TISAX und VDA-ISA-Katalog Version 6 – Neuerungen in der Praxis
10.09.2024 / Lea Joosten und Maren Poppe
Im Oktober 2023 ist die Version 6 des TISAX/VDA-ISA-Katalogs veröffentlicht worden. Was hat sich geändert, und was bedeutet das für ein existierendes ISMS und anstehende Assessments? Denn genau wie in der ISO 27001 gibt es einige Änderungen, Neuerungen und Umstrukturierungen. Im Gegensatz zur ISO 27001 muss ein Audit nach der aktuellen neuen Version stattfinden; eine Übergangszeit gab es nur kurz.
VDA-ISA-Katalog und TISAX
Im Information-Security-Assessment-Katalog des Verbandes der Automobilindustrie (VDA ISA) wird ein Standard für die Informationssicherheit in der Automobilbranche festgelegt. Unternehmen, die in dieser Branche tätig sind oder als Lieferanten und Berater Verbindungen dazu haben, sind häufig damit konfrontiert, diesen Standard zu erfüllen. Mithilfe von TISAX (Trusted Information Security Assessment Exchange) können die Ergebnisse einer Prüfung nach diesem Standard untereinander auf sichere Weise geteilt werden. Verantwortlich für diesen Austausch über eine dazugehörige Plattform ist der Dachverband ENX.
Die Version 6 des ISA-Katalogs wurde, wie die Vorgängerversionen, von der internationalen ENX Working Group ISA entwickelt, die aus Experten der Fahrzeughersteller, Lieferanten und Dienstleister zusammengestellt wurde. Der Katalog ist nach seiner ersten Veröffentlichung Ende 2023 im April 2024 in Kraft getreten.
Der VDA-ISA-Katalog formuliert keinen völlig aus der Luft gegriffenen Standard, sondern orientiert sich stark an der ISO 27001. Viele Kriterien sind handhabbarer formuliert, einige Anforderungen sind abgeschwächt und an anderer Stelle wurden spezifische Anforderungen für die Automobilindustrie hinzugefügt (Stichwort Prototypenschutz).
Änderungen im ISA-Katalog 6
Im ISA-Katalog 6 wurden Änderungen und Verbesserungen in folgenden Punkten eingeführt:
- Änderungen mit stärkerem Fokus auf die IT- und OT-Verfügbarkeit von Produktionslieferanten
- Führende Sprache ist jetzt Englisch, die deutsche Übersetzung wurde allerdings zeitgleich veröffentlicht und kann weiterhin für Assessments genutzt werden; weitere Übersetzungen sind geplant
- Hinzufügung von ausführlicheren Implementierungsanleitungen
- Vollständig überarbeiteter Datenschutzkatalog
- Neue Verweise auf ISO/IEC 27001:2022, BSI Grundschutz und NIST Cyber Security Framework Version 1.1
- Neue Controls zu Softwarefreigabe, zum Management von Sicherheitsvorfällen und Notfällen mit Fokus auf Präventivmaßnahmen und zu Business Continuity Management (BCM) in der operativen Sicherheit
Auch hinsichtlich des Assessments gab es Änderungen: Die bisherigen acht Prüfziele wurden auf zehn erweitert. Die Änderungen betreffen insbesondere das Modul „Informationssicherheit“ und das zugehörige Labelsystem. Dieses Label wird zukünftig durch zwei neue Label „Verfügbarkeit“ und „Vertraulichkeit“ ersetzt.
Das Label Verfügbarkeit (hoch und sehr hoch) zieht OT-Systeme (Operational Technology) mehr in den Fokus. Die Aspekte in diesem Label sind an die Normreihe IEC 62443 (IT-Sicherheit für industrielle Automatisierungssysteme) angepasst.
Das Label Vertraulichkeit (hoch und sehr hoch) bezieht sich hauptsächlich auf den Nachweis, dass Unternehmen angemessen mit sensiblen Informationen umgehen. Hier wurden alle Anforderungen stärker ausgelegt.
Neu sind auch Zusatzanforderungen bei hohem Schutzbedarf basierend auf den gewählten Schutzzielen. Diese sind an den Buchstaben C, I, A hinter der Anforderung zu erkennen. Ist beispielsweise nur ein „A“ vermerkt, gilt die Anforderung nur für einen hohen Schutzbedarf in Bezug auf Verfügbarkeit (Availability). Findet man „C, I, A“ hinter einer Anforderung, gilt sie für alle drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit (Confidentiality, Integrity, Availability).
