De nieuwe TISAX® labels: waar moet u op letten?

• Veranderde omstandigheden - nieuwe vereisten
• Waarom zijn de nieuwe ^TISAX® Availability en Confidentiality labels geïntroduceerd?
• De nieuwe ^TISAX® labels in een oogopslag
• Welke ^TISAX® labels bedrijven nodig hebben
• Beoordelingsdoelen, labels en beoordelingsniveaus - een korte uitleg van de verschillen
• Voor certificeringen volgens de oude ISA catalogus is een GAP analyse vereist
• De nieuwe ^TISAX® labels - Conclusie
• DQS is uw betrouwbare partner

Waarom zijn de nieuwe ^TISAX® labels Availability and Confidential geïntroduceerd?

Leveranciers en dienstverleners zijn nauw betrokken bij de ontwikkelings- en productieprocessen van autofabrikanten, maar vervullen soms heel verschillende rollen: Aan sommige bedrijven wordt zeer gevoelige informatie toevertrouwd, maar ze hebben uiteindelijk geen verdere betrokkenheid bij de eigenlijke productie. Andere leveren fundamenteel belangrijke onderdelen voor de productie van voertuigen, maar hebben geen inzicht in de bedrijfsgeheimen van het bedrijf dat de opdracht geeft.

Om deze verschillende rollen beter weer te geven, is het oude label "informatiebeveiliging" opgesplitst in twee nieuwe labels -"beschikbaarheid" en"vertrouwelijk". Leveranciers en dienstverleners hoeven niet meer noodzakelijkerwijs aan alle vereisten van ISA catalogus 6.0 te voldoen, aangezien elk label slechts een deelverzameling vertegenwoordigt. Deze opsplitsing is bedoeld om de lasten voor bedrijven te verminderen en het auditproces efficiënter te maken.

Er moet echter worden opgemerkt dat de ISA-catalogus (Information Security Assessment) is uitgebreid met verschillende aanvullende vereisten gezien het veranderde bedreigingslandschap. Naast het beschermen van geheimen, moet ook het vermogen om te leveren - trefwoord: just-in-time productie - worden gewaarborgd, aangezien dit steeds meer risico loopt door ransomware-aanvallen. De nieuwe vereisten omvatten daarom ook robuustere beschermingsmaatregelen voor OT-systemen.

De nieuwe ^TISAX® labels in één oogopslag

Voor bedrijven die gevoelige informatie toevertrouwen, d.w.z. bedrijfsgeheimen of persoonlijke gegevens, zijn er nu de labels "Confidential" en "Strictly Confidential". De labels "Hoge beschikbaarheid" en "Zeer hoge beschikbaarheid" zijn bedoeld voor leveranciers die een essentiële rol spelen in het vermogen van het bedrijf om te leveren.

De maatregelen die moeten worden geïmplementeerd voor de nieuwe TISAX® labels - naast de basiseisen - worden duidelijk aangegeven in de ISA beoordelingscatalogus 6.0: Voor vertrouwelijk met een "C", voor beschikbaarheid met een "A". Veel vereisten zijn gemarkeerd met beide letters en zijn daarom van toepassing op beide nieuwe labels.

"Vertrouwelijk

Het label "Vertrouwelijk" richt zich op het beschermen van vertrouwelijke informatie, waarvan de ongeautoriseerde openbaarmaking aanzienlijke negatieve gevolgen kan hebben, zoals reputatieverlies, strafrechtelijke vervolging of financiële schade.

In de controles van de ISA-catalogus zijn 28 specifieke vereisten gedefinieerd in de kolom "Aanvullende vereisten voor hoge beschermingsbehoeften" en gemarkeerd met een "C", waaraan moet worden voldaan voor dit label.

De volgende controles verdienen speciale aandacht vanwege hun implementatie-inspanning (eisen tussen haakjes):

• 3.1.3 (Informatie op ondersteunende apparaten zoals printers, papiervernietigers, camera's of papier beveiligen en veilig verwijderen)
• 3.1.4 (Encryptie van gegevens op mobiele apparaten)
• 5.1.1 (Juridische bescherming van controle over eigen gegevens door middel van contracten, specificaties, garanties, met name voor externe gegevensverwerking)
• 5.1.2 (Versleuteling van digitale transportroutes voor informatie)

De hier genoemde controles zijn alleen gemarkeerd met een "C", niet met een "A". Dit betekent dat ze alleen relevant zijn voor vertrouwelijkheid. Aan deze eisen hoeft dus niet te worden voldaan in een auditproces dat alleen beschikbaarheid als doel heeft te labelen.

