16.10.2023

Seit heute ist die VDA ISA Version 6 verfügbar und bietet eine aktualisierte und verbesserte Version des Cybersicherheitsstandards für die Automobilindustrie.

Dieser Standard, Teil des TISAX-Programms, wurde entwickelt, um die Sicherheit von Informationen und Daten in der Automobilbranche zu gewährleisten. 


Hier sind die wichtigsten Neuerungen der ISA Version 6:

  • Erweiterter Fokus auf IT- und OT-Verfügbarkeit: Angesichts der steigenden Bedrohung von Ransomware-Angriffen liegt ein stärkerer Schwerpunkt auf der Sicherstellung der Verfügbarkeit von Informationen und IT-Ressourcen, einschließlich Operationstechnologie (OT).
  • Führungssprache Englisch: Die ISA Version 6 ist die erste, die von einem internationalen Expertenteam entwickelt wurde, wodurch Englisch zur führenden Sprache wurde. Dies ermöglicht eine bessere Klarheit und Konsistenz in der Umsetzung.
  • Hinzufügung von Implementierungsanleitungen: ISA 6 enthält mehr praktische Ratschläge und Beispiele, um Organisationen bei der Umsetzung der Sicherheitskontrollen zu unterstützen.
  • Überarbeiteter Datenschutzkatalog: Der Datenschutzkatalog wurde vollständig überarbeitet, um Organisationen zu unterstützen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) im Rahmen der Auftragsverarbeitung erfüllen.
  • Verweise auf andere Standards: ISA 6 enthält Verweise auf wichtige Sicherheitsstandards wie ISO/IEC 27001:2022, BSI-Grundschutz und NIST Cyber Security Framework Version 1.1.
  • Kontinuierliche Verbesserung und Wartung: ISA 6 bringt Klarheit und Präzision in den Anforderungen und sorgt für eine bessere Verständlichkeit des Standards.

Organisationen, die bereits ISA-Prüfungen abgeschlossen haben, müssen sich bis spätestens 1. April 2024 auf die neue Version ISA 6 umstellen. Die bestehenden Prüfungen behalten jedoch ihre Gültigkeit, solange die TISAX-Labels nicht ablaufen. 
Neue Prüfungen, die ab dem 1. April 2024 beauftragt werden, erfolgen gemäß ISA Version 6. Die Aktualisierung des Standards trägt dazu bei, die Cybersicherheit in der Automobilindustrie kontinuierlich zu verbessern und sich den aktuellen Herausforderungen anzupassen.

Die Änderungen im Detail:

  1. Zusätzliche Anforderungen zur Verbesserung der Verfügbarkeit: Die ISA Version 6 enthält zusätzliche Anforderungen, um die Verfügbarkeit von IT- und OT-Ressourcen in Produktionslieferketten sicherzustellen.
  2. Neue Control 1.3.4 ("Software-Zulassung"): hinzugefügt, um die sichere Verwaltung von Software auf Clients zu gewährleisten.
  3. Umbenannte Controlsektion 1.6 ("Vorfall- und Krisenmanagement"): Die Controlsektion 1.6 wurde umbenannt, um die Verwaltung von Sicherheitsvorfällen und Krisensituationen klarer zu strukturieren.
  4. Überarbeitetes Control 1.6.1 ("Berichterstattung von Sicherheitsereignissen"): Das Control zur Berichterstattung von Sicherheitsereignissen wurde überarbeitet, um sicherzustellen, dass klare Meldewege etabliert sind.
  5. Neues Control 1.6.2 ("Verwaltung von Sicherheitsereignissen"): Ein neues Control wurde hinzugefügt, um eine geordnete und zeitnahe Reaktion auf Sicherheitsvorfälle sicherzustellen.
  6. Neues Control 1.6.3 ("Umgang mit Krisensituationen") (ersetzt 3.1.2): Dieses neue Control zielt darauf ab, Organisationen auf Krisensituationen vorzubereiten und einen angemessenen Umgang sicherzustellen.
  7. Ersetztes Control 3.1.2: Das Control 3.1.2 wurde durch das Control 1.6.3 ersetzt.
  8. Neues Control 5.2.8 ("IT-Servicekontinuitätsplanung"): legt den Fokus auf die Planung der IT-Servicekontinuität, einschließlich Redundanz und Wiederherstellung von Schlüsselsystemen.
  9. Neues Control 5.2.9 ("Backup und Wiederherstellung"): zielt darauf ab, die Organisationen auf die Wiederherstellung von Daten und Systemen nach Sicherheitsvorfällen vorzubereiten.
  10. Entfernung der ISA 4-Kompatibilität: Die ISA Version 6 beinhaltet die Verweise zur Version 4 nicht mehr.
  11. Aktualisierung des Moduls "Datenschutz": Das Modul "Datenschutz" wurde aktualisiert und enthält überarbeitete Anforderungen, die von der VDA-Arbeitsgruppe "Datenschutz" bereitgestellt wurden.
  12. Verweise auf ISA/IEC 62443-2, ISO 27001:2022 und NIST CSF: ISA 6 enthält Verweise auf wichtige Sicherheitsstandards, darunter ISA/IEC 62443-2, ISO 27001:2022 und NIST Cyber Security Framework.
  13. Verweise auf Implementierungsleitfaden (BSI IT-Grundschutz, NIST SP800-53): ISA 6 enthält Verweise auf Implementierungsleitfäden wie BSI IT-Grundschutz und NIST SP800-53, um Organisationen bei der Umsetzung der Sicherheitskontrollen zu unterstützen.
  14. Erweiterter Anwendungsbereich von IT-Systemen in der Operationstechnologie (OT): Die ISA Version 6 hat den Anwendungsbereich von IT-Systemen in der OT erweitert, um die Sicherheit in diesem Bereich zu stärken.
  15. Hinzugefügte Informationen, Beispiele, typische Auditorfragen und typische Nachweise: ISA 6 bietet zusätzliche Informationen, Beispiele und praktische Unterstützung für viele der Sicherheitskontrollen (Spalten W bis AB), um Organisationen bei der Umsetzung zu helfen.
     

