Inhaltsverzeichnis

    Die neue VDA-ISA Version 6 ist zum 1. April 2024 offiziell in Kraft getreten. Ab diesem Datum wird sie verbindlich für alle neuen TISAX®-Assessments angewendet. Mit der Veröffentlichung der Version 6 wurde das Assessment grundlegend überarbeitet. Ziel war es, den aktuellen technologischen, regulatorischen und sicherheitsrelevanten Entwicklungen Rechnung zu tragen. Eine bedeutende Neuerung in Version 6 ist zudem die Festlegung von Englisch als führender Sprache des VDA-ISA-Katalogs. Ziel ist es, internationale Vergleichbarkeit zu gewährleisten und Missverständnisse durch Übersetzungen zu vermeiden. Die deutsche Version dient weiterhin als Orientierung, jedoch ist im Zweifelsfall die englische Originalfassung maßgeblich. Im Folgenden werden die zentralen Änderungen gegenüber der Vorgängerversion VDA-ISA 5.1 detailliert dargestellt.

    Inhatliche Anpassungen

    Harmonisierung mit der ISO 27001

    Die VDA-ISA Version 6 wurde konsequent an die überarbeitete ISO/IEC 27001:2022 sowie an ISO/IEC 27002:2022 angepasst. Wesentliche Maßnahmen umfassen:

    • Anpassung der Struktur der Controls an die neue ISO-Logik.
    • Integration neuer Themen wie „Threat Intelligence“ und „Cloud Services“.
    • Vollständige Referenzierung des Anhangs A der ISO 27001 zur verbesserten Kompatibilität mit anderen ISMS.

    Weiterentwicklung des Moduls Prototypenschutz

    Der Schutz von Prototypen war bereits Bestandteil der VDA-ISA Version 5.1. Mit Version 6 wurde dieses Modul jedoch inhaltlich überarbeitet, präzisiert und um zusätzliche Anforderungen erweitert. Die Anpassungen tragen der gestiegenen Bedeutung von Innovationsschutz und Industriespionage in der Fahrzeugentwicklung Rechnung. Konkret wurden folgende Aspekte verstärkt:

    • Detailliertere Schutzmaßnahmen für physische und digitale Prototypen.
    • Erweiterte Zugangsregelungen für Entwicklungsbereiche und Testgelände.
    • Verbesserte Überwachungs- und Protokollierungsmechanismen für Transport und Präsentation.
    • Verschärfte Anforderungen an externe Partner mit Zugriff auf Prototypen.

    Strukturierte Risikobewertung

    Die Anforderungen an das Risikomanagement wurden deutlich weiterentwickelt:

    • Einführung einer systematischen Risikoanalyse basierend auf Eintrittswahrscheinlichkeit, Schadensausmaß und Kritikalität.
    • Berücksichtigung spezifischer Asset-Kategorien.
    • Verankerung von Business Impact Analysen (BIA) als Standardpraxis.
    • Erweiterte Hilfestellungen zur Bewertung und Dokumentation.

    Berücksichtigung aktueller Bedrohungsszenarien und Sicherstellung der Betriebsfähigkeit

    Die VDA-ISA 6 trägt aktuellen Entwicklungen in der Cyberlandschaft Rechnung und legt einen verstärkten Fokus auf die Verfügbarkeit von IT- und OT-Ressourcen. Der Schutz der Betriebsfähigkeit kritischer Systeme rückt stärker in den Mittelpunkt, insbesondere vor dem Hintergrund zunehmender Bedrohungen durch Ransomware und gezielte Angriffe auf Produktionsumgebungen:

    • Ransomware: Stärkere Betonung auf Backup-Strategien und Isolationsmaßnahmen.
    • Cloud-Sicherheit: Einführung spezifischer Controls für Konfiguration, Überwachung und Vertragsgestaltung.
    • Supply Chain Security: Ausweitung der Anforderungen an die Sicherheit in der Lieferkette.
    • Zero Trust Architecture: Neue Vorgaben zur Reduzierung interner Angriffsflächen.

    Erweiterung der Drittparteienanforderungen

    Externe Dienstleister und Partner unterliegen nun verschärften Regeln:

    • Verpflichtende Risikoanalyse vor Vertragsschluss.
    • Erweiterte Anforderungen an Informationssicherheitsklauseln in Verträgen.
    • Pflicht zur regelmäßigen Kontrolle und Re-Zertifizierung von Partnern.
    • Nachweis über Schulungsmaßnahmen zu sicherheitsrelevanten Themen.

    Überarbeitung des Fragenkatalogs

    Die Nutzerfreundlichkeit des Fragenkatalogs wurde erheblich verbessert:

    • Reduktion redundanter und veralteter Fragen.
    • Klare, verständliche Formulierungen mit praxisnahen Beispielen.
    • Trennung in Muss-, Soll- und Kann-Anforderungen.
    • Integration digitaler Tools zur Bearbeitung und Bewertung.

    Fazit und Empfehlung

    Die VDA-ISA Version 6 bringt zahlreiche inhaltliche und strukturelle Verbesserungen mit sich. Durch die stärkere Orientierung an internationalen Standards sowie die Integration aktueller Sicherheitsaspekte wird das Assessment praxisnäher und zukunftssicher.

    Unternehmen sollten:

    • eine umfassende Gap-Analyse durchführen,
    • Mitarbeiterschulungen auf den neuen Katalog abstimmen,
    • Prozesse und Verträge überarbeiten,
    • und die neuen Anforderungen systematisch in bestehende ISMS-Strukturen integrieren.

    Rechtliche Hinweise: Bitte beachten Sie, dass wir keine Steuer- oder Rechtsberatung erbringen dürfen und mit dieser Information keine Steuer- oder Rechtsberatung erbracht wird. Es handelt sich um allgemeine und öffentlich zugängliche Informationen, die auf den jeweiligen Sachverhalt Ihres Unternehmens im Einzelfall anzupassen und aus steuer- und rechtlicher Sicht zu bewerten sind. Bitte holen Sie eine auf Ihre Umstände zugeschnittene Beratung Ihres Steuer- bzw. Rechtsberaters ein, bevor Sie Entscheidungen über die sich in Zusammenhang mit diesem Thema befindlichen Informationen treffen. Für die Richtigkeit der in diesem Artikel enthaltenen Angaben können wir trotz sorgfältiger Prüfung keine Gewähr übernehmen. Sie haben einen Fehler auf unserer Seite entdeckt? Dann freuen wir uns über Ihren Hinweis, wo er sich befindet. Nutzen Sie hierzu bitte unser Hinweisgeber-Meldeportal.

    Kontakt

    Dreyfield Deutschland GmbH

    +49 89 12414-9021

    E-Mail schreiben
    Download

    Zuletzt geändert am: 8. April 2025
    Beratungsfelder: