10 Jahre TISAX – VDA ISA2027 veröffentlicht

2026-01-07 by Clemens Magić TISAX

Am 28. Juni 2016 haben sich die ersten Teilnehmer für TISAX registriert – heute vor fast genau zehn Jahren. Was als Initiative zur Schaffung eines gemeinsamen und vertrauenswürdigen Ansatzes für Informationssicherheit in den Lieferketten unserer Industrie begann, hat sich heute zu einem weltweit etablierten Standard entwickelt. In diesem Jahrzehnt hat TISAX einen tiefgreifenden Wandel in der Branche angestoßen. Unternehmen haben Informationssicherheitsorganisationen aufgebaut, eigene Teams und Abteilungen geschaffen, Kompetenzen entwickelt und Informationssicherheit als festen Bestandteil ihrer Geschäftsprozesse etabliert.

ISA2027

Die Auswirkungen dieser Entwicklung sind messbar. Mehr als 21.000 Standorte wurden bislang nach TISAX geprüft. Im Rahmen dieser Prüfungen wurden weit über 100.000 Verbesserungsmaßnahmen identifiziert und umgesetzt. Gleichzeitig nutzen heute mehr als 5.000 aktive User aus über zehn Fahrzeugherstellern sowie tausenden Zulieferern weltweit TISAX-Ergebnisse zur Bewertung ihrer Geschäftspartner.

Der vielleicht wichtigste Erfolg lässt sich jedoch nicht allein in Zahlen ausdrücken. Unsere Industrie ist widerstandsfähiger geworden. Angesichts einer sich ständig wandelnden Bedrohungslage, zunehmender Cyberangriffe und immer stärker vernetzter Lieferketten ist Resilienz zu einer zentralen Voraussetzung für wirtschaftlichen Erfolg geworden. TISAX hat dazu beigetragen, Informationssicherheit systematisch zu verankern und kontinuierlich weiterzuentwickeln. Unternehmen sind heute deutlich besser aufgestellt, um Risiken zu erkennen, Vorfälle zu bewältigen und die Auswirkungen erfolgreicher Angriffe zu begrenzen.

Gleichzeitig hat sich auch TISAX selbst kontinuierlich weiterentwickelt. Tausende Experten aus Fahrzeugherstellern, Zulieferern, Prüfdienstleistern und Verbänden haben zu dieser Entwicklung beigetragen. Gemeinsam haben sie Prozesse verfeinert, die Qualität von Assessments verbessert, die internationale Verbreitung vorangetrieben und sichergestellt, dass TISAX mit der sich ständig wandelnden Bedrohungslage, technologischen Entwicklungen und den Anforderungen der Industrie Schritt hält.

Einer der wichtigsten Bereiche dieser kontinuierlichen Weiterentwicklung ist seit jeher der Information Security Assessment (ISA)-Katalog. Als TISAX im Jahr 2016 startete, basierten die Assessments auf ISA Version 2.1.

Die ursprünglichen ISA-Versionen waren stark von ISO/IEC 27001 geprägt und sollten die Anforderungen dieses Standards für die besonderen Gegebenheiten unserer Industrie nutzbar machen. Mit dem Wachstum von TISAX entstand zugleich der Bedarf, den Katalog kontinuierlich weiterzuentwickeln und die Erfahrungen einer wachsenden internationalen Anwendergemeinschaft einzubeziehen. Vor diesem Hintergrund gründete ENX im Jahr 2019 die Working Group ISA. Seitdem wird der ISA-Katalog von Experten aus Herstellern, Zulieferern, Prüfdienstleistern und Verbänden kontinuierlich gepflegt und weiterentwickelt.

Mit ISA 5 war aus einem ursprünglich stark ISO-orientierten Fragenkatalog ein eigenständiger Industriestandard geworden. Internationale Standards wie ISO/IEC 27001 bleiben weiterhin wichtige Referenzpunkte, und der ISA bleibt mit ihnen kompatibel. Seine Anforderungen werden jedoch nicht mehr aus bestehenden Frameworks abgeleitet, sondern von den Experten unserer Industrie eigenständig entwickelt und fortgeschrieben.