02.06.2022

Die Version 5.1.0 des VDA ISA Katalog

 

Was ist der VDA ISA Katalog überhaupt?

Im VDA ISA Katalog sind die Anforderungen der Automobilbranche an die Informationssicherheit beschrieben. Er enthält branchenweit abgestimmte Anforderungen zur Informationssicherheit und ist Basis für Assessments zur Bestimmung des Informationssicherheitsniveaus (Information Security Assessments – kurz ISA). Der VDA ISA Katalog ist die Grundlage für das TISAX® Assessment.

Und TISAX® war nochmal…?

Die VDA ISA fordert den Schutz von Informationen und Daten im Unternehmen.

TISAX® ist ein Branchenstandard der Automobilindustrie, der unterschiedliche Prüfziele wie Informationssicherheit, Prototypenschutz und Datenschutz verfolgt.

Jene Anforderungen der VDA ISA nach Informationssicherheit in der Automobilindustrie kann das betreffende Unternehmen bei erfolgreicher Prüfung nachweisen.

ACHTUNG:

Die Anforderungen stammen aus dem Sektor Automotive, sie richten sich aber an ALLE Institutionen, die in der Wertschöpfungskette der Automobilindustrie existieren. Dazu gehören Unternehmen, an die man sofort denkt, beispielsweise Hersteller von Automobilteilen.

Aber auch jene Unternehmen, die man vielleicht nicht sofort auf dem Schirm hat, wie zum Beispiel Messebauer, Medienagenturen oder Druckereien, die für Automobilkonzerne arbeiten oder von diesen beauftragt wurden, gehören zu diesen Institutionen.

Was ist neu beim VDA ISA Katalog Version 5.1?

In 2020 wurde der VDA ISA Katalog in der Version 5.0 grundlegend überarbeitet und optimiert – weiter unten stehend haben wir ausführlich über alle Änderungen und den Einfluss auf ein TISAX®-Assessment berichtet.

Laut der Änderungshistorie im VDA ISA Katalog 5.1 kamen nun folgende Änderungen und Anpassungen hinzu:

  • Korrektur Rechtschreibung und Ausdruck, sprachliche Klarstellung, Beseitigung von Uneindeutigkeiten
  • Neustrukturierung Tabellenblatt “Willkommen”, Definition der Tabellenblätter in “Definition” verschoben
  • Ergänzung der Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt “Informationssicherheit”
  • Entfernen der Spalte “Adressierte Schutzziele” in den Tabellenblätter “Informationssicherheit” und “Prototypenschutz”
  • Inhalte der Spalte “Üblicher Prozessverantwortlicher” in den Tabellenblättern “Informationssicherheit” und “Prototypenschutz” geleert

 

Mit der Version 5.1 wurden also neben sprachlichen Korrekturen die Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt "Informationssicherheit" ergänzt. Eine Veränderung von Anforderungen fand nicht statt.

Bei der Etablierung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus werden die Mitgliedsunternehmen durch die „Empfehlung Informationssicherheit“ und den VDA ISA Katalog unterstützt.

