CSMS kultura cyberbezpieczeństwa
Baza wiedzy
CSMS nie jest projektem zgodności - dlaczego dostawcy traktują cyberbezpieczeństwo jak audyt, a nie jak inżynierię
Bezpieczeństwo organizacji

CSMS nie jest projektem zgodności - dlaczego dostawcy traktują cyberbezpieczeństwo jak audyt, a nie jak inżynierię

Dlaczego podejście dokumentacyjne do CSMS zawodzi i jak budować autentyczny system zarządzania cyberbezpieczeństwem w organizacji dostawcy Tier 1. Metodologia 4D.

www.sisoft.pl/baza-wiedzy/csms-kultura-cyberbezpieczenstwa
Grzegorz Surdyka
8.2.2026
12
min czytania

Spis treści

    Problem, który widzimy u dostawców

    Większość polskich dostawców motoryzacyjnych ma doświadczenie z certyfikacjami. IATF 16949, ISO 14001, ISO 27001, TISAX. Każda z nich wymagała przygotowania dokumentacji, przejścia audytu i utrzymania certyfikatu. Z czasem wiele organizacji wypracowało sprawny mechanizm: przed audytem mobilizacja, po audycie powrót do normalności. Dokumentacja żyje w systemie zarządzania, ale niekoniecznie w codziennej praktyce inżynierskiej.

    Ten model działa do pewnego momentu. TISAX chroni informacje firmy. IATF zapewnia jakość procesu produkcyjnego. Oba dotyczą infrastruktury i procedur organizacyjnych, które relatywnie rzadko się zmieniają.

    System zarządzania cyberbezpieczeństwem pojazdu (CSMS) to coś fundamentalnie innego. Nie chroni danych firmy, lecz produkt, który trafia do milionów użytkowników dróg. Nie działa w statycznym środowisku. Krajobraz zagrożeń zmienia się z dnia na dzień. I co najważniejsze: nie da się go oddzielić od inżynierii produktu, bo jest inżynierią produktu.

    Dlaczego podejście dokumentacyjne zawodzi

    Podejście „dokumentacja na audyt" zakłada, że CSMS to zbiór polityk, procedur i szablonów, który wystarczy stworzyć, zatwierdzić i utrzymywać w aktualności. W tym modelu cyberbezpieczeństwo jest funkcją wsparcia, istnieje obok procesu rozwojowego, ale nie jest jego integralną częścią.

    Problem pojawia się w momencie, gdy system musi zadziałać. Analiza zagrożeń i ocena ryzyka (TARA) prowadzona w izolacji od zespołu projektowego produkuje scenariusze oderwane od rzeczywistej architektury. Cele cyberbezpieczeństwa definiowane bez udziału inżynierów systemowych są albo zbyt ogólne (i bezużyteczne), albo zbyt szczegółowe (i nierealizowalne). Uzgodnienie interfejsu cyberbezpieczeństwa z klientem podpisane przez kierownika projektu, który nie rozumie jego treści, staje się martwym dokumentem w momencie, gdy trzeba na jego podstawie podejmować decyzje. Prawidłowe zaprojektowanie tych elementów - od TARA po uzgodnienie interfejsu - opisujemy krok po kroku w narzędziowniku wdrożenia ISO/SAE 21434.

    ISO/SAE 21434 wymaga czegoś więcej niż dokumentacji. Wymaga, aby wyniki analizy ryzyka wpływały na decyzje projektowe. Aby zmiany w architekturze wywoływały aktualizację TARA. Aby nowo odkryte podatności były analizowane w kontekście konkretnych produktów. Aby uzasadnienie cyberbezpieczeństwa było budowane iteracyjnie, nie na końcu projektu z tego, co się zebrało.

    To są procesy, nie dokumenty. I wymagają kompetencji, nie tylko procedur.

    Cyberbezpieczeństwo jako dyscyplina inżynieryjna

    Norma ISO/SAE 21434 nie przypadkowo nosi podtytuł „inżynieria cyberbezpieczeństwa pojazdów drogowych". Cyberbezpieczeństwo w motoryzacji nie jest funkcją IT, nie jest rozszerzeniem bezpieczeństwa informacji i nie jest projektem zgodności regulacyjnej. To dyscyplina inżynieryjna ze swoim procesem analitycznym (TARA), produktami pracy (cele, koncepcja, specyfikacja), metodami weryfikacji i walidacji oraz cyklem życia.

