybersecurity‑Prozesse und -Organisation
ISO/PAS 5112 definiert Audit-Leitlinien für V‑CSMS
ENX VCS setzt diese Anforderungen in ein standardisiertes, industriegetragenes Prüf-Schema für die automobile Lieferkette um.
Globale Prüfdienstleister
ENX VCS Audits werden von unabhängigen Audit‑Anbietern gemäß ENX ACAR durchgeführt. Diese sind weltweit verfügbar und ermöglichen Audits in global verteilten Organisationen.
Teilnehmer können ihren bevorzugten Anbieter wählen, während zentrale Governance und Abstimmung für vergleichbare Ergebnisse sorgen.
Warum ENX VCS?
-
Industriegetragenes und nicht proprietäres Prüfschema für V‑CSMS
- Auswahl unabhängiger Prüfdienstleister
- Vergleichbare und kundenunabhängige Ergebnisse
- Zentraler Ergebnisaustausch über das ENX-Portal (basierend auf TISAX)
- Weltweite Verfügbarkeit
- Effizienzsteigerung durch Abstimmung mit TISAX