Jede neue Version hat seitdem dazu beigetragen, den Stand der Technik für Informationssicherheit weiterzuentwickeln. Die aktuelle Version ISA 6 wurde im Oktober 2023 veröffentlicht und ist seit April 2024 Grundlage für neue TISAX Assessments. Aufbauend auf den Erfahrungen aus tausenden Assessments sowie dem Feedback aus der Industrie hat die ENX Working Group ISA seither die nächste Generation des Katalogs entwickelt.

ISA2027

Heute freuen wir uns bekanntzugeben, dass der VDA die neue Version offiziell als VDA ISA2027 veröffentlicht hat. Die offizielle Version des ISA ist auf der Website des VDA verfügbar und kann auch über die ENX-Website heruntergeladen werden: https://www.enx.com/isa2027-en.xlsx

Übersetzungen in weitere Sprachen befinden sich derzeit in Vorbereitung und werden in den kommenden Monaten schrittweise veröffentlicht. Im Falle von Abweichungen ist die englische Originalfassung maßgeblich.

EIN NEUES VERSIONSmodell

Mit dieser Veröffentlichung führen wir ein vollständig neues Versionsschema für den ISA-Katalog ein. Anstelle fortlaufender Versionsnummern trägt der ISA künftig das Jahr, in dem er für neu beauftragte TISAX-Assessments verbindlich wird. ISA2027 gilt daher für alle TISAX-Assessments, die ab dem 1. Januar 2027 beauftragt werden.

Ziel dieser Umstellung ist es, die Versionierung verständlicher und die Planung für alle Beteiligten transparenter zu machen.

Mit ISA2027 beginnt zugleich ein neuer jährlicher Veröffentlichungszyklus. Künftige ISA-Versionen werden grundsätzlich im Sommer veröffentlicht und jeweils zum 1. Januar des Folgejahres wirksam.

Gültig ab Januar 2027

Das bedeutet konkret:

  • ISA2027 wird im Jahr 2026 veröffentlicht und gilt für Assessments, die im Jahr 2027 beauftragt werden.
  • ISA2028 wird im Sommer 2027 veröffentlicht und gilt für Assessments, die im Jahr 2028 beauftragt werden.
  • Zukünftige ISA-Versionen folgen demselben vorhersehbaren jährlichen Rhythmus.

Der neue Veröffentlichungszyklus hat keinen Einfluss auf die Gültigkeit von TISAX-Labels. Bereits bestehende Labels behalten ihre volle Gültigkeitsdauer. Auch zukünftige TISAX-Labels werden weiterhin bis zu drei Jahre gültig sein. Die jährliche Veröffentlichung neuer ISA-Versionen führt daher nicht zu häufigeren Re-Assessments.

In der Praxis werden Unternehmen auch künftig mehrere ISA-Generationen zwischen regulären Re-Assessments überspringen. Der jährliche Zyklus ermöglicht vielmehr kleinere, besser planbare Weiterentwicklungen des Katalogs, ohne den etablierten Lebenszyklus von Assessments und Labels zu verändern.

DIE WICHTIGSTEN ÄNDERUNGEN IN ISA2027

Der neue Veröffentlichungszyklus hat keinen Einfluss auf die Gültigkeit von TISAX-Labels. Bereits bestehende Labels behalten ihre volle Gültigkeitsdauer. Auch zukünftige TISAX-Labels werden weiterhin bis zu drei Jahre gültig sein. Die jährliche Veröffentlichung neuer ISA-Versionen führt daher nicht zu häufigeren Re-Assessments.

In der Praxis werden Unternehmen auch künftig mehrere ISA-Generationen zwischen regulären Re-Assessments überspringen. Der jährliche Zyklus ermöglicht vielmehr kleinere, besser planbare Weiterentwicklungen des Katalogs, ohne den etablierten Lebenszyklus von Assessments und Labels zu verändern.

