Transición a TISAX VDA ISA Versión 6

Evaluación de la seguridad de la información para la industria automotriz

TISAX (Trusted Information Security Assessment eXchange) es el estándar de la industria automotriz para evaluar la información y la ciberseguridad de los proveedores de equipos y servicios del sector.

Desarrollado por la VDA (Asociación de Fabricantes de Vehículos Alemanes) y la red ENX (una solución conjunta de la industria automotriz europea), VDA ISA 6.0 tiene como objetivo el intercambio seguro de datos críticos de desarrollo, compras y control de producción. Es auditado anualmente por organismos de certificación independientes acreditados.

La versión 6.0 de VDA ISA incluye un amplio conjunto de mejoras que protegerán las interconexiones dentro de la red de la cadena de suministro y harán que las evaluaciones TISAX sean más sencillas y ágiles.

La versión 6.0 actualizada de VDA ISA

La versión 6 se lanzó en octubre de 2023. Las actualizaciones que contiene son un paso crucial para fortalecer la infraestructura de ciberseguridad en la industria automotriz.

Los principales cambios son un enfoque más preciso en la disponibilidad de los proveedores de Tecnología de la Información (TI) y Tecnología Operativa (TO) y la revisión completa del catálogo de protección de datos personales.

Además, hay cambios en las etiquetas TISAX: las antiguas etiquetas «Información alta» e «Información muy alta» darán paso a «Confidencial» y «Estrictamente confidencial». Esta transición aclara los requisitos de seguridad para que los proveedores de piezas de producción e infraestructura protejan los secretos comerciales.

Además, ISA Versión 6 ha ordenado cambiar su idioma de trabajo principal al inglés. VDA planea ofrecer más versiones en otros idiomas en el futuro, pero si hay diferencias en otros idiomas, la versión en inglés tendrá prioridad y se utilizará para resolver cualquier inexactitud en la traducción.

Además, dado que otras normas que afectan a la ciberseguridad también están sujetas a mejoras continuas, VDA ISA 6.0 ha tenido en cuenta los recientes avances en las normas relacionadas.

En 2022 se publicó una nueva revisión de la norma ISO/IEC 27001 y, en consecuencia, la VDA ISA 6 ahora contiene referencias a la revisión de 2022 de la norma ISO/IEC 27001. Además, la VDA ISA 6 ahora también viene con una nueva correspondencia con la versión 1.1 del NIST CSF.

Cronograma de transición

La VDA ha fijado el 1 de abril de 2024 como fecha de entrada en vigor de la VDA ISA 6 en TISAX. Las normas para la transición definidas en torno a esa fecha de entrada en vigor son las mismas que en los cambios anteriores:

  • Las evaluaciones ya completadas de acuerdo con normas anteriores mantendrán plenamente su validez. Si sus etiquetas TISAX no caducan, no es necesario volver a evaluarlas.
  • Los nuevos procedimientos de evaluación TISAX ordenados hasta el 31 de marzo de 2024 se llevarán a cabo utilizando la versión 5 de ISA.
  • Los nuevos procedimientos de evaluación TISAX ordenados a partir del 1 de abril de 2024 se llevarán a cabo utilizando la versión 6 de ISA.
  • Las actividades de evaluación relacionadas con una evaluación existente, como las evaluaciones de planes de acción correctiva, los seguimientos o las ampliaciones del alcance, se llevarán a cabo utilizando la misma versión que la evaluación original.
  • Si una organización solicitó nuevas actividades de evaluación a tiempo para la ISA 5, pero cree que la ISA 6 se ajusta mejor, puede optar por cambiar a la ISA 6 para las actividades de evaluación ejecutadas después del 1 de abril de 2024. Para saber si es posible el cambio y qué condiciones se aplican, las organizaciones deben ponerse en contacto con su proveedor de auditoría.

Preparación para la implementación

Le recomendamos que comience a prepararse para la transición lo antes posible y planifique adecuadamente cómo implementar los cambios necesarios en su sistema de gestión. Pasos recomendados:

  • Conozca la norma actualizada, centrándose en los cambios.
  • Forme al personal pertinente de su organización para asegurarse de que comprende los requisitos y los cambios clave.
  • Identifique las deficiencias que deben abordarse y establezca un plan de implementación.
  • Actualice su sistema de gestión e implemente acciones.

¿Cómo puede ayudar DNV?

Tanto si busca hacer la transición como si está empezando su camino hacia la certificación, DNV puede ser su socio. Ofrecemos formación de transición y estándar, autoevaluaciones, análisis de deficiencias y certificación.