Mit dem Inkrafttreten des ISA Katalogs Version 6 (Information Security Assessment) zum 01.04.2024 ergeben sich bedeutende Veränderungen und Weiterentwicklungen für die Informationssicherheit in der Automobilindustrie. Angesichts der zunehmenden Relevanz von Cybersicherheit und der stetig wachsenden Bedrohung der Lieferkette ist eine Anpassung und Stärkung der Sicherheitsstandards unumgänglich geworden.
Eine der Neuerungen betrifft den erweiterten Fokus auf die Verfügbarkeit von IT- und OT-Ressourcen. Insbesondere vor dem Hintergrund der steigenden Bedrohung durch Ransomware-Angriffe wird eine verstärkte Sicherstellung der Verfügbarkeit von Informationen und Operationstechnologie (OT) angestrebt. Damit sollen potenzielle Risiken minimiert und die Widerstandsfähigkeit gegenüber Cyberangriffen gestärkt werden.
Die vollständige Überarbeitung des Datenschutzkatalogs ist ein weiterer wichtiger Aspekt, die Organisationen dabei unterstützen sollen, die Anforderungen des Standards effektiv umzusetzen und die Datenschutz-Grundverordnung (DSGVO) im Rahmen der Auftragsverarbeitung zu erfüllen.
Darüber hinaus verweist ISA 6 auf bedeutende Sicherheitsstandards wie ISO/IEC 27001:2022, BSI-Grundschutz und das NIST Cyber Security Framework Version 1.1, was eine ganzheitliche Sicherheitsperspektive ermöglicht und eine bessere Integration mit anderen Standards fördert.
Es ist wichtig zu betonen, dass Organisationen, die vor dem 01.04.2024 eine Prüfung beauftragt haben, diese noch nach VDA ISA 5.1 durchführbar ist. Alle neuen Prüfungen, die ab 01.04.2024 beauftragt werden, erfolgen gemäß ISA 6. Bestehende Prüfungen behalten jedoch ihre Gültigkeit bis zum Ablauf der TISAX-Labels.
Insgesamt trägt die Aktualisierung des VDA-ISA Katalogs dazu bei, die Cybersicherheit in der Automobilindustrie kontinuierlich zu verbessern und sich den aktuellen Herausforderungen anzupassen. Durch die Implementierung dieser neuen Standards wird nicht nur die Sicherheit entlang der gesamten Lieferkette gestärkt, sondern auch das Vertrauen in die Integrität und Zuverlässigkeit der Produkte erhöht.
Nachfolgend die wichtigsten Neuerungen des ISA 6
-
Weitere Anforderungen zur Steigerung der Betriebsbereitschaft: ISA 6 beinhaltet zusätzliche Anforderungen, um die Betriebsbereitschaft von IT- und OT-Ressourcen in Produktionslieferketten zu verbessern.
-
Neues Control 1.3.4 ("Software-Zulassung"): wurde eingeführt, um eine sichere Verwaltung von Software auf Clients sicherzustellen.
-
Überarbeitetes Control 1.6 ("Vorfall- und Krisenmanagement"): Der Abschnitt 1.6 wurde umbenannt, um die Struktur für das Management von Sicherheitsvorfällen und Krisensituationen klarer zu gestalten.
-
Überarbeitetes Control 1.6.1 ("Berichterstattung von Sicherheitsereignissen"): Die Regelung zur Berichterstattung von Sicherheitsereignissen wurde überarbeitet, um sicherzustellen, dass klare Meldeverfahren etabliert sind.
-
Neues Control 1.6.2 ("Verwaltung von Sicherheitsereignissen"): Eine neue Regelung wurde hinzugefügt, um eine geordnete und zeitnahe Reaktion auf Sicherheitsvorfälle zu gewährleisten.
-
Neues Control 1.6.3 ersetzt Control 3.1.2 ("Umgang mit Krisensituationen"): Dieses neue Control zielt darauf ab, Organisationen auf Krisensituationen vorzubereiten und einen angemessenen Umgang sicherzustellen.
-
Neues Control 5.2.8 ("IT-Servicekontinuitätsplanung"): legt den Schwerpunkt auf die Planung der Kontinuität von IT-Services, einschließlich Redundanz und Wiederherstellung von Schlüsselsystemen.
-
Neues Control 5.2.9 ("Backup und Wiederherstellung"): zielt darauf ab, Organisationen auf die Wiederherstellung von Daten und Systemen nach Sicherheitsvorfällen vorzubereiten.
-
ISA Version 6 enthält keine Verweise mehr auf Version 4.
-
Aktualisierung des Datenschutzmoduls: Das Datenschutzmodul wurde aktualisiert und enthält überarbeitete Anforderungen, die von der VDA-Arbeitsgruppe "Datenschutz" bereitgestellt wurden.
-
Verweise auf ISA/IEC 62443-2, ISO 27001:2022, NIST CSF und Implementierungsleitfäden (BSI IT-Grundschutz, NIST SP800-53): Verweise auf wichtige Sicherheitsstandards wie ISA/IEC 62443-2, ISO 27001:2022 und das NIST Cyber Security Framework. ISA 6.0 enthält zudem Verweise auf Implementierungsleitfäden wie BSI IT-Grundschutz und NIST SP800-53, um Organisationen bei der Umsetzung der Sicherheitskontrollen zu unterstützen.
-
Erweiterter Anwendungsbereich von IT-Systemen in der Operationstechnologie (OT): ISA 6 hat den Anwendungsbereich von IT-Systemen in der OT erweitert, hierdurch soll die Sicherheit in diesem Bereich gestärkt werden.