NEUES JÄHRLICHES VERSIONSMODELL

ISA2027 führt ein vollständig neues Veröffentlichungs- und Versionskonzept ein.

Anstelle fortlaufender Versionsnummern orientiert sich die Bezeichnung künftig am Jahr der Wirksamkeit. Zusammen mit dem neuen jährlichen Veröffentlichungszyklus schafft dies mehr Transparenz und bessere Planbarkeit für Unternehmen, Prüfdienstleister und Kunden.

AKTUALISIERTE REFERENZEN UND Zuordnungen

Die Referenzen und Zuordnungen zu internationalen Standards wurden überprüft und aktualisiert.

Zu den wichtigsten Änderungen gehören:

  • Aktualisierte Zuordnungen zum NIST Cybersecurity Framework 2.0.
  • Überprüfung und Verfeinerung der Zuordnungen zu ISO/IEC 27001:2022.
  • Präzisierte Referenzen zu ISA/IEC 62443.
  • Entfernung der Referenzen auf ISO/IEC 27001:2013.

Diese Anpassungen verbessern die Qualität und Aussagekraft der im ISA-Katalog enthaltenen Referenzzuordnungen.

Mehr KLARHEIT UND KONSISTENZ

Ein wesentlicher Schwerpunkt von ISA2027 war die Verbesserung von Verständlichkeit, Nutzbarkeit und Konsistenz.

Die Working Group ISA hat den gesamten Katalog sprachlich, strukturell und inhaltlich überprüft. Zahlreiche Unklarheiten und historisch gewachsene Inkonsistenzen wurden beseitigt. Das Ergebnis ist ein Katalog, der einfacher zu verstehen und konsistenter zu bewerten ist.

Eine besonders wichtige Änderung betrifft die Formulierung „The following aspects are considered“. Diese wurde in der Vergangenheit von Unternehmen und Prüfern teilweise unterschiedlich interpretiert. ISA2027 definiert nun eindeutig, dass für jeden aufgeführten Aspekt eine bewusste und nachvollziehbare Entscheidung getroffen werden muss und diese Entscheidung im Assessment erläutert werden können sollte.

Darüber hinaus wurden Definitionen ergänzt oder präzisiert, unter anderem für den Begriff Project sowie für die Unterscheidung zwischen Event und Incident.

Zudem stellt der Katalog nun ausdrücklich klar, dass Führungskräfte und organisatorische Entscheidungsträger eine eigene Zielgruppe für Awareness- und Schulungsmaßnahmen darstellen. Damit wird keine neue Anforderung eingeführt, die Erwartungshaltung jedoch klarer formuliert und besser mit aktuellen regulatorischen Entwicklungen und Branchenanforderungen in Einklang gebracht.

STÄRKERER FOKUS AUF LIEFERKETTENSICHERHEIT

Eine der bedeutendsten Änderungen betrifft die Sicherheit in Lieferketten.

Unternehmen mit hohem Schutzbedarf müssen künftig stärker dokumentieren, überprüfen und überwachen, inwieweit ihre Lieferanten die geforderten Sicherheitsanforderungen erfüllen. Dabei sind auch relevante Veränderungen bei Lieferanten oder innerhalb von Lieferketten zu berücksichtigen.

Für Unternehmen mit sehr hohem Schutzbedarf werden die Anforderungen an den Nachweis eines angemessenen Sicherheitsniveaus weiter erhöht. Lieferanten sollen dieses beispielsweise durch ein TISAX Label, ein gleichwertiges Drittparteien-Assessment oder ein angemessenes Lieferantenaudit nachweisen.

