Bleiben Sie informiert
VDA ISA Katalog - aktuelle Standards
Im VDA ISA Katalog sind die Anforderungen der Automobilbranche an die Informationssicherheit beschrieben. Er enthält branchenweit abgestimmte Anforderungen zur Informationssicherheit und ist Basis für Assessments zur Bestimmung des Informationssicherheitsniveaus (Information Security Assessments – kurz ISA). Der VDA ISA Katalog ist die Grundlage für das TISAX® Assessment.
Auf dieser Seite informieren wir Sie über neueste Entwicklungen, Aktualisierungen und daraus resultierende Anpassungen Ihrer Prozesse.
Sie sind unsicher, ob es Handlungsbedarf aufgrund der neuesten Version des VDA ISA Katalogs in Ihrem Unternehmen gibt?
Erste Hilfe erhalten Sie hier:
01.04.2024
Seit heute ist der VDA ISA Katalog in der Version 6 gültig!
Verpflichtend ist die Version 6.0 für alle, die jetzt die Prüfung zu TISAX® beauftragen
Am 1. April 2024 trat die neue Version 6 des VDA ISA-Katalogs in Kraft, was bedeutende Änderungen für den TISAX®-Zertifizierungsprozess mit sich bringt.
Bis zum 31. März konnten Unternehmen, die ein TISAX®-Assessment in Auftrag geben, noch nach der Version 5.1 des VDA ISA auditiert werden.
Wurde bereits ein Assessment nach ISA 5 beauftragt wurde, besteht ab dem 1. April 2024 die Möglichkeit, in Absprache mit dem Prüfdienstleister auf ISA 6 umzustellen. Die Übergangsfrist für bereits laufende Assessment-Verfahren dauert bis zum 30. September 2024.
Die neue Version des ISA-Katalogs beeinflusst auch die TISAX®-Prüfziele und -Labels. Bisher gab es zwei Label-Niveaus für den Kriterienkatalog „Informationssicherheit“: „Info High“ und „Info Very High“. In Version 6 werden nun vier Labels verwendet: „Availability“ (Verfügbarkeit) und „Confidential“ (Vertraulich). Die alten „Info“-Labels entfallen. Damit wird eine strengere Unterscheidung zwischen Vertraulichkeit und Verfügbarkeit eingeführt. Die Unterscheidung in die Schutzniveaus „hoch“ und „sehr hoch“ bleibt jedoch bestehen.
16.10.2023
Der neue VDA ISA Version 6 ist verfügbar und bietet eine aktualisierte und verbesserte Version des Cybersicherheitsstandards für die Automobilindustrie.
Dieser Standard, Teil des TISAX ®-Programms, wurde entwickelt, um die Sicherheit von Informationen und Daten in der Automobilbranche zu gewährleisten.
Hier sind die wichtigsten Neuerungen der ISA Version 6:
- Erweiterter Fokus auf IT- und OT-Verfügbarkeit: Angesichts der steigenden Bedrohung von Ransomware-Angriffen liegt ein stärkerer Schwerpunkt auf der Sicherstellung der Verfügbarkeit von Informationen und IT-Ressourcen, einschließlich Operationstechnologie (OT).
- Führungssprache Englisch: Die ISA Version 6 ist die erste, die von einem internationalen Expertenteam entwickelt wurde, wodurch Englisch zur führenden Sprache wurde. Dies ermöglicht eine bessere Klarheit und Konsistenz in der Umsetzung.
- Hinzufügung von Implementierungsanleitungen: ISA 6 enthält mehr praktische Ratschläge und Beispiele, um Organisationen bei der Umsetzung der Sicherheitskontrollen zu unterstützen.
- Überarbeiteter Datenschutzkatalog: Der Datenschutzkatalog wurde vollständig überarbeitet, um Organisationen zu unterstützen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) im Rahmen der Auftragsverarbeitung erfüllen.
