VDA ISA 6 – die wichtigsten Änderungen im Katalog

VDA ISA 6 - die wichtigsten Änderungen im Katalog
VDA ISA 6 - die wichtigsten Änderungen im Katalog
Vorlagen zu TISAX

Die Informationssicherheit in der Automobilindustrie steht vor einer bedeutenden Veränderung, da TISAX® der Branche ein neues Sicherheitsniveau gebracht hat. Seit Jahren dient TISAX® als wichtiger Standard für Informations- und Cybersicherheit in der Automobilindustrie. Nun wurde der Katalog vom Verband der Automobilindustrie aktualisiert, und ab dem 01.04.2024 tritt die Version 6.0 an die Stelle von Version 5.1.

Dieser neue VDA-Fragebogen erweitert die TISAX-Anforderungen und erhöht das Informationssicherheitsniveau, insbesondere in den Bereichen Incident Management, Crisis Management, Business Continuity und Backup/Restore sowie komplette überarbeitete Datenschutzkatalog.

Als Informationssicherheit Experten der 360 Digitale Transformation GmbH möchten wir Ihnen eine umfassende Anleitung bieten, wie Sie diese Transition effizient gestalten können und wie Sie Ihr existierendes ISMS nach TISAX 5.1 auf die neue Version 6 erweitern oder direkt mit der Implementierung eines ISMS (Information Security Management System) nach TISAX VDA 6.0 beginnen können.

Was ist neu im VDA ISA Katalog Version 6?

Die neue Revision 6.0 des VDA-Katalogs bringt einige wesentliche Änderungen und Erweiterungen mit sich, die sowohl den Umfang als auch die spezifischen Kontrollen betreffen.

Neue Kontrollen und Anforderungen

Es gibt neue Kontrolle, Anforderungen und Ergänzungen auf Wordings. Die neue Themen haben erweiterten Fokus auf IOT/OT, nicht nur IT-Systems sondern auch IT-Services, Software Verwaltung, Vorfall- und Krisenmanagement, Berichterstattung von Sicherheitsereignissen, Verwaltung von Sicherheitsereignissen, Umgang mit Krisensituationen, IT-Servicekontinuitätsplanung, BCM und Backup und Wiederherstellung.

Aktualisierung des Moduls „Datenschutz“

Das Modul wurde vollständig überarbeitet und enthält nun 12 Kontrollen, welche die Anforderungen der DSGVO und anderer Datenschutzbestimmungen berücksichtigen.

Neue Label Erteilung

Mit der Einführung von VDA 6.0 wurden die bisherigen TISAX®-Labels “Info High” und “Info Very High” aufgeteilt, um die Sicherheitsniveaus klarer und spezifischer darzustellen. Die neuen Labels sind:

  • High Availability: Für Systeme, bei denen die Verfügbarkeit von entscheidender Bedeutung ist.
  • Confidential: Für Systeme, die vertrauliche Informationen enthalten.
  • Very High Availability: Für Systeme, die eine sehr hohe Verfügbarkeit erfordern.
  • Strictly Confidential: Für Systeme mit streng vertraulichen Informationen.

Diese neue Struktur ermöglicht eine präzisere Kategorisierung der Sicherheitsanforderungen und hilft Unternehmen, ihre Informationssicherheitsmaßnahmen gezielter umzusetzen.

Ab wann ist der VDA ISA-Katalog 6.0 gültig?

Die offizielle Umstellung auf VDA 6.0 beginnt am 1. April 2024.  Unternehmen, die bereits eine Prüfung nach VDA 5.1 abgeschlossen haben, müssen auf die neue Version 6.0 umstellen, damit Sie Ihr TISAX-Label behalten können.

Was entfällt mit dem VDA ISA Katalog 6.0?

Mit der Einführung von VDA 6.0 wurden einige bestehende Kontrollen aus VDA 5.1 entfernt oder ersetzt. Besonders bemerkenswert ist die Streichung der Kontrolle 3.1.2, die durch die neuen Kontrollen 1.6.3, 5.2.8 und 5.2.9 abgedeckt wird. Auch die ISA 4-Kompatibilität Reite wurde entfernt, um Platz für aktualisierte und relevantere Anforderungen zu schaffen.