    Co to oznacza organizacyjnie? Osoba odpowiedzialna za cyberbezpieczeństwo w projekcie musi rozumieć architekturę systemu E/E: jakie sterowniki wchodzą w skład systemu, jakie protokoły komunikacyjne są używane, jakie interfejsy są eksponowane na zewnątrz. Musi potrafić identyfikować zasoby (jakie dane przetwarza komponent, jakie funkcje realizuje), definiować scenariusze zagrożeń (co może się stać, gdy atakujący uzyska dostęp do magistrali CAN) i oceniać ścieżki ataku (jakie kroki musi podjąć atakujący, aby przejść od interfejsu Bluetooth do sterownika hamulca).

    Zatrudnienie jednego „specjalisty ds. cyberbezpieczeństwa" i przypisanie mu roli obsługi dokumentacji ISO/SAE 21434 nie tworzy systemu zarządzania. Tworzy pojedynczy punkt awarii. CSMS wymaga kompetencji rozproszonych w zespołach inżynierskich. Architekt systemowy musi rozumieć zasady obrony w głąb, programista musi stosować praktyki bezpiecznego kodowania, tester musi potrafić przeprowadzić weryfikację wymagań cyberbezpieczeństwa. Specjalista koordynuje, ale nie zastępuje kompetencji zespołu.

    Jak wygląda autentyczny CSMS

    Istnieją obserwowalne różnice między organizacją, która naprawdę wdrożyła CSMS, a organizacją, która go jedynie udokumentowała. Audytor z doświadczeniem rozpozna je w ciągu pierwszych godzin.

    W organizacji z działającym CSMS cyberbezpieczeństwo jest stałym punktem przeglądów projektowych, nie jako formalny punkt agendy, lecz jako temat, na który inżynierowie mają rzeczowe odpowiedzi. TARA jest aktualizowana, gdy zmienia się architektura systemu, nie dlatego, że zbliża się audyt, lecz dlatego, że zmiana architektury oznacza zmianę powierzchni ataku. Gdy pojawia się nowa podatność w komponencie używanym w produkcie, organizacja potrafi w zdefiniowanym czasie ocenić jej wpływ i podjąć decyzję, nie dlatego, że procedura tego wymaga, lecz dlatego, że ludzie wiedzą, jak to zrobić.

    Dostawcy komponentów otrzymują wymagania cyberbezpieczeństwa razem ze specyfikacją funkcjonalną, nie jako odrębny dokument dołączany miesiące po podpisaniu kontraktu. Uzgodnienie interfejsu cyberbezpieczeństwa jest traktowane jako narzędzie planowania współpracy, nie jako formalność wymagana normą.

    W organizacji z „papierowym" CSMS wygląda to inaczej. Dokumentacja istnieje, ale zespół projektowy nie potrafi wyjaśnić, jak wyniki TARA wpłynęły na decyzje projektowe. Scenariusze zagrożeń są ogólne i powtarzalne między produktami, bo ktoś skopiował tabelę z poprzedniego projektu zamiast analizować konkretną architekturę. Na pytanie o ostatnią aktualizację TARA padają daty sprzed wielu miesięcy, choć architektura od tego czasu zmieniła się wielokrotnie.

    Dowiedz się więcej o bezpieczeństwie w Twojej organizacji

    Sprawdź, czy Twój CSMS buduje realną zdolność reagowania — nie tylko zgodność na papierze.

    Umów konsultację

    OEM-owie uczą się rozróżniać papier od praktyki

    Przez pierwsze lata obowiązywania UNECE R155 producenci pojazdów koncentrowali się na uzyskaniu własnych certyfikatów zgodności CSMS i homologacji typów pojazdów. Wymagania wobec dostawców miały charakter deklaratywny: kwestionariusze samooceny, oświadczenia o zgodności, ogólne wymagania w kontraktach.

