TISAX® (Trusted Information Security Assessment eXchange) ist der Standard der Automobilindustrie für die Bewertung der Informations- und Cybersicherheit von Lieferanten von Ausrüstungen und Dienstleistungen für diesen Sektor.
VDA ISA 6.0 wurde vom VDA (Verband der Automobilindustrie) und dem ENX-Netzwerk (eine gemeinsame Lösung der europäischen Automobilindustrie) entwickelt und zielt auf den sicheren Austausch kritischer Daten aus Entwicklung, Einkauf und Produktionskontrolle ab. Es wird jährlich von akkreditierten, unabhängigen Zertifizierungsstellen geprüft.
Die Version 6.0 von VDA ISA enthält eine Reihe von Verbesserungen, die die Schnittstellen innerhalb des Lieferkettennetzwerks schützen und die TISAX®-Assessments einfacher und effizienter machen.
Die aktualisierte VDA ISA Version 6.0
Version 6 wurde im Oktober 2023 veröffentlicht. Die darin enthaltenen Aktualisierungen sind ein entscheidender Schritt zur Stärkung der Cybersicherheitsinfrastruktur in der Automobilindustrie.
Die größten Änderungen sind ein stärkerer Fokus auf die Verfügbarkeit von Informationstechnologie (IT) und Operational Technology (OT) bei Lieferanten sowie die vollständige Überarbeitung des Datenschutzkatalogs.
Außerdem gibt es Änderungen bei den TISAX®-Labels. Die alten Labels "Info High" und "Info Very High" werden durch "Vertraulich" und "Streng vertraulich" ersetzt. Diese Umstellung verdeutlicht die Sicherheitsanforderungen für Produktionsteile und Infrastrukturanbieter zum Schutz von Geschäftsgeheimnissen.
Darüber hinaus wurde mit der ISA-Version 6 die Umstellung der Arbeitssprache auf Englisch vorgeschrieben. Der VDA plant, in Zukunft weitere Sprachversionen anzubieten, aber bei Unterschieden oder Mehrdeutigkeiten zwischen Übersetzungen in anderen Sprachen wird die englische Version Vorrang haben und zur Behebung von Übersetzungsfehlern herangezogen werden.
Da auch andere Normen, die die Cybersicherheit betreffen, kontinuierlich weiterentwickelt werden, hat VDA ISA 6.0 die jüngsten Entwicklungen in verwandten Normen berücksichtigt.
Eine neue Revision der ISO/IEC 27001 wurde im Jahr 2022 veröffentlicht und dementsprechend enthält VDA ISA 6 nun Referenzen auf diese neue-Revision der ISO/IEC 27001:2022. Darüber hinaus enthält VDA ISA 6 nun auch Referenzen auf das NIST CSF Version 1.1.
Zeitplan für die Umstellung
Der VDA hat den 1. April 2024 als Stichtag festgelegt, an dem ISA 6 in TISAX® wirksam wird. Die Regeln für den um diesen Stichtag herum definierten Umstellungsprozess sind die gleichen wie bei früheren Änderungen:
- Bereits nach alten ISA-Versionen abgeschlossenen Prüfungen behalten ihre Gültigkeit. Wenn Ihre TISAX®-Labels nicht ablaufen, besteht kein Grund zu einer Neuprüfung.
- Neue TISAX®-Assessments, die bis 31. März 2024 beauftragt werden, können nach der alten ISA Version durchgeführt werden.
- Neue TISAX® Assessments, die ab dem 1. April 2024 beauftragt werden, werden nach ISA Version 6 durchgeführt.
- Prüfungsaktivitäten, die in Abhängigkeiten zu bestehenden Prüfungen stehen (Maßnahmenplan-, Follow-Up- oder Scope-Erweiterungs-Prüfungen) werden weiterhin nach der Version durchgeführt, nach der die initiale Prüfung durchgeführt wurde.
- Wenn eine Organisation ISA 5 beauftragt hat, aber ISA 6 besser passt, kann sie ab dem 1. April 2024 im Einverständnis mit dem Prüfdienstleister auf ISA 6 umstellen. Um genauer zu erfahren, unter welchen Umständen eine Umstellung möglich ist, sollten Organisationen sich an ihren Prüfdienstleister wenden.
Vorgehensweise für die Umstellung
Wir empfehlen Ihnen, sich so früh wie möglich auf die Umstellung vorzubereiten und zu planen, wie Sie die erforderlichen Änderungen umsetzen.
Empfohlene Schritte dafür sind:
- Machen Sie sich mit ISA Version 6 vertraut und konzentrieren Sie sich dabei auf die Änderungen.
- Schulen sie die zuständigen Mitarbeiter in Ihrer Organisation, um sicherzustellen, dass sie die Anforderungen und wichtigsten Änderungen verstehen.
- Identifizieren Sie zu behebende Lücken und erstellen Sie einen Umsetzungsplan.
- Aktualisieren Sie Ihre Prozesse und setzen Sie die Maßnahmen um.
Wie kann DNV helfen?
Ganz gleich, ob Sie eine Umstellung anstreben oder Ihre Zertifizierungsreise beginnen, DNV kann Ihr Partner sein. Wir bieten Schulungen zur Umstellung und zu Standards, Self Assessments, Gap-Analysen, Assessments und Zertifizierungen an.