TISAX (Trusted Information Security Assessment eXchange) è lo standard dell'industria automobilistica per la valutazione della sicurezza informatica e delle informazioni dei fornitori di apparecchiature e servizi per il settore.
Sviluppato dalla VDA ( Associazione dei produttori automobilistici tedeschi) e dal network ENX ( associazione dell'industria automobilistica europea), la VDA ISA 6.0 è finalizzata allo scambio sicuro di dati critici di sviluppo, acquisto e controllo della produzione. Viene verificata annualmente da organismi di certificazione terzi accreditati e indipendenti.
La versione 6.0 di VDA ISA è dotata di un'ampia serie di miglioramenti che proteggeranno le interconnessioni all'interno della rete della supply chain e renderanno le valutazioni TISAX più semplici e snelle.
La versione aggiornata 6.0 di VDA ISA
La versione 6 è stata rilasciata nell'ottobre 2023. Gli aggiornamenti in essa contenuti rappresentano un passo fondamentale verso il rafforzamento dell'infrastruttura di cybersecurity nell'industria automobilistica.
I principali cambiamenti riguardano una maggiore attenzione all’ Information Technology (IT) e Operational Technology (OT) dei fornitori e la completa revisione del catalogo relativa alla protezione dei dati personali.
Inoltre, sono state apportate modifiche alle label TISAX: le vecchie label "Info High" e "Info Very High" lasceranno il posto a "Confidential" e "Strictly Confidential". Questa transizione chiarisce i requisiti di sicurezza per i componenti di produzione e i fornitori di infrastrutture per salvaguardare i segreti commerciali.
Inoltre, la versione 6 di ISA ha imposto il passaggio alla lingua inglese. La VDA prevede di offrire in futuro altre versioni linguistiche ma, in caso di differenze in altre lingue, sarà la versione inglese ad avere la precedenza e ad essere utilizzata per risolvere eventuali imprecisioni di traduzione.
Inoltre, poiché anche altri standard che riguardano la cybersecurity sono soggetti a continui miglioramenti, VDA ISA 6.0 ha tenuto conto dei recenti sviluppi degli standard correlati.
Una nuova revisione della ISO/IEC 27001 è stata pubblicata nel 2022 e di conseguenza il VDA ISA 6 contiene ora riferimenti alla revisione 2022 della ISO/IEC 27001. Inoltre, VDA ISA 6 è ora dotata di una nuova mappatura con la versione 1.1 del NIST CSF.
Calendario della transizione
VDA ha fissato al 1° aprile 2024 la data di entrata in vigore della VDA ISA 6 in TISAX. Le regole definite per la transizione sono le stesse delle modifiche precedenti:
- Le valutazioni già completate secondo gli standard precedenti manterranno pienamente la loro validità. Se le label TISAX non scadono, non è necessaria una nuova valutazione.
- I nuovi procedimenti di valutazione TISAX pianificatifino al 31 marzo 2024 saranno condotti utilizzando la versione 5 degli ISA.
- I nuovi procedimenti di valutazione TISAX pianificati a partire dal 1° aprile 2024 saranno eseguiti con la versione 6 dell'ISA.
- Le attività di valutazione relative a una valutazione esistente, come le valutazioni dei piani di azione correttiva, i follow-up o le estensioni dello scopo, saranno condotte utilizzando la stessa versione della valutazione originale.
- Se un'organizzazione ha pianificato nuove attività di valutazione in tempo per l'ISA 5 ma ritiene che l'ISA 6 sia più adatta, può passare facoltativamente all'ISA 6 per le attività di valutazione eseguite dopo il 1° aprile 2024. Per sapere se il passaggio è possibile e quali condizioni si applicano, le organizzazioni devono contattare il proprio ente di terza parte.
Prepararsi all’implementazione
Si consiglia di iniziare a prepararsi alla transizione il prima possibile e di pianificare adeguatamente l'implementazione dei cambiamenti richiesti nel proprio sistema di gestione.
Fasi consigliate:
- Conoscere lo standard aggiornato, concentrandosi sui cambiamenti.
- Formare il personale dell’organizzazione interessato per assicurarsi che comprenda i requisiti e le principali modifiche.
- Identificare le lacune da affrontare e stabilire un piano di implementazione.
- Aggiornare il sistema di gestione e implementare le azioni.
Come può aiutare DNV?
Che si tratti di transizione o di iniziare il percorso di certificazione, DNV può essere il tuo partner ideale. Offriamo formazione sulla transizione e sugli standard, autovalutazione, gap analysis e certificazione.
