TISAX: Neuer ISA-Katalog vom VDA veröffentlicht
Der Verband der deutschen Automobilindustrie (VDA) hat am 16.10.2023 die neue Version 6 des ISA-Katalogs veröffentlicht. Dieses Control-Framework definiert die Anforderungen an Cyber- und Informationssicherheit nach Stand der Technik für die Zulieferer aus Sicht der Automobilindustrie und stellt die Prüfungsgrundlage für Assessments nach dem TISAX®-Standard dar.
Neben der Änderung bzgl. der Namensgebung – in den bisherigen Versionen bisher trug der Katalog die offizielle Bezeichnung „VDA ISA-Katalog“, ab Version 6 heißt der Katalog nur noch „ISA-Katalog" – ergeben sich inhaltlich einige wesentliche Neuerungen:
Neue „führende“ Sprachversion
Mit der Version 6 des ISA-Katalogs wird Englisch zur führenden Sprachversion, weitere Sprachversionen wie z. B. Deutsch, Spanisch, Französisch, Italienisch, Chinesisch etc. sind geplant und werden sukzessive veröffentlicht werden. Die zusätzlichen Sprachversion sind aber stets Übersetzungen der englischen „Master-Version“, d.h. die Weiterentwicklung des Katalogs erfolgt ab sofort ausschließlich in der englischen Sprachversion.
Neue Prüfziele / TISAX®-Labels mit dem Fokus
Bereits Anfang 2023 erfolgte eine Aufsplittung der bisherigen Labels „Info high“ und „Info very high“ bzgl. Verfügbarkeit. Diese Aufteilung wurde nun konsequent hinsichtlich Vertraulichkeit fortgeführt, so dass nun folgende vier Labels existieren:
- High availability
- Confidential
- Very high availability
- Strictly confidential
5 neue Controls
Zur besseren Fokussierung auf IT-Verfügbarkeit und Resilienz (inkl. OT) wurden fünf neue Controls zu folgenden Themen eingeführt:
- 3.4 Software approval
- 6.2 Managing of security events
- 6.3 Handling of crisis situations
- 2.8 IT service continuity planning
- 2.9 Backup and recovery
Datenschutz-Modul
Der Datenschutzkatalog für die Prüfziele / TISAX®-Labels „Data“ und „Special data“ wurde vollständig überarbeitet.
Referenzen
Referenzen auf weitere internationale Standards im Bereich Cyber- und Informationssicherheit wurden ausgebaut: die bestehenden Referenzen wie z. B. zu ISO 27001 wurden aktualisiert und weitere Referenzen (BSI Grundschutz sowie NIST Cyber Security Framework V1.1) hinzugefügt.
Implementierungsanleitungen
Die bereits in V5 teilweise vorhandenen „Good practise“-Hinweise und Anleitungen wurden stark erweitert und weiter ausgebaut.
Download
Der neue ISA-Katalog steht seit dem 16.10.2023 als öffentlich verfügbare Information auf der ENX-Webseite unter https://www.enx.com/ISA6-EN.xlsx in englischer Sprache zum kostenlosen Download zu Verfügung.
Timeline
Prüfungen nach ISA 6 können ab dem 01.01.2024 durchgeführt werden, vorausgesetzt, der TISAX®-Prüfdienstleister unterstützt dies bereits, ab dem 01.04.2024 sind alle neuen Verfahren von allen Prüfdienstleistern verpflichtend nach dem neuen Katalog durchzuführen (Stichtag ist das Datum der Beauftragung). Prüfungen nach ISA 6 können auf Anfrage ab 01.01.2024 von der CIS durchgeführt werden.