Adieu, VDA ISA 6!
- 2 hours ago
- 2 min read
Und willkommen: „VDA ISA 2027! Für alle ohne unmittelbaren Bezug zur Automobilindustrie oder zu TISAX gilt: Dieser Beitrag richtet sich an Informationssicherheits- und Compliance-Verantwortliche in der Lieferkette.
Kurzer Überblick zu den Änderungen
Wichtig ist, daß eine "Revolution" inhaltlich ausbleibt, aber die Evolution ist nennenswert.
Der neue VDA ISA Katalog folgt zudem künftig einer Jahreslogik statt einer klassischen Versionsnummernlogik; das ist vor allem für die interne Dokumentation, Referenzierung und das Änderungsmanagement relevant.
Bedeutender erscheint es, daß sich der Inhalt verschiebt, der Schwerpunkt geht weiter in Richtung Lieferkette, Verbindlichkeit und operationaler Nachweisbarkeit.
Einige wichtige Neuerungen
Control 1.2.4 wird als 6.1.3 in die Lieferantenbeziehungen überführt; aus der punktuellen Prüfung wird ein fortlaufend gepflegtes Supplier SoA je Dienstleister. (Text: Proof is provided that the IT service providers fulfil their responsibility. (C, I, A)) und die für die Umsetzung relevanten Personen müssen nachweislich ausgebildet sein (Text: The responsible staff is adequately trained.)
Die Bereitstellung von Richtlinien für Beschäftigte, etwa im Intranet, wird von „soll“ auf „muss“ angehoben.
Der Prototypenschutz wurde grundlegend überarbeitet. Aus 22 Controls werden 20; die Kapitelstruktur wurde neu geordnet, wobei organisatorische Anforderungen vor physischen Aspekten stehen. Mehrere bisher getrennte Themen sind in neue organisatorische Controls überführt worden. Das erfordert eine umfassende Aktualisierung der Mappings und Nachweisdokumente.
Die Referenzen werden bereinigt und modernisiert; ISO 27001:2013 entfällt, während ISO 27001:2022, ISO 27017 und ISA/IEC 62443 bleiben und das NIST-CSF-Mapping auf Version 2.0 aktualisiert wird.
Es gibt punktuelle Anpassungen bei Telearbeit, Identifikationsmitteln, IT-Service-Begriff und der Prüfung vertraglicher Vereinbarungen bei hohem Schutzbedarf.
Der Datenschutz-Baustein bleibt strukturell unverändert.
Fachliche Einordnung
Die eigentliche Stoßrichtung ist klar: Der VDA schärft das Modell in Richtung Lieferkettensicherheit, Standardharmonisierung und prüfbarer Governance. Besonders der Supplier-SoA-Ansatz zeigt, dass Sicherheit nicht mehr als einmalige Assessment-Antwort verstanden wird, sondern als dauerhaft gepflegte Steuerungsaufgabe über Dienstleister und Lieferanten hinweg. Dass der Prototypenschutz neu geordnet wird, ist ebenfalls konsequent, weil damit organisatorische Steuerung stärker vor technische Einzelfragen gezogen wird.
Praktische Folgen für Unternehmen
Für Unternehmen bedeutet das vor allem Aktualisierungsbedarf in Dokumentation, Mapping und Nachweisführung. Wer bereits nach Version 6 arbeitet, sollte die bisherigen Controls gegen die neue Struktur spiegeln, insbesondere bei Lieferantenmanagement, Prototypenschutz und Referenzmapping. Der geringe Änderungsdruck im Datenschutzmodul ist zwar beruhigend, aber im Gesamtbild wird die Assessment-Vorbereitung dennoch anspruchsvoller, weil die Anforderungen an Aktualität und Nachweisqualität steigen.
Praktische Folgen für Unternehmen wegen NIS2
Während die Unternehmen, die TISAX heute einsetzen, schon zu großen Teilen NIS2-konform sind (ein ausführliche Darstellung dazu findet sich bei der ENX.com), verbleiben auch mit der neuen Version bekannte Lücken:
Meldepflichten sind in TISAX nicht an Fristen gebunden, während die NIS2 dies vorschreibt
Ausbildung des Management im Bereich Informationssicherheit ist nur in NIS2 gefordert, nicht in TISAX
Die Registrierung beim BSI ist nur in der NIS2 gefordert.
Haftungsfolgen für das Management sind in der NIS2 definiert. Anders als eine gesetzliche Regelung kann ein Standard wie VDA ISA hier keinen REchtswirkung entwickeln.
Anmerkung zur ENX
Die VDA ISA 2027 findet sich beim VDA, sie ist vermutlich in Kürze auf der ENX-Seite zu finden.
Rechtliche Anmerkung: Die Namensrechte für TISAX liegen bei der ENX Association.


