TISAX (Trusted Information Security Assessment eXchange) er bilbransjens standard for vurdering av informasjons- og cybersikkerhet hos leverandører av utstyr og tjenester til bransjen.
VDA ISA 6.0 er utviklet av VDA (den tyske bilprodusentforeningen) og ENX-nettverket (en felles løsning fra den europeiske bilindustrien) for sikker utveksling av kritiske data om utvikling, innkjøp og produksjonskontroll. Den revideres årlig av akkrediterte, uavhengige tredjeparts sertifiseringsorganer.
VDA ISA versjon 6.0 kommer med en rekke forbedringer som vil beskytte forbindelsene i forsyningskjedenettverket og gjøre TISAX-vurderinger enklere og mer strømlinjeformet.
Den oppdaterte VDA ISA versjon 6.0
Versjon 6 ble lansert i oktober 2023. Oppdateringene er et viktig skritt i retning av å styrke infrastrukturen for cybersikkerhet i bilindustrien.
De viktigste endringene er et mer presist fokus på leverandørenes tilgjengelighet innen informasjonsteknologi (IT) og driftsteknologi (OT) og en fullstendig gjennomgang av personvernkatalogen.
Det er også endringer i TISAX-etikettene, der de gamle etikettene "Info High" og "Info Very High" erstattes av "Confidential" og "Strictly Confidential". Denne overgangen tydeliggjør sikkerhetskravene til leverandører av produksjonsdeler og infrastruktur for å beskytte forretningshemmeligheter.
I tillegg har ISA versjon 6 endret hovedarbeidsspråket til engelsk. VDA har planer om å tilby flere språkversjoner i fremtiden, men hvis det er forskjeller på andre språk, vil det være den engelske versjonen som har forrang og som vil bli brukt til å avgjøre eventuelle unøyaktigheter i oversettelsen.
Siden andre standarder som påvirker cybersikkerhet også er gjenstand for kontinuerlig forbedring, har VDA ISA 6.0 tatt hensyn til den siste utviklingen i relaterte standarder.
En ny revisjon av ISO/IEC 27001 ble publisert i 2022, og derfor inneholder VDA ISA 6 nå referanser til 2022-revisjonen av ISO/IEC 27001. I tillegg har VDA ISA 6 nå også en ny mapping til NIST CSF versjon 1.1.
Tidslinje for overgang
VDA har satt 1. april 2024 som ikrafttredelsesdato for VDA ISA 6 i TISAX. Reglene for overgangen definert rundt denne ikrafttredelsesdatoen er de samme som ved tidligere endringer:
- Vurderinger som allerede er gjennomført i henhold til eldre standarder, beholder sin gyldighet. Hvis TISAX-etikettene dine ikke utløper, er det ikke nødvendig med en ny vurdering.
- Nye TISAX-vurderinger som er bestilt frem til 31. mars 2024, vil bli gjennomført ved hjelp av ISA versjon 5.
- Nye TISAX-vurderinger som bestilles fra og med 1. april 2024, vil bli gjennomført ved hjelp av ISA versjon 6.
- Vurderingsaktiviteter knyttet til en eksisterende vurdering, for eksempel vurderinger av planer for korrigerende tiltak, oppfølginger eller utvidelser av omfanget, skal utføres med samme versjon som den opprinnelige vurderingen.
- Hvis en organisasjon har bestilt nye vurderingsaktiviteter i tide til ISA 5, men mener at ISA 6 passer bedre, kan den eventuelt bytte til ISA 6 for vurderingsaktiviteter som utføres etter 1. april 2024. For å finne ut om det er mulig å bytte og hvilke betingelser som gjelder, bør organisasjonen kontakte revisjonsleverandøren sin.
Forberedelser til implementering
Vi anbefaler at du begynner å forberede overgangen så tidlig som mulig og planlegger hvordan du skal implementere de nødvendige endringene i styringssystemet.
Anbefalte trinn:
- Bli kjent med den oppdaterte standarden, med fokus på endringene.
- Gi relevant personell i organisasjonen opplæring for å sikre at de forstår kravene og de viktigste endringene.
- Identifiser hvilke mangler som skal utbedres, og utarbeid en implementeringsplan.
- Oppdater styringssystemet og iverksett tiltak.
Hvordan kan DNV hjelpe?
Enten du ønsker å gå over til en ny standard eller starte din sertifiseringsreise, kan DNV være din partner. Vi tilbyr overgangs- og standardopplæring, egenvurderinger, gap-analyse og sertifisering.