Diese Änderungen tragen der zunehmenden Bedeutung von Risiken entlang vernetzter Lieferketten Rechnung. Als Industrie sind wir auf komplexe Netzwerke aus Zulieferern, Dienstleistern und Technologiepartnern angewiesen. Eine Lieferkette ist nur so sicher wie ihr schwächstes Glied, und Schwachstellen tief innerhalb der Lieferkette können letztlich Hersteller, Zulieferer und Kunden gleichermaßen betreffen.

ISA2027 legt deshalb einen noch stärkeren Fokus auf das Informationssicherheitsmanagement von Lieferanten und die Überprüfung entsprechender Sicherheitsanforderungen. Ziel ist es, die Weitergabe und Durchsetzung von Informationssicherheitsanforderungen entlang der Lieferkette weiter zu stärken. Wenn jede Organisation die Informationssicherheit ihrer eigenen Lieferanten angemessen steuert und überprüft, entsteht über die gesamte Lieferkette hinweg ein konsistentes Sicherheitsniveau, das die Resilienz unseres Ökosystems nachhaltig stärkt.

UMFASSENDE Überarbeitung DES PROTOTYPENSCHUTZES

Auch der Bereich Prototype Protection (PTS) wurde grundlegend überarbeitet – die umfangreichste Überarbeitung seit Einführung des Moduls.

Die bisherige Struktur mit fünf Kontrollbereichen wurde auf zwei übergreifende Bereiche konsolidiert:

  • Organisatorische Anforderungen
  • Physische und Umgebungsbezogene Sicherheit

Diese Neustrukturierung vereinfacht den Katalog, schafft eine klarere Trennung zwischen organisatorischen Basisanforderungen und erweiterten physischen Schutzmaßnahmen und unterstützt ein schlankeres Assessmentmodell.

Darüber hinaus wurden neue Anforderungen eingeführt, die folgende Themen adressieren:

  • Nachvollziehbare Verfolgung von Fahrzeugen, Komponenten und Teilen über ihren gesamten Lebenszyklus
  • Ordnungsgemäße Entsorgung, Rückgabe oder Wiederverwertung von schutzbedürftigen Fahrzeugen, Komponenten, Teilen und relevanten Werkzeugen gemäß Kundenvorgaben

Diese neuen Anforderungen stärken die Kontrolle und Nachvollziehbarkeit über den gesamten Lebenszyklus von Prototypen.

AUSBLICK

ISA2027 definiert weiterhin den Stand der Technik für Informationssicherheit aus Sicht der Automobilindustrie. Basierend auf zehn Jahren Praxiserfahrung, tausenden Assessmentverfahren und der Expertise von Herstellern, Zulieferern, Prüfdienstleistern und Verbänden liefert er einen aktuellen Maßstab für den Umgang mit Informationssicherheit in einer zunehmend vernetzten Welt. Gleichzeitig verdeutlicht er, dass Informationssicherheit kein Endzustand, sondern ein kontinuierlicher Prozess der Anpassung und Verbesserung ist.

Auch wenn mit ISA2027 jährliche Veröffentlichungen eingeführt werden, bleibt die etablierte dreijährige Gültigkeit von TISAX-Labels unverändert. Dadurch bleiben Stabilität und Planungssicherheit für Teilnehmer erhalten, während sich der Stand der Technik künftig kontinuierlicher weiterentwickeln kann.

In den kommenden Wochen und Monaten werden wir weitere Beiträge veröffentlichen, die ausgewählte Änderungen detaillierter vorstellen, die Hintergründe erläutern und praktische Hinweise für die Vorbereitung auf zukünftige TISAX Assessments geben.

Zehn Jahre nach dem Start von TISAX markiert ISA2027 einen weiteren Meilenstein in der kontinuierlichen Weiterentwicklung des gemeinsamen Informationssicherheitsansatzes unserer Industrie. Die Herausforderungen werden sich weiterentwickeln – und TISAX wird sich mit ihnen weiterentwickeln. Durch die Zusammenarbeit von Herstellern, Zulieferern, Prüfdienstleistern und den Expertengruppen wird der Standard auch künftig praxisnah, wirksam und aktuell bleiben.