Fakten und Zahlen der Version 6.0 im Vergleich zu 5.1

Um die Änderungen zu verdeutlichen, hier einige wichtige Zahlen:

  • VDA 5.1: 41 Kontrollen, 271 Anforderungen (Info High/AL2), 5 Anforderungen (Info Very High/AL3).
  • VDA 6.0: 45 Kontrollen, 297 Anforderungen (Info High/AL2), 17 Anforderungen (Info Very High/AL3).

Hier kann man einfach rein zahlenmäßig sehen, dass die AL2 Anforderungen (Info-High) um ca. 10% gestiegen sind. AL3 Anforderungen (Info Very High) wurde ziemlich erhöht, aber jetzt ist es wichtig für welches Label (Confidentiality, Avaibilibility oder beides).

Insgesamt ist die Anzahl der Anforderungen um ca. 12% gestiegen. Dies bedeutet jedoch nicht, dass der Aufwand für ein ISMS nach VDA 6.0 um 12% höher ist. Bei der Umsetzung schätzen wir 20-25% Mehraufwand, abhängig von der Komplexität der erweiterten Anforderungen.

Neue Kontrollen und Anforderungen bei der Revision 6.0 im Detail

Die neuen und überarbeiteten Kontrollen in VDA 6.0 betreffen zahlreiche Bereiche:

  • Kapitel 1:
    • Neue und überarbeitete Anforderungen für Software Freigabe sowie Incident Management
    • 1.6 „Vorfall- und Krisenmanagement“: Umbenannt und erweitert, um eine klare Struktur für das Management von Sicherheitsvorfällen und Krisensituationen zu schaffen.
    • Neue Kontrolle:
    • 1.3.4 „Software-Zulassung“: Diese neue Kontrolle stellt sicher, dass nur genehmigte Software verwendet wird, inklusive Software-Freigabe, Lizenzierung und Patch-Management.
    • 1.6.2 „Verwaltung von Sicherheitsereignissen“: Neue Kontrolle zur geordneten und zeitnahen Reaktion auf Sicherheitsvorfälle.
    • 1.6.3 „Umgang mit Krisensituationen“: Diese Kontrolle ersetzt die frühere Kontrolle 3.1.2 und zielt darauf ab, Organisationen auf Krisensituationen vorzubereiten.
  • Kapitel 3:
    • Dieses Kapitel wurde umbenannt in “Physische Sicherheit”, insbesondere durch die Streichung von “Kontrolle”. 3.1.2.
  • Kapitel 4:
    • Erweiterungen und zusätzliche Anforderungen bei Zugangskontrollen (4.1.1, 4.1.2, 4.1.3, 4.2.1).
  • Kapitel 5:
    •  5.2.8 „IT-Servicekontinuitätsplanung“: Fokussiert auf die Planung der IT-Servicekontinuität, einschließlich Redundanz und Wiederherstellung von Schlüsselsystemen.
    • 5.2.9 „Backup und Wiederherstellung“: Sorgt dafür, dass Organisationen auf die Wiederherstellung von Daten und Systemen nach Sicherheitsvorfällen vorbereitet sind.
    • Neue und überarbeitete Anforderungen für IT-Services und IT-Audits (5.1.1, 5.1.2, 5.2.6, 5.2.7, 5.3.1)
    • Neue Kontrolle:
  • Datenschutz Modul:
    • 9.1.1 (Data Protection Policies)
    • 9.2.1 (Organization of Data Protection)
    • 9.3.1 (Processing directory)
    • 9.4.1 (Data protection impact assessment)
    • 9.5.1-9.5.2-9.5.3 (Data transfers)
    • 9.6.1-9.6.2 (Handling requests and incidents)
    • 9.7.1-9.7.2 (Human Resources)
    • 9.8.1 (Instructions)

Wie sieht der Übergangsprozess für bestehende Unternehmen in der Automobilindustrie aus?