- Verweise auf andere Standards: ISA 6 enthält Verweise auf wichtige Sicherheitsstandards wie ISO/IEC 27001:2022, BSI-Grundschutz und NIST Cyber Security Framework Version 1.1.
- Kontinuierliche Verbesserung und Wartung: ISA 6 bringt Klarheit und Präzision in den Anforderungen und sorgt für eine bessere Verständlichkeit des Standards.
Organisationen, die bereits ISA-Prüfungen abgeschlossen haben, müssen sich bis spätestens 1. April 2024 auf die neue Version ISA 6 umstellen. Die bestehenden Prüfungen behalten jedoch ihre Gültigkeit, solange die TISAX-Labels nicht ablaufen.
Neue Prüfungen, die ab dem 1. April 2024 beauftragt werden, erfolgen gemäß ISA Version 6. Die Aktualisierung des Standards trägt dazu bei, die Cybersicherheit in der Automobilindustrie kontinuierlich zu verbessern und sich den aktuellen Herausforderungen anzupassen.
Die Änderungen im Detail:
- Zusätzliche Anforderungen zur Verbesserung der Verfügbarkeit: Die ISA Version 6 enthält zusätzliche Anforderungen, um die Verfügbarkeit von IT- und OT-Ressourcen in Produktionslieferketten sicherzustellen.
- Neue Control 1.3.4 („Software-Zulassung“): hinzugefügt, um die sichere Verwaltung von Software auf Clients zu gewährleisten.
- Umbenannte Controlsektion 1.6 („Vorfall- und Krisenmanagement“): Die Controlsektion 1.6 wurde umbenannt, um die Verwaltung von Sicherheitsvorfällen und Krisensituationen klarer zu strukturieren.
- Überarbeitetes Control 1.6.1 („Berichterstattung von Sicherheitsereignissen“): Das Control zur Berichterstattung von Sicherheitsereignissen wurde überarbeitet, um sicherzustellen, dass klare Meldewege etabliert sind.
- Neues Control 1.6.2 („Verwaltung von Sicherheitsereignissen“): Ein neues Control wurde hinzugefügt, um eine geordnete und zeitnahe Reaktion auf Sicherheitsvorfälle sicherzustellen.
- Neues Control 1.6.3 („Umgang mit Krisensituationen“) (ersetzt 3.1.2): Dieses neue Control zielt darauf ab, Organisationen auf Krisensituationen vorzubereiten und einen angemessenen Umgang sicherzustellen.
- Ersetztes Control 3.1.2: Das Control 3.1.2 wurde durch das Control 1.6.3 ersetzt.
- Neues Control 5.2.8 („IT-Servicekontinuitätsplanung“): legt den Fokus auf die Planung der IT-Servicekontinuität, einschließlich Redundanz und Wiederherstellung von Schlüsselsystemen.
- Neues Control 5.2.9 („Backup und Wiederherstellung“): zielt darauf ab, die Organisationen auf die Wiederherstellung von Daten und Systemen nach Sicherheitsvorfällen vorzubereiten.
- Entfernung der ISA 4-Kompatibilität: Die ISA Version 6 beinhaltet die Verweise zur Version 4 nicht mehr.
- Aktualisierung des Moduls „Datenschutz“: Das Modul „Datenschutz“ wurde aktualisiert und enthält überarbeitete Anforderungen, die von der VDA-Arbeitsgruppe „Datenschutz“ bereitgestellt wurden.
- Verweise auf ISA/IEC 62443-2, ISO 27001:2022 und NIST CSF: ISA 6 enthält Verweise auf wichtige Sicherheitsstandards, darunter ISA/IEC 62443-2, ISO 27001:2022 und NIST Cyber Security Framework.
- Verweise auf Implementierungsleitfaden (BSI IT-Grundschutz, NIST SP800-53): ISA 6 enthält Verweise auf Implementierungsleitfäden wie BSI IT-Grundschutz und NIST SP800-53, um Organisationen bei der Umsetzung der Sicherheitskontrollen zu unterstützen.
