Skip to content

VDA ISA 6.0: Wyzwania dla bezpieczeństwa w branży motoryzacyjnej

Od 1 kwietnia 2024 roku obowiązuje nowa wersja katalogu. To znacząca nowelizacja standardu, która odpowiada na rosnące wyzwania cyberbezpieczeństwa w branży motoryzacyjnej. W tym artykule omówimy szczegółowo zmiany wprowadzone w VDA ISA 6.0, ich wpływ na audytowane i audytujące strony oraz znaczenie dla całego łańcucha dostaw w motoryzacji.

TISAX (Trusted Information Security Assessment Exchange) to system oceny bezpieczeństwa informacji stosowany w globalnej branży motoryzacyjnej. Opiera się na katalogu VDA ISA (Information Security Assessment), który określa wymagania bezpieczeństwa informacji dla dostawców i partnerów OEM (Original Equipment Manufacturers).

Głównym celem TISAX jest zapewnienie jednolitego i wiarygodnego poziomu bezpieczeństwa informacji w całym łańcuchu dostaw. Uczestnictwo w TISAX jest często warunkiem koniecznym do współpracy z większością wiodących producentów samochodów.

Nowa wersja checklisty VDA ISA 6.0.1: Wzmocnienie bezpieczeństwa w branży motoryzacyjnej

Ochrona tajemnic handlowych i danych w branży motoryzacyjnej

Wraz z rosnącym znaczeniem cyfryzacji w branży motoryzacyjnej, bezpieczeństwo informacji i cyberbezpieczeństwo stają się coraz ważniejsze. Producenci pojazdów (OEM) coraz częściej wymagają od swoich partnerów i dostawców etykiet TISAX, aby chronić poufne dane, takie jak tajemnice handlowe, dane dotyczące prototypów i informacje o klientach.

Nowa wersja checklisty ISA – VDA ISA 6.0

W październiku 2023 roku opublikowano nową wersję checklisty ISA (Information Security Assessment), zawierającą wymagania standardu TISAX. VDA ISA 6.0 wprowadza szereg zmian, mających na celu wzmocnienie bezpieczeństwa w łańcuchu dostaw branży motoryzacyjnej.

Najważniejsze zmiany w VDA ISA 6.0:

  • Udoskonalone wymagania dla obszarów IT i OT: Szczegółowe wytyczne dotyczące zarządzania oprogramowaniem, incydentami bezpieczeństwa, systemami OT i ciągłością działania usług IT.
  • Odniesienie do standardów ISO/IEC 27001:2022 i NIST: Wzmocnienie bezpieczeństwa informacji poprzez zgodność z uznanymi standardami.
  • Automatyczne przyznanie dodatkowych etykiet: Organizacje posiadające etykiety „Info High” lub „Info Very High” otrzymają automatycznie etykiety „Confidential” i „Strictly Confidential”.
  • Nowe etykiety dla dostępności: Etykiety „Information security high” i „Information security very high” zostaną zastąpione etykietami „Confidential” i „High availability” oraz „Strictly confidential” i „Very high availability”.

Wpływ zmian na organizacje:

  • Konieczność dostosowania do nowych wymagań: Organizacje muszą wdrożyć nowe rozwiązania i procedury, aby spełnić wymagania VDA ISA 6.0.
  • Przejście z dotychczasowych etykiet na nowe: Posiadacze etykiet „Info High” i „Info Very High” otrzymają automatycznie dodatkowe etykiety, ale mogą również zdecydować się na przejście na nowe etykiety „Confidential” i „Strictly confidential”.

Korzyści z wdrożenia VDA ISA 6.0:

  • Zwiększenie bezpieczeństwa informacji i cyberbezpieczeństwa: Ochrona poufnych danych i systemów przed cyberatakami i innymi zagrożeniami.
  • Wzrost zaufania ze strony OEM-ów: Zwiększenie szans na współpracę z czołowymi producentami pojazdów.
  • Poprawa konkurencyjności: Wzmocnienie pozycji na rynku motoryzacyjnym.

 

Wpływ zmian na audytowane i audytujące strony:

Audytowane strony:

  • Konieczność dostosowania systemów bezpieczeństwa do nowych wymagań, m.in.:
    • Wdrożenie mechanizmów ochrony danych poufnych.
    • Zapewnienie bezpieczeństwa systemów OT.
    • Wdrożenie procedur zgodnych z RODO.
  • Większy nacisk na proaktywne zarządzanie bezpieczeństwem.
  • Możliwość przeprowadzania auditów zdalnych, co może obniżyć koszty i czas audytu.

Audytujące strony:

  • Konieczność przeszkolenia z zakresu nowych wymagań VDA ISA 6.0.
  • Stosowanie nowego kwestionariusza audytowego.

 

Podsumowanie:

Nowa wersja checklisty VDA ISA 6.0 – stawia przed branżą motoryzacyjne nowe wyzwania, ale też niesie ze sobą wiele korzyści. Wdrożenie nowych wymagań będzie wymagać zaangażowania ze strony organizacji, ale w dłuższej perspektywie przyczyni się do wzrostu bezpieczeństwa i efektywności całego łańcucha dostaw.

 

Autor: Tomasz Walaszczyk, Auditor Wiodący