Aus welchen Gründen wird der VDA-ISA Standard überarbeitet?
Die für den VDA-ISA zuständige Arbeitsgruppe der ENX Association reagiert damit nach eigener Aussage auf eine veränderte Bedrohungslage. Bisher lag der Fokus beim Thema Informations- und Cybersicherheit auf Industriespionage. Um diese zu verhindern, ist der Aspekt der Vertraulichkeit als Prüfziel definiert. Durch die zuletzt massive Zunahme von Ransomware-Angriffen rückt nun neu und zusätzlich auch der Aspekt der Verfügbarkeit in den Fokus. Der Grund: Würde ein Erpressungstrojaner den Betrieb eines Teilezulieferers vorübergehend lahmlegen, wären die betreffenden Teile schnell nicht mehr verfügbar. Dies hätte gravierende Folgen für die Produktionsfähigkeit der belieferten Automobilhersteller.
Welche Label werden bei TISAX® neu hinzukommen?
Die Änderungen betreffen die Prüfziele und Label für den Kriterienkatalog „Informationssicherheit“. TISAX® unterschiedet hier bisher in zwei Schutzniveaus: nämlich den „Umgang mit Informationen mit hohem” bzw. „sehr hohem Schutzbedarf“. Aus den zwei Labels gemäß der aktuellen Version 5 des ISA werden in der bereits angekündigten Version 6 bald vier Labels werden (vgl. Abb.). Beibehalten wird die Unterscheidung in die Schutzniveaus „hoch“ und „sehr hoch“. Beide Niveaus gibt es dann künftig jedoch einmal für den Aspekt „Vertraulichkeit“ und zusätzlich für den Aspekt „Verfügbarkeit“.
Die neuen Label im Überblick:
- Vertraulich / Confidential
- Hohe Verfügbarkeit / High Availability
- Streng vertraulich / Strictly confidential
- Sehr hohe Verfügbarkeit / Very high availability
*TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Welche Anforderungen müssen Unternehmen für die neuen Labels nach TISAX® erfüllen?
Wie genau die Anforderungen aussehen und mit welchen Fragen sie in den VDA-ISA Fragenkatalog integriert werden, ist noch nicht bekannt. Die für die Aktualisierungen zuständige ENX-Arbeitsgruppe wird entsprechende Vorschläge voraussichtlich noch im Frühjahr 2023 vorlegen. Diese dürften im Sommer einem Review unterzogen und dann frühestens im Herbst 2023, bzw. Anfang 2024, verabschiedet werden. Mit dem Inkrafttreten der neuen Version 6 des ISA-Fragenkatalogs ist daher nicht vor Ende 2023, Anfang 2024 zu rechnen.
Wie und ab wann können Unternehmen die neuen Label erlangen?
Wenn der oben skizzierte Zeitplan eingehalten wird, werden die neuen Labels für TISAX® frühestens Ende 2023, bzw. Anfang 2024 erteilt. Gut zu wissen: Unternehmen, bei denen 2024 eine Überprüfung gemäß TISAX® ansteht, können sich im ENX-Portal schon jetzt für die neuen Prüfziele registrieren und ihre Organisation entsprechend auf das Assessment vorbereiten.
Beim Wie bleibt alles wie gehabt: Unternehmen wählen den Prüfscope passend zu den Anforderungen ihrer Automobilkunden aus. Die Prüfdienstleister führen das Assessment wie bisher durch: Grundlage ist immer die Selbsteinschätzung gemäß ISA-Fragenkatalog. Die dort gegebenen Antworten verifizieren die Prüfdienstleister je nach Assessment-Level entweder remote mithilfe von Plausibilitätsabfragen oder persönlich bei Überprüfungen vor Ort.
Müssen sich mit Inkrafttreten der neuen Label alle Unternehmen neu zertifizieren lassen?
Nein, alle bereits erteilten Zertifizierungen nach TISAX® sind ungeachtet der zwischenzeitlichen Überarbeitungen drei Jahre lang gültig. Es wird also eine Übergangszeit geben. In dieser, so hat es die ENX Association angekündigt, werden bereits ausgestellte Label automatisch erweitert. Sprich: Wer die Kriterien für „Informationssicherheit hoch“ erfüllt und dessen Label noch länger gültig ist, wird ab dem Zeitpunkt der Umstellung auf VDA-ISA 6 im ENX-Portal mit beiden Labeln gelistet – also mit „Informationssicherheit hoch“ und „Hohe Verfügbarkeit“. Gleiches gilt für das bisherige Label mit dem Schutzniveau „Informationssicherheit sehr hoch“. Wer es hat, bekommt dasneue Label vorerst automatisch zusätzlich.
Wie kann DataGuard im Zuge der Weiterentwicklung von TISAX® unterstützen?
Unsere Expert*innen für Zertifizierungen nach TISAX® beobachten die Entwicklungen sehr genau und sind stets auf dem neuesten Stand. Sobald neue Informationen bekannt sind, können wir Sie dann bereits in den Grundzügen auf Assessments nach dem neuen Fragenkatalog vorbereiten. Zur Seite stehen wir Ihnen selbstverständlich auch, wenn es um die Auswahl des Prüfscopes für Assessments ab 2024 und Ihre Anmeldung im ENX-Portal geht sowie beim Einhalten der von Ihren Automobilkunden geforderten Umsetzungsfristen. Fragen Sie uns einfach, wir beraten Sie gern.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Checkliste zur Vorbereitung auf das Assessment nach TISAX®
Unsere Checkliste bietet Ihnen einen Leitfaden, mit dem Sie sich auf ein Assessment vorbereiten können.