Durch diese Präzisierungen entwickelt sich der VDA-ISA-Standard in Bezug auf höhere Qualität und Sicherheit weiter. Eine strukturelle Neuordnung wie in der ISO 27001:2022 gab es allerdings nicht.
Was bedeutet die Einführung des neuen Katalogs für die TISAX-Zertifizierung?
Der ISA-Katalog 6 trat am 1. April 2024 in Kraft. TISAX-Assessments, die bis einschließlich Ende März in Auftrag gegeben wurden, konnten noch nach dem „alten“ Katalog (Version 5.1) geprüft werden. Nach einer kurzen Übergangsfrist gilt nun also der neue Katalog. Spätestens im April 2027 sollten dann alle Zertifikate den neuen Standard widerspiegeln.
Durch die neuen bzw. ausführlicheren Verweise auf andere Normen, Implementierungshinweise und weitere Informationen zu den einzelnen Controls verfügen Teilnehmende nun über mehr Informationen als je zuvor zur Umsetzung der Controls. Für all diejenigen, die sich in der Welt der Standards bereits gut auskennen, werden Beziehungen leichter ersichtlich und das Ausfüllen des Katalogs einfacher, sollte man schon nach einem anderen Standard zertifiziert sein.
Steht ein Assessment nach der neuen Version des VDA-ISA-Katalogs an, sollte man nicht nur auf die offensichtlich neuen Controls achten. In einigen Anforderungen, auch Muss-Anforderungen, wurden Änderungen eingefügt, die sich auf die Umsetzung des Controls auswirken. Das kann eine Entschärfung der Anforderung bedeuten (etwa wie bei Control 1.5.2, welches eine Überprüfung des ISMS „in regelmäßigen Abständen und bei Änderungen“ forderte, nun die Änderungen auf „wesentliche“ beschränkt), doch auch eine Erweiterung der Anwendung (etwa bei Control 5.2.6, welches sich nun nicht mehr nur auf die Überprüfung von IT-Systemen sondern auch IT-Diensten bezieht).
Unsere Erfahrungen
Wir als ComConsult GmbH haben ein Assessment nach dem VDA-ISA-Katalog Version 6 bereits durchgeführt.
Bei der Bearbeitung des Katalogs ist uns besonders der neue Fokus auf den Abschnitt 1.6 „Vorfälle und Krisenmanagement“ aufgefallen. Statt in einem werden hier in drei neuen Controls Maßnahmen zum Informationssicherheitsvorfall- und Notfallmanagement abgefragt. Ähnlich wie in der ISO 27001:2022 (Control 5.24–5.29) wird das Planen, Umsetzen und Überprüfen von Präventivmaßnahmen, die Meldung von sowie Reaktion auf Vorfälle und Notfälle differenzierter betrachtet. Durch diese ausführlicheren Anforderungen wird ein Unternehmen angeregt, sich mehr mit dem Handeln im Ernstfall auseinanderzusetzen, bevor es so weit ist. Eine durchweg positive Sache.
Allerdings haben wir uns mit einer Muss-Anforderung aus dem Punkt 1.6.1 auch schwergetan. Es wird gefordert, dass alle Mitarbeiter sensibilisiert werden sollen, Fehlverhalten von Kollegen in Bezug auf Informationssicherheitsmaßnahmen zu melden. Die Intention, eine Gesamtverantwortlichkeit zu schaffen und auch über Prüfungen des Informationssicherheitsbeauftragten hinaus Lücken zu erkennen, ist positiv, die Maßnahme ohne eine Fingerzeig-Kultur umzusetzen hingegen schwierig.
Fazit
Insgesamt sind die Anforderungen eher gestiegen und erforderten Schärfungen in den Maßnahmen und zugehörigen Prozessen. Bevor man in ein Assessment durch einen Prüfdienstleister geht, sollte ein internes Audit durch einen nicht an den ISMS-Prozessen Beteiligten durchgeführt werden, um im Assessment keine Überraschungen zu erleben.
Quellen:
https://www.vda.de/de/themen/digitalisierung/daten/informationssicherheit
https://www.enx.com/de-DE/news/ISA-Version-6-Now-Available/
https://www.bos-kg.de/vda-isa-revision-6-0/
https://www.dqsglobal.com/de-de/wissen/blog/isa-katalog-6-0-ab-2024#isa-katalog-aenderungen-fazit-6