 

Den VDA ISA Katalog Version 5.1.0 können Sie unter diesem Link auf dem Portal der ENX herunterladen:

Downloads · ENX Portal

16.09.2020

Änderungen des VDA-ISA Katalog 5.0  und die Auswirkungen auf TISAX®

Es ist soweit - Die Version 5.0 des VDA Information Security Assessment (ISA) Katalogs wurde veröffentlicht.

 

Doch was genau hat sich denn nun geändert? Und welche Auswirkungen haben die Anpassungen auf die Zertifizierung nach TISAX?

Wir geben Ihnen hier die Zusammenfassung im Überblick:


Format

  • Neustrukturierung im Modul Informationssicherheit nach Themengebieten.
  • Das neue Tabellenformat bietet eine bessere Übersicht und erleichtert den Export

 

Überarbeitung

  • aller Fragen, Ziele und Anforderungen
  • Grundsätzlich wurde der Zielreifegrad in allen Controls nun auf 3 gesetzt
  • Die verpflichtende Anforderung zu KPIs entfällt damit, diese werden aber weiterhin als Beispiel aufgeführt und sind hilfreich bei der Kontrolle der Umsetzung
  • Hinweise und Erläuterungen wurden in den Controls entsprechend eingebaut
  • Es gibt nun teilweise einen Vorschlag für die „üblichen Prozessverantwortlichen“

 

Informationssicherheit

  • In diesem Modul wurden die Anforderungen neu geordnet und teilweise zusammengefasst.
  • Verschiedene Bereiche wurden detaillierter spezifiziert und veraltete Anforderungen entfernt.
  • Die Kann-Anforderungen sind weggefallen
  • Es wurden die Anzahl der Anforderungen reduziert: Muss (um 32), Sollte (um 52), Hoch (um 6) und Sehr Hoch (um 4)
  • Die adressierten Schutzziele werden explizit aufgeführt

 

Anbindung Dritter

  • Entfällt als eigenständiges Modul
  • ist überführt in das Themengebiet Informationssicherheit

 

Prototypenschutz

  • Es wurden die Anzahl der Muss Anforderungen um 32 erhöht

 

Neue Controls

  • mobiles Arbeiten (2.1.4.)

geht stärker auf die aktuellen Anforderungen im Home-Office und Maßnahmen beim Reisen in sicherheitskritische Länder ein

  • Eignung von Mitarbeitern (2.1.1.)

zur Sicherstellung der Eignung von Mitarbeitern für sensible Tätigkeitsbereiche.

  • Umgang mit Identifikationsmitteln (4.1.1.)

behandelt den Umgang von Schutzmerkmalen und dem Umgang von Identifikationsmitteln wie Schlüssel, Sichtausweise oder kryptographischer Tokens.

 

Integration folgender Controls

  • 1.2 in das neue Control 1.2.1
  • 8.3 in das neue Control 3.1.4
  • 9.3 in das neue Control 4.2.1
  • 11.2 in das neue Control 3.1.2
  • 11.3 in das neue Control 3.1.1
  • 12.4 in die neuen Controls 3.1.2 und 3.1.4
  • 12.6 in das neue Control 5.2.4
  • 13.3 in das neue Control 5.2.7
  • 14.2 und 14.3 in das neue Control 5.3.1
  • 15.2 in das neue Control 6.1.1
  • 16.2 in das neue Control 1.6.1

 

Entfall folgender Control

  • Control 12.9

 

Download des neuen VDA-ISA Katalog 5.1 unter diesem Link: 

publication-renderer | VDA


Ab dem 01. Oktober 2020 wird der VDA ISA Katalog, Version 5.0 für neu beginnende TISAX® Assessments verwendet.

Bis dahin gilt der bisherige VDA ISA Katalog, Version 4.1.1.

Und keine Panik: Für bereits laufende TISAX® Assessments, die vor dem 01.10.2020 beauftragt wurden, kann der bisherige Katalog bis zum 31.03.2021 ebenfalls angewendet werden.

 

Fazit

Wer VDA-ISA 4.1.1 in der Vergangenheit ordentlich umgesetzt und gelebt hat, kann mit wenig Aufwand auf den neuen VDA-ISA Katalog 5.0 umstellen und die zusätzlichen Anforderungen unkompliziert umsetzen.

Gerne unterstützen wir von OPTIQUM mit einer GAP Analyse und auch bei Fragen rund um VDA-ISA und TISAX®.

 

Kontaktieren Sie uns für ein unverbindliches Erstgespräch:  vda-isa-berater[at]optiqum.de


Damit Sie optimal auf die neuen Anforderungen und Ihre Zertifizierung nach TISAX®  vorbeitet sind, bietet OPTIQUM exklusiv den Workshop GET READY FOR TISAX®  an.

Informationen dazu finden Sie → hier.