Bei der Durchführung von TISAX Assessments wird der Fragen- bzw. Prüfkatalog Information Security Assessment (ISA) der ENX Association verwendet. Dieser enthält Anforderungen zu den Themen Informationssicherheit, Datenschutz und Prototypenschutz für Unternehmen der Automobilindustrie. Am 16.10.2023 wurde der neue, überarbeitete ISA 6-Standard veröffentlicht, der den bisherigen ISA 5.1-Standard ablöst. Dieser neue Prüfkatalog erfüllt auch bereits die Anforderungen der NIS2.
Was ist neu?
Der ISA 6-Standard enthält eine Reihe von Änderungen und Verbesserungen. Die wichtigsten sind1:
- Verstärkter Fokus auf IT- und OT-Verfügbarkeit, um die Verfügbarkeit von Informationen und IT-Ressourcen, einschließlich der Operationstechnologie sicherzustellen,
- Die führende Sprache ist Englisch, weitere Übersetzungen sind geplant,
- Hinzufügung von Implementierungsanleitungen, Ratschlägen und Beispielen, um bei der Umsetzung der Sicherheitskontrollen zu unterstützen,
- Überarbeiteter Datenschutzkatalog, um Organisationen bei der Erfüllung der Anforderungen aus der DSGVO zu unterstützen,
- Neue Verweise auf andere Standards, wie ISO/IEC 27001:2022, BSI-Grundschutz und NIST Cyber Security Framework Version 1.1 und
- Kontinuierliche Verbesserung und Pflege, um die Verständlichkeit des Standards zu gewährleisten.
Aufgrund dieser Verbesserungen werden auch an den TISAX-Prüfzielen und Labels Änderungen vorgenommen. Bereits Anfang 2023 wurden die neuen "Info"-Labels "Info High" und "Info Very High" eingeführt. Mit den neuen Anforderungen des ISA 6-Standards werden nun auch die „Verfügbarkeit“-Labels "Vertraulich" und "Streng vertraulich" ergänzt.2
Organisationen, die bereits über "Info High" oder "Info Very High"-Labels verfügen, erhalten automatisch das Label "Vertraulich" und für "Very High" auch "Streng vertraulich" als zusätzliche Labels. Die ursprünglichen Labels "Info High" und "Info Very High" bleiben bestehen.
Infolge der Änderungen und festgelegter Übergangsregelungen treten die neuen Prüfziele zum 01.04.2024 in Kraft.
Wie geht es weiter?
Organisationen, die vor dem 1. April 2024 ein TISAX-Assessment bestellen, werden weiterhin mit den TISAX-Prüfzielen "Info" geprüft. Sobald die neuen Labels prüfbar sind, erhalten alle Standorte automatisch das Label "Vertraulich" und/oder "Streng vertraulich" als zusätzliche Labels.
Assessments, die nach dem 1. April 2024 in Auftrag gegeben werden, können nicht mehr "Info High" oder "Info Very High" als Prüfziel beinhalten. Alle verbleibenden "Info High"- und "Info Very High"-Ziele in bereits registrierten TISAX-Scopes werden automatisch in "Vertraulich" und "Hohe Verfügbarkeit" bzw. "Streng vertraulich" und "Sehr hohe Verfügbarkeit" umgewandelt.
Maßnahmen bestehender Prüfungen, wie z. B. die Maßnahmenplan-, Follow-Up- oder Scope-Erweiterungsprüfung, bleiben davon unberührt und werden mit denselben Prüfzielen wie die ursprüngliche Prüfung durchgeführt.
Wie können wir Sie unterstützen?
Sie als Organisation planen ein Update des TISAX oder streben die Neueinführung an? Unsere Fachleute unterstützen Sie bei der Planung und Umsetzung. Gemeinsam sorgen wir für die Sicherheit von IT-Systemen und Daten in der Lieferkette.
1https://portal.enx.com/de-DE/news/ISA-Version-6-Now-Available/
2https://portal.enx.com/de-DE/news/Changes-to-TISAX-Labels-ISA-six-Release/