Die Überarbeitung des VDA ISA Anforderungskatalogs hat eine Vielzahl von Änderungen zur Folge. Diese haben wir in diesem Blog Artikel zusammengefasst.

Neue Prüfziele

TISAX Ziele und Assessment Level
TISAX Ziele und Assessment Level

Die Verfügbarkeit in der Lieferkette nimmt einen immer höheren Stellenwert ein. Während in der Vergangenheit die Vertraulichkeit von Informationswerten und hier speziell Prototypen / Prototypeninformationen im Vordergrund stand, gerät jetzt auch die Verfügbarkeit von Systemen mehr und mehr in den Fokus. Hierbei dürfen nicht nur IT Systeme betrachtet werden sondern es werden auch Systeme und Anlagen in der Produktion in die Betrachtung einbezogen. Das bedeutet auch operative Technologie (OT) muss betrachtet werden. In diesem Zusammenhang haben sich auch die Prüfziele des TISAX Assessments verändert.

  • Neue Label „high availability“ und „very high availability“ mit Bezug zur Verfügbarkeit werden eingeführt.
  • Neue Label „confidential“ und „strictly confidential“ mit Bezug zur Vertraulichkeit werden eingeführt.
  • Die neuen Label werden als zusätzliche TISAX-Label in der ENX-Plattform implementiert.
  • (Strictly) Confidential wird ab dem 01.04.2024 mit ISA 6.0 bewertbar sein
  • TISAX Info High und Info Very High decken die Anforderungen für beide Schutzziele vollständig ab
  • Ein aktuelles TISAX-Label „Info High“ und „Info Very High“ ist der Nachweis, dass sowohl die Vertraulichkeits- als auch die Verfügbarkeitsanforderungen erfüllt sind
  • Alle TISAX-Teilnehmer, die das TISAX-Label „Info High“ oder „Info Very High“ haben, erhalten automatisch auch „Avil High“ oder „Avil Very High“
  • Prototypenschutz kann eigenständig (ohne) Informationssicherheit geprüft werden.

Neuerungen im Anforderungskatalog

  • Entfernung der ISA 4-Kompatibilität (Spalten, Spider-Diagramm)
  • Fünf + eine zusätzliche Kontrollfrage (neu), um die aktualisierte Bedrohungslandschaft abzudecken und die Verfügbarkeit zu erhöhen
  • Update-Modul „Datenschutz“ (überarbeitete Anforderungen durch VDA AK Datenschutz)
  • Beispiele und Best-Practices für viele Controls als Implementierungs-Hilfestellung
  • Abgleich und Verweise auf ISA/IEC 62443-2 (OT-Sicherheit)
  • Zuordnung zu ISO27001:2023 und BSI-Grundschutz (vom deutschen BSI bereitgestellt)
  • Harmonisierung der Begriffe sowie Aktualisierung des Glossars
  • Referenzen auf das NIST CSF-Version 1.1
  • Es wird ein Fokus auf die IT-Verfügbarkeit von produktionsrelevanten Lieferanten gesetzt.
  • Die führende Sprache in ISA 6.0 ist Englisch.
  • Im Zweifelsfall wird die englische Fassung verwendet, um Unklarheiten im Falle einer ungenauen Übersetzung zu vermeiden.
  • Geplant sind zunächst Übersetzungen in Chinesisch, Französisch, Deutsch, Italienisch, Japanisch, Koreanisch, Portugiesisch und Spanisch.

Maßnahmen zur Erhöhung der Resilienz

Um den Schutz vor Angriffen insbesondere Ransomware-Angriffen zu stärken, wurden folgende Ergänzungen vorgenommen:.

  • Es wurde sichergestellt, dass alle relevanten Anforderungen der ISA/IEC 62443-2-1 („Security for industrial automation and Control systems: Security programme requirements for IACS asset owners“) durch die ISA abgedeckt sind.
  • Einige Anforderungen wurden hinzugefügt oder geändert, um sie mit dieser Norm in Einklang zu bringen.
  • In ISA 6.0 beziehen sich nun alle relevanten Kontrollfragen auch auf ISA/IEC 62443-2-1.
  • Darüber hinaus wurden wichtige Bereiche zur Verhinderung von Ransomware-Angriffen überarbeitet. Dazu gehört ein völlig neues Control 1.3.4. für die sichere Verwaltung von Software auf Clients sowie neue Anforderungen in den Controls 5.2.6. und 5.3.1.