    Ten etap dobiega końca. Coraz więcej OEM-ów przechodzi od pytania „czy macie CSMS?" do pytania „pokażcie trzy ostatnie aktualizacje TARA i czasy reakcji na ujawnione podatności". Standard audytu VDA ACSMS (tak zwany „czerwony tom") systematyzuje kryteria oceny dostawców. ENX VCS wprowadza ustandaryzowaną certyfikację zewnętrzną. ASPICE for Cybersecurity 2.0 dodaje ocenę dojrzałości procesowej. Szczegółową analizę tych zmian i ich konsekwencji dla dostawców przedstawiamy w artykule Rok po wejściu UNECE R155.

    Dla dostawcy Tier 1 oznacza to, że okno możliwości, w którym wystarczało mieć odpowiednią dokumentację, zamyka się. To, co nadchodzi, wymaga udowodnienia, że procesy faktycznie działają, nie tylko istnieją.

    Od zgodności do zdolności: podejście 4D

    Budowanie autentycznego CSMS wymaga podejścia systemowego. W Sisoft stosujemy metodologię 4D: Diagnoza, Droga, Dostarczenie, Doskonalenie.

    Diagnoza zaczyna się od pytania: gdzie jesteśmy naprawdę? Nie od porównania dokumentacji z wymaganiami normy, lecz od zrozumienia, jak faktycznie przebiegają procesy inżynierskie. Czy zespoły projektowe rozumieją, czym jest cyberbezpieczeństwo produktu? Czy architekci systemowi uwzględniają je w swoich decyzjach? Czy organizacja potrafi zidentyfikować zasoby w swoich produktach? Odpowiedzi na te pytania ujawniają rzeczywiste luki, nie tylko dokumentacyjne, ale kompetencyjne i organizacyjne.

    Droga to plan transformacji, nie wdrożenia dokumentacji. Obejmuje budowę kompetencji (szkolenia, mentoring, rekrutacja), zaprojektowanie procesów zintegrowanych z istniejącym cyklem rozwojowym (nie równoległych), stworzenie narzędziownika (szablony, listy kontrolne, wytyczne) i zdefiniowanie mierzalnych celów na każdym etapie.

    Dostarczenie to zastosowanie narzędziownika w praktyce: w rzeczywistym projekcie, z rzeczywistym zespołem, pod presją rzeczywistego harmonogramu. To etap, na którym ujawniają się wszystkie niedoskonałości planu. Dlatego zaczynamy od projektu pilotażowego, nie od równoczesnego wdrożenia we wszystkich projektach.

    Doskonalenie to etap, który nie ma końca. CSMS, który nie ewoluuje, nie spełnia wymagań normy dotyczy ciągłego doskonalenia). W praktyce oznacza to: wnioski z audytów, analiza efektywności procesów, adaptacja do nowych wymagań (ENX VCS, ASPICE for Cybersecurity, nowe regulacje) i rozwój kompetencji w odpowiedzi na zmieniający się krajobraz zagrożeń.

    Pytanie, które warto sobie zadać

    Nie pytaj: „czy nasza dokumentacja jest zgodna z ISO/SAE 21434?". Pytaj: „gdyby jutro pojawiła się krytyczna podatność w jednym z naszych komponentów w terenie, czy nasz zespół wie, co zrobić, kto podejmuje decyzje i w jakim czasie musimy zareagować?".

    Jeśli odpowiedź brzmi „tak", CSMS działa, niezależnie od stanu dokumentacji. Jeśli odpowiedź brzmi „nie", dokumentacja nie pomoże, niezależnie od jej objętości.

    Cyberbezpieczeństwo motoryzacyjne to dyscyplina inżynieryjna. Wymaga inżynieryjnego podejścia do budowania zdolności organizacyjnej. Nie istnieje skrót przez dokumentację.

    Najczęściej zadawane pytania

    Czym jest CSMS?

    System zarządzania cyberbezpieczeństwem (Cybersecurity Management System) to zbiór polityk, procesów, ról i narzędzi, które organizacja stosuje do zarządzania cyberbezpieczeństwem swoich produktów w całym cyklu życia. UNECE R155 wymaga od producentów pojazdów posiadania certyfikowanego CSMS jako warunku homologacji typu.

    Jaka jest różnica między CSMS a systemem zarządzania bezpieczeństwem informacji (SZBI)?