- Erweiterter Anwendungsbereich von IT-Systemen in der Operationstechnologie (OT): Die ISA Version 6 hat den Anwendungsbereich von IT-Systemen in der OT erweitert, um die Sicherheit in diesem Bereich zu stärken.
- Hinzugefügte Informationen, Beispiele, typische Auditorfragen und typische Nachweise: ISA 6 bietet zusätzliche Informationen, Beispiele und praktische Unterstützung für viele der Sicherheitskontrollen (Spalten W bis AB), um Organisationen bei der Umsetzung zu helfen.
TISAX® ist eine eingetragene Marke der ENX Association
Den VDA ISA Katalog in der aktuellsten Version können Sie unter diesem Link auf dem Portal der ENX herunterladen:
02.06.2022
Die Version 5.1.0 des VDA ISA Katalog
Was ist der VDA ISA Katalog überhaupt?
Im VDA ISA Katalog sind die Anforderungen der Automobilbranche an die Informationssicherheit beschrieben. Er enthält branchenweit abgestimmte Anforderungen zur Informationssicherheit und ist Basis für Assessments zur Bestimmung des Informationssicherheitsniveaus (Information Security Assessments – kurz ISA). Der VDA ISA Katalog ist die Grundlage für das TISAX® Assessment.
Und TISAX® war nochmal…?
Die VDA ISA fordert den Schutz von Informationen und Daten im Unternehmen. TISAX® ist ein Branchenstandard der Automobilindustrie, der unterschiedliche Prüfziele wie Informationssicherheit, Prototypenschutz und Datenschutz verfolgt. Jene Anforderungen der VDA ISA nach Informationssicherheit in der Automobilindustrie kann das betreffende Unternehmen bei erfolgreicher Prüfung nachweisen.
ACHTUNG:
Die Anforderungen stammen aus dem Sektor Automotive, sie richten sich aber an ALLE Institutionen, die in der Wertschöpfungskette der Automobilindustrie existieren. Dazu gehören Unternehmen, an die man sofort denkt, beispielsweise Hersteller von Automobilteilen.
Aber auch jene Unternehmen, die man vielleicht nicht sofort auf dem Schirm hat, wie zum Beispiel Messebauer, Medienagenturen oder Druckereien, die für Automobilkonzerne arbeiten oder von diesen beauftragt wurden, gehören zu diesen Institutionen.
Was ist neu beim VDA ISA Katalog Version 5.1?
In 2020 wurde der VDA ISA Katalog in der Version 5.0 grundlegend überarbeitet und optimiert – weiter unten stehend haben wir ausführlich über alle Änderungen und den Einfluss auf ein TISAX®-Assessment berichtet.
Laut der Änderungshistorie im VDA ISA Katalog 5.1 kamen nun folgende Änderungen und Anpassungen hinzu:
- Korrektur Rechtschreibung und Ausdruck, sprachliche Klarstellung, Beseitigung von Uneindeutigkeiten
- Neustrukturierung Tabellenblatt “Willkommen”, Definition der Tabellenblätter in “Definition” verschoben
- Ergänzung der Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt “Informationssicherheit”
- Entfernen der Spalte “Adressierte Schutzziele” in den Tabellenblätter “Informationssicherheit” und “Prototypenschutz”
- Inhalte der Spalte “Üblicher Prozessverantwortlicher” in den Tabellenblättern “Informationssicherheit” und “Prototypenschutz” geleert
Mit der Version 5.1 wurden also neben sprachlichen Korrekturen die Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt „Informationssicherheit“ ergänzt. Eine Veränderung von Anforderungen fand nicht statt.
Bei der Etablierung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus werden die Mitgliedsunternehmen durch die „Empfehlung Informationssicherheit“ und den VDA ISA Katalog unterstützt.