Transición a TISAX VDA ISA Versión 6

Evaluación de la seguridad de la información en la industria de automoción

TISAX (Trusted Information Security Assessment eXchange) es el estándar de la industria del automóvil para evaluar la información y la ciberseguridad de los proveedores de equipos y servicios del sector.

Desarrollado por la VDA (asociación alemana de fabricantes de vehículos) y la red ENX (una solución conjunta de la industria europea del automóvil), VDA ISA 6.0 tiene como objetivo el intercambio seguro de datos críticos de desarrollo, compras y control de producción. Es auditada anualmente por organismos de certificación acreditados e independientes.

La versión 6.0 de VDA ISA incorpora un amplio conjunto de mejoras que protegerán las interconexiones dentro de la red de la cadena de suministro y harán que las evaluaciones TISAX sean más sencillas y ágiles.

La actualizada versión 6 de VDA ISA

La versión 6 se publicó en octubre de 2023. Las actualizaciones que contiene son un paso crucial para reforzar la infraestructura de ciberseguridad en la industria del automóvil.

Los principales cambios son una atención más precisa a la disponibilidad de proveedores de tecnologías de la información (TI) y tecnologías operativas (TO) y la revisión completa del catálogo de protección de datos personales.

Además, hay cambios en las etiquetas TISAX: las antiguas etiquetas "Info High" e "Info Very High" dejarán paso a "Confidential" y "Strictly Confidential". Esta transición aclara los requisitos de seguridad de las piezas de producción y los proveedores de infraestructuras para salvaguardar los secretos comerciales.

Además, la versión 6 de ISA ha obligado a cambiar su principal idioma de trabajo al inglés. VDA tiene previsto ofrecer más versiones lingüísticas en el futuro, pero, en caso de que existan diferencias en otros idiomas, será la versión inglesa la que tenga preferencia y la que se utilice para solventar cualquier imprecisión en la traducción.

Además, dado que otras normas que afectan a la ciberseguridad también están sujetas a mejoras continuas, la VDA ISA 6.0 ha tenido en cuenta la evolución reciente de las normas relacionadas.

En 2022 se publicó una nueva revisión de ISO/IEC 27001 y, en consecuencia, VDA ISA 6 contiene ahora referencias a la revisión de 2022 de ISO/IEC 27001. Además, VDA ISA 6 ahora también viene con un nuevo mapeo a NIST CSF versión 1.1.

Calendario de transición

VDA ha establecido el 1 de abril de 2024 como fecha de entrada en vigor de VDA ISA 6 en TISAX. Las normas para la transición definida en torno a esa fecha efectiva son las mismas que en cambios anteriores:

  • Las evaluaciones ya realizadas según normas anteriores conservarán plenamente su validez. Si sus etiquetas TISAX no caducan, no es necesario realizar una nueva evaluación.
  • Los nuevos procedimientos de evaluación de TISAX ordenados hasta el 31 de marzo de 2024 se llevarán a cabo utilizando la versión 5 de ISA.
  • Los nuevos procedimientos de evaluación de TISAX ordenados a partir del 1 de abril de 2024 se llevarán a cabo utilizando la versión 6 de ISA.
  • Las actividades de evaluación relacionadas con una evaluación existente, como evaluaciones del plan de acción correctiva, seguimientos o ampliaciones del alcance, se llevarán a cabo utilizando la misma versión que la evaluación original.
  • Si una organización encargó nuevas actividades de evaluación a tiempo para la ISA 5, pero cree que la ISA 6 se ajusta mejor, es posible que pueda cambiar opcionalmente a la ISA 6 para las actividades de evaluación ejecutadas después del 1 de abril de 2024. Para saber si el cambio es posible y qué condiciones se aplican, las organizaciones deben ponerse en contacto con su proveedor de servicios de auditoría.

Prepar la implantación

Le recomendamos que empiece a prepararse para la transición lo antes posible y planifique adecuadamente cómo implantar los cambios necesarios en su sistema de gestión.

Pasos recomendados:

  • Conozca la norma actualizada, centrándose en los cambios.
  • Forme al personal pertinente de su organización para asegurarse de que comprenden los requisitos y los cambios clave.
  • Determinar las deficiencias que deben subsanarse y establecer un plan de aplicación.
  • Actualice su sistema de gestión e implemente las acciones necesarias.

¿Cómo DNV puede ayudarle?

Tanto si necesita una transición o comenzando su viaje de certificación, DNV puede ser su socio. Ofrecemos formación sobre transición y normas, autoevaluaciones, análisis de deficiencias y certificación.