    SZBI (oparty na ISO 27001) chroni informacje organizacji (dane, systemy IT, infrastrukturę). CSMS chroni produkt: systemy E/E pojazdu lub komponentu. Oba są potrzebne: SZBI chroni własność intelektualną i dane klientów, CSMS zapewnia, że produkt jest odporny na ataki cybernetyczne. Norma ISO/SAE 21434 wymaga systemu zarządzania jakością (RQ-05-11) i zaleca zarządzanie produktami pracy zgodnie z systemem zarządzania bezpieczeństwem informacji (RC-05-16).

    Ile kosztuje wdrożenie CSMS?

    Koszty zależą od wielkości organizacji, liczby produktów i istniejącej dojrzałości procesowej. Główne składniki to: budowa kompetencji (szkolenia, ewentualnie rekrutacja), opracowanie procesów i narzędziownika, czas zespołów inżynierskich na pilotażowe wdrożenie oraz wsparcie konsultingowe. Dla organizacji z istniejącym TISAX koszty są niższe, bo część fundamentu organizacyjnego już istnieje.

    Czy mały dostawca Tier 2 potrzebuje CSMS?

    Jeśli dostarcza komponenty z elektroniką lub oprogramowaniem do systemów E/E pojazdu, tak. Zakres CSMS powinien być proporcjonalny do roli w łańcuchu dostaw, ale wymagania nie znikają wraz ze zmniejszeniem organizacji. W praktyce dostawca Tier 2 realizuje te wymagania głównie poprzez uzgodnienie interfejsu cyberbezpieczeństwa z klientem Tier 1.

    Jaka jest różnica między CSMS a TISAX?

    TISAX certyfikuje zarządzanie bezpieczeństwem informacji w kontekście motoryzacyjnym - chroni dane firmy i jej klientów. CSMS certyfikuje zarządzanie cyberbezpieczeństwem produktu i zapewnia, że systemy E/E pojazdu są projektowane, rozwijane i utrzymywane w sposób odporny na zagrożenia cybernetyczne. Organizacja może potrzebować obu: TISAX do ochrony informacji, CSMS (certyfikowany np. przez ENX VCS) do wykazania zdolności w zakresie cyberbezpieczeństwa produktu.

    Sisoft pomaga dostawcom motoryzacyjnym budować autentyczny CSMS - nie dokumentację, lecz zdolność organizacyjną. Cyberbezpieczeństwo ma metodę.

    Umów konsultację

    Bądźmy w kontakcie

    Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.

    +48 12 44 66 844
    kontakt@sisoft.pl
    Odpowiemy szybciej niż się spodziewasz.
    Formularz został wysłany, wkrótce się odezwiemy :)
    Upss! Coś poszło nie tak, sprawdź wszystkie pola i spróbuj ponownie.

    Co jeszcze warto wiedzieć na temat cyberbezpieczeństwa?

    Normy cyberbezpieczeństwa

    ISO/SAE 21434 w praktyce. Narzędziownik wdrożenia dla dostawców automotive

    Praktyczny przewodnik po ISO/SAE 21434 dla dostawców Tier 1: siedem elementów narzędziownika wdrożeniowego, od TARA po plan reagowania na incydenty. Harmonogram, szablony, pułapki.
    Grzegorz Surdyka
    1/15/2026
    18
    min czytania
    Bezpieczeństwo organizacji

    ISO 27001 w 4 miesiące - pakiet wdrożeniowy SZBI z 44 szablonami dokumentów

    Norma mówi co wdrożyć - ale nie mówi jak. Tę lukę wypełnia pakiet wdrożeniowy, który przeprowadza organizację przez osiem faz budowy systemu zarządzania bezpieczeństwem informacji (SZBI / ISMS): od inicjacji projektu po uzyskanie certyfikatu. W środku: poradnik krok po kroku, 44 gotowe szablony dokumentów, arkusz wdrożenia, listy kontrolne i pełny przewodnik po 93 zabezpieczeniach Załącznika A.
    Grzegorz Surdyka
    2/17/2026
    15
    min czytania
    Bezpieczeństwo organizacji

    Plan reagowania na incydenty — jak go zbudować i przetestować, zanim będzie potrzebny

    Większość organizacji ma plan reagowania na incydenty. Niewiele z nich potrafi powiedzieć, kiedy był ostatnio testowany, kto zna w nim swoją rolę i czy numery telefonów są aktualne. To różnica między dokumentem a gotowością.
    Grzegorz Surdyka
    2/9/2026
    14
    min czytania
    Zobacz więcej