Der eine oder andere hat es sicher schon vernommen – seit 16. Oktober 2023 kann man den neue VDA-ISA Katalog 6.01 auf der VDA-ISA Seite herunterladen. Damit man sich nicht durch die verschiedenen Newsletter, Foren und Co suchen muss, um alle Infos zu erhalten, hier ein Überblick inkl. der wichtigsten Neuerungen.
Allgemein
Aktuell gibt es den Katalog nur auf englisch, da man die führende Sprache (bisher Deutsch) gewechselt hat. In den nächsten Wochen sollte auch die deutsche Übersetzung erscheinen. Die gute Nachricht: der neue Katalog gilt für alle Assessments ab dem 1. April 2024. Aktuelle Label behalten ihre Gültigkeit. Hier muss man lediglich darauf achten, bei dem nächsten TISAX® Assessment den neuen Katalog zu nutzen.
Grundsätzlich ist die neue Version eine Weiterführung der Struktur des 5er Kataloges. Will heißen, der Aufbau hat sich nicht verändert und auch die Logik ist nach wie vor die gleiche geblieben.
Änderungen im Bereich Informationssicherheit (Information Security)
Im Bereich Informationssicherheit sind es nun 46 statt wie bisher 41 Controls mit teils verschobenen und teils neuen Inhalten. Das Thema Backup z.B. hat nun ein eigenes Control erhalten, genauso wie das Thema Meldungen von Informationssicherheitsereignissen. Hier hat die VDA-ISA sich an der neuen ISO 27001:2022 orientiert. Das Thema Freigabe von externen IT-Dienstleistern (1.3.3) wurde in Freigabe von Software verändert. Dafür gibt es ein neues Control zum Thema Kontinuitätsplanung für IT-Dienste; auch diese Anpassungen machen mehr als Sinn. Darüber hinaus wurden teilweise zusätzliche Einzelanforderungen bei bereits bekannten Themen hinzugefügt bzw. angepasst.
Anpassung der Labels
Die wohl größte Auswirkung hat die neue Kennzeichnung der Vorgaben in Bezug auf die Vertraulichkeit (mit C für Confidential), Integrität (mit I für Integrity) und Verfügbarkeit (mit A für Availability) in den Spalten L = „Zusatzanforderungen bei hohem Schutzbedarf“ und M = „Zusatzanforderungen bei sehr hohem Schutzbedarf“. Hier hat die ENX zwei neue Label eingeführt. Das bisherige Label “info high” spaltet sich nun in “high availability” und “high confidential” auf. Das Label “info very high” in “very high availability” und “strictly confidential”. Damit wird nun auch klar, warum beispielsweise VW seinen produzierenden Lieferanten die Vorgabe „TISAX Label high availability“ als Vorgabe gemacht hat. Hier liegt der Fokus auf der Verfügbarkeit. Bei der Definition des Scopes für sich als Unternehmen, ohne eine klare Vorgabe eines OEM’s, hilft das nur bedingt, da noch nicht klar ist, wie die anderen Automobilhersteller damit umgehen werden. Für alle, die die Teilung des Labels nutzen wollen, bedeutet dies an der einen oder anderen Stelle weniger Vorgaben und weniger Aufwand bei der Nachweisgenerierung. Dazu verkürzen sich auch die Assessmentzeiten. Achtung: Im ENX Portal sind die neuen Label bei der Auswahl (Erstellung des neuen Scopes) bisher ganz am Ende nach dem Special Data Label zu finden. Die Nummerierung zeigt aktuell auch Lücken auf – das wird die ENX aber sicher in den nächsten Tagen / Wochen korrigieren.
Änderungen im Bereich Prototypen / Prototypenteilen (Prototype Protection)
So dynamisch die Anpassungen im Bereich Informationssicherheit sind, so gering sind sie im Bereich Prototypen Schutz. Hier wird lediglich darauf verwiesen, dass es sich hierbei um den Schutz von physischen Prototypen handelt, die als schutzbedürftig eingestuft wurden. Die Einstufung obliegt dem Inhaber des geistigen Eigentumsrechts am Prototypen. Bedeutet: Die Beauftragte Abteilung/ der OEM muss sagen, wie schutzbedürftig der physische Prototyp eingestuft wird. Erfolgt eine Einstufung in hoch oder sehr hoch müssen die Anforderungen für den Prototypenschutz und damit die Anforderungen an das jeweilige Label umgesetzt werden. Diese klare Formulierung sollte die eine oder andere Diskussion zum Thema Prototypenteile versus Prototypendaten in Bezug auf ein Label in der Zukunft abkürzen und dem einen oder anderen Unternehmen das Leben sehr erleichtern.
Änderungen im Bereich Datenschutz (Data Protection)
Beim Thema Data wurden klarere Vorgaben definiert und die Tabelle analog den Vorgaben in Bezug auf die Informationssicherheit aufgebaut. Auch hier gibt es jetzt klare Muss-Anforderungen, die bei den jeweils verarbeitenden Daten umgesetzt werden müssen. Es sei darauf hingewiesen, dass die Inhalte, wie bisher auch, ergänzend zu den Punkten der Informationssicherheit betrachtet werden. Es kann also nicht nur das Label Datenschutz umgesetzt werden – dies geht immer nur in Kombination mit der allgemeinen Informationssicherheit. Das gilt im Übrigen auch für das Thema Prototypenteile.
Vergleich VDA-ISA alt zu neu
Wer nun genauer wissen möchte, was sich von der VDA-ISA 5.1 zur 6.01 verändert hat, kann auf der ENX Seite eine Exceldatei herunterladen, die beide Versionen vergleicht und die Änderungen rot markiert. Diese Version darf allerdings nicht für ein Self Assessment als Prüfungsdokument genutzt werden.
Fazit
Die Anpassungen sind im Großen und Ganzen sehr sinnig – teilweise hätten wir uns als Auditoren aber an der einen oder anderen Stelle mehr Klarheit im Vergleich zur Version 5.1 gewünscht. Aber was nicht ist kann ja noch werden. Und all unseren Kunden sei gesagt: Wir haben für alle neuen Anforderungen Dokumente und Textelemente im Angebot und können bei der Anpassung gerne unterstützen. Und für all die, die mit dem TISAX® Label auch eine ISO 27001 Zertifizierung haben, sind das gute Nachrichten, da die Anpassungen der ISO 27001:2022 im Vergleich zur VDA-ISA 6.01 nahezu identische Auswirkung auf die Dokumentation und die Erbringung der Nachweise haben.
HINWEIS: TISAX® ist eine eingetragene Marke der ENX Association.