Systeme zur Angriffserkennung

  • Da Angriffe nicht vollständig verhindert werden können, ist ein Konzept erforderlich, um die Auswirkungen eines erfolgreichen Angriffs zu verringern
  • Hier gilt es, so früh wie möglich zu erkennen, dass ein Angriff stattgefunden hat
  • Im Kern geht es darum, ein funktionierendes Meldesystem für Sicherheitsvorfälle einzurichten
  • Der neue Control 1.6.1. stellt zum einen sicher, dass Sie wissen, was zu melden ist, und zum anderen, dass angemessene Meldewege eingerichtet werden.

Reaktion auf Angriffe

  • Sobald ein erfolgreicher Angriff erkannt wurde, ist es wichtig, schnell und koordiniert zu reagieren.
  • Der neue Control 1.6.2. soll sicherstellen, dass Sicherheitsvorfälle auf organisierte, zeitnahe und professionelle Weise behandelt werden.
  • Die Organisation soll in die Lage versetzt werden, Muster komplexer fortgeschrittener Angriffe zu erkennen, die zunächst als isolierte Vorfälle auftreten.
  • Ein wichtiger Aspekt der Reaktion auf Vorfälle ist die rechtzeitige, angemessene und professionelle Kommunikation mit den betroffenen Organisationen und Lieferanten.
  • Eine gute Planung der Kontinuität von IT-Diensten kann die Auswirkungen von Angriffen erheblich verringern. Deshalb geht es in der neuen Kontrolle 5.2.8. um eine solche Planung. Dazu gehören nicht nur Redundanz und Unabhängigkeit von Schlüsselsystemen, sondern auch der Rückgriff auf den manuellen Betrieb, um wichtige Geschäftsprozesse aufrechtzuerhalten, wenn die entsprechende IT-Infrastruktur nicht verfügbar ist.
  • Im schlimmsten Fall führt ein Angriff zu einer so schwerwiegenden Störung der Geschäftsprozesse, so dass die regulären Unternehmensprozesse nicht ausreichen, um die Situation wieder unter Kontrolle zu bringen. In der ISA wird dieser Fall als Krise bezeichnet. Die neue Kontrolle 1.6.3. soll sicherstellen, dass die Organisation auf solche Krisensituationen angemessen vorbereitet ist.

Wiederherstellung

  • Stärkere Konzentration auf das Management der Geschäftskontinuität
  • Analyse der Auswirkungen auf das Geschäft
  • Besondere Aufbauorganisation (BAO)
  • Test von Plänen zur Geschäftskontinuität zum Wiederanlauf / Wiederherstellung

Änderungen im Datenschutzkatalog

  • Jedes Unternehmen mit Sitz in Europa und möglicherweise auch in Drittländern („Marktortprinzip“) muss die DSGVO einhalten.
  • Das Gleiche gilt für jede Organisation, die personenbezogene Daten im Auftrag einer anderen Organisation verarbeitet.
  • ISA und TISAX zielen nicht darauf ab, die Einhaltung von Gesetzen oder rechtlichen Anforderungen durchzusetzen.
  • Ziel ist es jedoch, die Organisationen bei der Erfüllung ihrer rechtlichen Anforderungen zu unterstützen und die damit verbundene zusätzliche Arbeitsbelastung zu verringern.
  • Ziel des Datenschutzkatalogs ist es daher, Unternehmen bei der Überprüfung der notwendigen Anforderungen an Datenverarbeiter zu unterstützen.
  • Der Datenschutzkatalog ergänzt den bestehenden Informationssicherheitskatalog um Anforderungen an die Datenverarbeiter.
  • ISA 6.0 enthält einen vollständig überarbeiteten Datenschutzkatalog, der Organisationen dabei unterstützt, sicherzustellen, dass ihre Datenverarbeiter die DSGVO einhalten.