Der Übergang von VDA 5.1 zu VDA 6.0 erfordert eine sorgfältige Planung und Umsetzung. Hier sind die Schritte, die Sie beachten sollten:

  1. GAP-Analyse durchführen: Identifizieren Sie die Unterschiede zwischen Ihrer aktuellen Implementierung und den neuen Anforderungen von VDA 6.0. Dies hilft, Lücken in Ihrem bestehenden ISMS zu erkennen.
  2. Aktualisierung der Dokumentation: Passen Sie Ihre Sicherheitsdokumentation an die neuen Kontrollen und Anforderungen an.
  3. Implementierung der neuen Kontrollen: Setzen Sie die neuen Kontrollen um und stellen Sie sicher, dass alle erforderlichen Maßnahmen ergriffen werden.
  4. Schulungen und Sensibilisierung: Stellen Sie sicher, dass Ihr Team über die Änderungen informiert ist und die neuen Anforderungen versteht.
  5. Interne Audits: Führen Sie interne Audits durch, um die Wirksamkeit der neuen Kontrollen zu überprüfen.
  6. Managementbewertung: Führen Sie eine Managementbewertung durch, um sicherzustellen, dass das Management das angepasste ISMS versteht und unterstützt.
  7. TISAX Audit: Abschließend muss das angepasste ISMS durch ein zugelassenes TISAX Auditunternehmen geprüft werden.

Direkte Implementierung eines ISMS zur Informationssicherheit nach TISAX® mit VDA ISA 6

Wenn Sie noch kein ISMS implementiert haben, bietet die direkte Implementierung nach VDA 6.0 eine ausgezeichnete Gelegenheit, von Anfang an die neuesten Anforderungen zu erfüllen. Hier ist ein Überblick über den Prozess:

  1. GAP-Analyse: Ermitteln Sie den aktuellen Stand Ihres Unternehmens
  2. Initiale Planung: Planen Sie Maßnahmen anhand der GAP-Analyse für Implementierung des ISMS.
  3. Risikobewertung: Führen Sie eine detaillierte Risikobewertung durch, um die spezifischen Sicherheitsrisiken zu identifizieren, denen Ihre Organisation ausgesetzt ist.
  4. Entwicklung der Sicherheitsrichtlinien: Erstellen Sie umfassende Sicherheitsrichtlinien und -verfahren, die den Anforderungen von VDA 6.0 entsprechen.
  5. Implementierung der Kontrollen: Setzen Sie die erforderlichen technischen und organisatorischen Kontrollen um, um die identifizierten Risiken zu mindern.
  6. Schulung und Sensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig zu den neuen Sicherheitsrichtlinien und -verfahren.
  7. Überwachung und Bewertung: Überwachen Sie kontinuierlich die Wirksamkeit der implementierten Kontrollen und führen Sie regelmäßige Bewertungen durch, um Verbesserungsmöglichkeiten zu identifizieren.
  8. Vorbereitung auf die TISAX-Prüfung: Stellen Sie sicher, dass alle erforderlichen Dokumente und Nachweise für die TISAX-Prüfung bereit sind.

Unterstützung durch 360 Digitale Transformation GmbH

Wir bieten umfassende Unterstützung, um Ihr Unternehmen bei der Umstellung auf VDA 6.0 zu begleiten. Unser Ansatz umfasst:

  1. GAP-Analyse: Wir identifizieren die Lücken zwischen Ihrer aktuellen Sicherheitslage und den Anforderungen des ISA-Katalog Version 6.
  2. Beratung und Implementierung: Unsere Experten unterstützen Sie bei der Umsetzung der neuen Kontrollen und Anforderungen.
  3. Schulungen: Wir bieten maßgeschneiderte Schulungsprogramme in Deutsch oder Englisch, um Ihr Team auf die neuen Anforderungen vorzubereiten.
  4. Interne Audits und Vorbereitung auf die TISAX-Prüfung: Wir helfen Ihnen, interne Audits durchzuführen und sich optimal auf die TISAX-Prüfung vorzubereiten.
  5. Kontinuierliche Unterstützung: Unser Team steht Ihnen auch nach der Umstellung zur Verfügung, um sicherzustellen, dass Ihr ISMS den neuesten Standards entspricht und kontinuierlich verbessert wird.

Wie sieht das Fazit für TISAX® Anwender aus?

Die Umstellung von VDA 5.1 auf VDA 6.0 bringt zahlreiche Änderungen und neue Anforderungen mit sich, die Unternehmen sorgfältig umsetzen müssen. Mit unserer Expertise und umfassenden Dienstleistungen unterstützen wir Sie dabei, diese Transition reibungslos zu gestalten und Ihr Informationssicherheitsmanagementsystem nach TISAX® erfolgreich zu implementieren.

Über den Autor

VDA ISA 6 - die wichtigsten Änderungen im Katalog

Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist TISAX-Berater und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.