TISAX (Trusted Information Security Assessment eXchange) on autoteollisuuden standardi, jolla arvioidaan alan laitteiden ja palvelujen toimittajien tieto- ja kyberturvallisuutta.
VDA ISA 6.0:n ovat kehittäneet VDA (Saksan ajoneuvojen valmistajien liitto) ja ENX-verkosto (Euroopan autoteollisuuden yhteinen ratkaisu), ja sen tavoitteena on kriittisten kehitys-, hankinta- ja tuotannonohjaustietojen turvallinen vaihto. Akkreditoidut, riippumattomat kolmannen osapuolen sertifiointielimet auditoivat sen vuosittain.
VDA ISA -versiossa 6.0 on suuri joukko parannuksia, jotka suojaavat toimitusketjun verkoston sisäisiä yhteyksiä ja tekevät TISAX-arvioinneista yksinkertaisempia ja virtaviivaisempia.
VDA ISA:n päivitetty versio 6.0
Versio 6 julkaistiin lokakuussa 2023. Sen päivitykset ovat ratkaiseva askel kohti autoteollisuuden kyberturvallisuusinfrastruktuurin vahvistamista.
Tärkeimmät muutokset ovat tarkempi keskittyminen toimittajien tietotekniikan (IT) ja operatiivisen teknologian (OT) saatavuuteen sekä henkilötietoluettelon täydellinen tarkistaminen.
Myös TISAX-merkintöihin tehdään muutoksia, ja vanhat "Info High" ja "Info Very High" -merkinnät korvautuvat merkinnöillä "Confidential" ja "Strictly Confidential". Tämä muutos selventää tuotanto-osien ja infrastruktuurin tarjoajien turvallisuusvaatimuksia liikesalaisuuksien suojaamiseksi.
Lisäksi ISA:n versio 6 on määrännyt, että sen pääasiallinen työkieli vaihtuu englanniksi. VDA aikoo tarjota tulevaisuudessa useampia kieliversioita, mutta jos muilla kielillä on eroja, englanninkielinen versio on etusijalla ja sitä käytetään mahdollisten käännösvirheiden korjaamiseen.
Koska myös muita kyberturvallisuuteen vaikuttavia standardeja kehitetään jatkuvasti, VDA ISA 6.0:ssa on otettu huomioon asiaan liittyvien standardien viimeaikainen kehitys.
ISO/IEC 27001:n uusi versio julkaistiin vuonna 2022, ja näin ollen VDA ISA 6 sisältää nyt viittauksia ISO/IEC 27001:n vuoden 2022 versioon. Lisäksi VDA ISA 6:ssa on nyt myös uusi kartoitus NIST CSF:n versioon 1.1.
Siirtymäkauden aikataulu
VDA on asettanut 1. huhtikuuta 2024 VDA ISA 6:n voimaantulopäiväksi TISAXissa. Kyseisen voimaantulopäivän ympärille määritellyt siirtymäsäännöt ovat samat kuin aiemmissa muutoksissa:
- Vanhempien standardien mukaisesti jo suoritetut arvioinnit säilyttävät täysin voimassaolonsa. Jos TISAX-merkintöjen voimassaolo ei vanhene, uudelleenarviointia ei tarvita.
- Uudet TISAX-arviointimenettelyt, jotka on tilattu 31. maaliskuuta 2024 mennessä, suoritetaan ISA:n versiota 5 käyttäen.
- Uudet TISAX-arviointimenettelyt, jotka on tilattu 1. huhtikuuta 2024 alkaen, toteutetaan ISA:n versiota 6 käyttäen.
- Olemassa olevaan arviointiin liittyvät arviointitoimet, kuten korjaussuunnitelmien arvioinnit, jatkotoimet tai soveltamisalan laajennukset, suoritetaan käyttäen samaa versiota kuin alkuperäinen arviointi.
- Jos organisaatio tilasi uusia arviointitoimia ajoissa ISA 5:n mukaisesti, mutta katsoo, että ISA 6 sopii paremmin, se voi halutessaan siirtyä ISA 6:een 1. huhtikuuta 2024 jälkeen suoritettavien arviointitoimien osalta. Organisaatioiden tulisi ottaa yhteyttä auditointipalvelun tarjoajiinsa saadakseen selville, onko siirtyminen mahdollista ja mitä ehtoja siihen sovelletaan.
Toteutuksen valmistelu
Suosittelemme, että aloitat siirtymään valmistelun mahdollisimman varhaisessa vaiheessa ja suunnittelet asianmukaisesti, miten vaaditut muutokset toteutetaan johtamisjärjestelmään.
Suositellut vaiheet:
- Tutustu päivitettyyn standardiin keskittyen muutoksiin.
- Kouluta organisaatiosi asiaankuuluva henkilöstö, jotta varmistetaan, että he ymmärtävät vaatimukset ja keskeiset muutokset.
- Tunnista puutteet, jotka on korjattava ja laadi käyttöönottosuunnitelma.
- Päivitä johtamisjärjestelmäsi ja toteuta tarvittavat tehtävät.
Miten DNV voi auttaa?
DNV voi olla yhteistyökumppanisi olipa kyseessä siirtyminen tai haluatko aloittaa sertifiointimatkasi. Tarjoamme siirtymään liittyvia kursseja sekä standardikoulutusta, itsearviointeja, GAP- analyysejä ja sertifiointia.