Warum wird der VDA-ISA Standard überarbeitet?
Die für den VDA-ISA zuständige Arbeitsgruppe der ENX Association reagiert damit nach eigener Aussage auf eine veränderte Bedrohungslage.
Bisher lag der Fokus beim Thema Informations- und Cybersicherheit auf Industriespionage. Um diese zu verhindern, ist der Aspekt der Vertraulichkeit als Prüfziel definiert.
Durch die zuletzt massive Zunahme von Ransomware-Angriffen rückt nun neu und zusätzlich auch der Aspekt der Verfügbarkeit in den Fokus. Der Grund: Würde ein Erpressungstrojaner den Betrieb eines Teilezulieferers vorübergehend lahmlegen, wären die betreffenden Teile schnell nicht mehr verfügbar. Dies hätte gravierende Folgen für die Produktionsfähigkeit der belieferten Automobilhersteller.
Welche Label werden bei TISAX® neu hinzukommen?
Die Änderungen betreffen die Prüfziele und Label für den Kriterienkatalog „Informationssicherheit“.
TISAX® unterschiedet hier bisher in zwei Schutzniveaus: nämlich den „Umgang mit Informationen mit hohem” bzw. „sehr hohem Schutzbedarf“. Aus den zwei Labels gemäß der aktuellen Version 5 des VDA ISA werden in der bereits angekündigten Version 6 bald vier Labels werden (vgl. Abb.).
Beibehalten wird die Unterscheidung in die Schutzniveaus „hoch“ und „sehr hoch“. Beide Niveaus gibt es dann künftig jedoch einmal für den Aspekt „Vertraulichkeit“ und zusätzlich für den Aspekt „Verfügbarkeit“.
Die neuen Label im Überblick:
- Vertraulich / Confidential
- Hohe Verfügbarkeit / High Availability
- Streng vertraulich / Strictly confidential
- Sehr hohe Verfügbarkeit / Very high availability
*TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Welche Anforderungen müssen Unternehmen für die neuen Labels nach TISAX® laut VDA ISA erfüllen?
Die genauen Anforderungen können je nach den spezifischen Richtlinien des VDA-ISA Fragenkatalogs und den Anforderungen der jeweiligen Kunden variieren. Unternehmen sollten die aktuellen Richtlinien und Anforderungen sorgfältig prüfen und sicherstellen, dass sie alle relevanten Anforderungen erfüllen, um die neuen Labels nach TISAX® gemäß VDA ISA zu erhalten.
Neue Anforderungen des VDA-ISA 6.0 betreffen unter anderem:
- Sicherheit und betriebliche Kontinuität
- Risikomanagement
- Notfallmanagement
- Zugangskontrollen
- Netzwerksegmentierung
- Kompetenz des Personals
Die Aktualisierungen des VDA-ISA Fragenkatalogs 6.0 werden voraussichtlich ab dem 1. April 2024 inkrafttreten.
Wie und ab wann können Unternehmen die neuen Label erlangen?
Ab dem 1. April 2024 können Unternehmen die neuen Label im Rahmen eines TISAX® Assessments erlangen. Die neuen Anforderungen sind in der Version 6 des VDA ISA Katalogs definiert.
Gut zu wissen: Unternehmen, bei denen 2024 eine Überprüfung gemäß TISAX® ansteht, können sich im ENX-Portal schon jetzt für die neuen Prüfziele registrieren und ihre Organisation entsprechend auf das Assessment vorbereiten.
Beim Wie bleibt alles wie gehabt: Unternehmen wählen den Prüfscope passend zu den Anforderungen ihrer Automobilkunden aus. Die Prüfdienstleister führen das Assessment wie bisher durch: Grundlage ist immer die Selbsteinschätzung gemäß ISA-Fragenkatalog. Die dort gegebenen Antworten verifizieren die Prüfdienstleister je nach Assessment-Level entweder remote mithilfe von Plausibilitätsabfragen oder persönlich bei Überprüfungen vor Ort.
Müssen sich mit Inkrafttreten der neuen Label alle Unternehmen neu zertifizieren lassen?
Nein, alle bereits erteilten Zertifizierungen nach TISAX® sind ungeachtet der zwischenzeitlichen Überarbeitungen drei Jahre lang gültig. Es wird also eine Übergangszeit geben. In dieser, so hat es die ENX Association angekündigt, werden bereits ausgestellte Label automatisch erweitert.
Sprich: Wer die Kriterien für „Informationssicherheit hoch“ erfüllt und dessen Label noch länger gültig ist, wird ab dem Zeitpunkt der Umstellung auf VDA-ISA 6 im ENX-Portal mit beiden Labeln gelistet – also mit „Informationssicherheit hoch“ und „Hohe Verfügbarkeit“. Gleiches gilt für das bisherige Label mit dem Schutzniveau „Informationssicherheit sehr hoch“. Wer es hat, bekommt dasneue Label vorerst automatisch zusätzlich.
Wie kann DataGuard im Zuge der Weiterentwicklung von TISAX® unterstützen?
Unsere Expert*innen für Zertifizierungen nach TISAX® beobachten die Entwicklungen sehr genau und sind stets auf dem neuesten Stand. Sobald neue Informationen bekannt sind, können wir Sie dann bereits in den Grundzügen auf Assessments nach dem neuen Fragenkatalog vorbereiten. Zur Seite stehen wir Ihnen selbstverständlich auch, wenn es um die Auswahl des Prüfscopes für Assessments ab 2024 und Ihre Anmeldung im ENX-Portal geht sowie beim Einhalten der von Ihren Automobilkunden geforderten Umsetzungsfristen. Fragen Sie uns einfach, wir beraten Sie gern.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Checkliste zur Vorbereitung auf das Assessment nach TISAX®
Unsere Checkliste bietet Ihnen einen Leitfaden, mit dem Sie sich auf ein Assessment vorbereiten können.
Jetzt kostenlos herunterladen