"Strikt Vertrouwelijk

Het label "Strictly Confidential" is gericht op de bescherming van strikt vertrouwelijke en geheime informatie, waarvan de ongeoorloofde openbaarmaking catastrofale of zelfs levensbedreigende gevolgen kan hebben, zoals ernstige reputatieschade, ernstige strafrechtelijke gevolgen of zeer grote financiële verliezen.

In de controles van de ISA-vragenlijst zijn negen specifieke vereisten gedefinieerd in de kolom "Aanvullende vereisten voor zeer hoge beschermingsbehoeften" en gemarkeerd met een "C", waaraan moet worden voldaan voor dit label - naast de vereisten voor het label "Vertrouwelijk".

De volgende controles vereisen speciale aandacht vanwege hun implementatie-inspanning:

• 1.6.1 (Regelmatige oefeningen uitvoeren om incidenten op het gebied van informatiebeveiliging te beheersen)
• 4.1.2 (Twee-factor authenticatie - of hoger - voor toegang tot informatie met zeer hoge beschermingseisen)
• 4.2.1 (Versleuteling van informatie met zeer hoge beschermingseisen; driemaandelijkse controle van toegekende toegangsrechten op geschiktheid)
• 5.1.2 (Versleuteling van de inhoud van informatie voor digitaal transport)
• 5.2.4 (Vastleggen van toegang tot informatie met bijzonder hoge beschermingseisen)
• 5.2.8 (Concept voor gegevensback-up met alternatieve locaties voor opslag en back-upopslag)
• 5.3.1 (Controle van de beveiliging van zelf of voor de klant ontwikkelde software - tijdens de implementatie, bij wijzigingen en met regelmatige tussenpozen)

Essentieel is ook het duidelijke onderscheid met de labels voor beschikbaarheid: Specifiek zijn de eisen die hier worden genoemd voor de controles 4.1.2, 4.2.1, 5.1.2 en 5.2.4 alleen gemarkeerd met een "C". Dit betekent dat ze alleen relevant zijn voor een auditproces voor het label "Strikt Vertrouwelijk".

"Hoge beschikbaarheid

Bedrijven hebben het label "Hoge Beschikbaarheid" nodig als de beschikbaarheid van hun eigen producten of diensten direct van invloed is op de productie- of leveringscapaciteit van afhankelijke bedrijven, en storingen leiden tot aanzienlijke schade. Bekende voorbeelden zijn just-in-time leveranciers van productiematerialen of zeer gespecialiseerde leveranciers van diensten of grondstoffen die niet onmiddellijk kunnen worden vervangen.

In de controles van de ISA-catalogus 6.0 zijn 36 vereisten gedefinieerd in de kolom "Aanvullende vereisten voor hoge beschermingsbehoeften", die zijn gemarkeerd met een "A" en waaraan dus moet worden voldaan voor dit label.

De volgende controles vereisen bijzondere aandacht bij de implementatie:

• 1.6.3 (Voorbereiding op crisissituaties: Crisisscenario's, contactpersonen, communicatiestrategie, regelmatige simulatie van crisissituaties)
• 5.2.8 (Maatregelen ter voorkoming van verstoringen door interne bedreigingen - zoals de bescherming van back-ups - en uitval van externe diensten, bijvoorbeeld door middel van passende SLA's)
• 5.2.9 (Back-up- en herstelconcept: regelmatige controle van back-ups en testherstel)
• 5.3.2 (Monitoring van netwerkverkeer, beschikbaarheidsanalyses van centrale diensten)

De hier genoemde eisen zijn alleen gemarkeerd met een "A", d.w.z. ze zijn alleen relevant voor beschikbaarheid. Daarom hoeft er niet aan voldaan te worden in een auditproces dat alleen gericht is op het labelen van vertrouwelijkheid.

"Zeer hoge beschikbaarheid

Bedrijven hebben het label "Zeer Hoge Beschikbaarheid" nodig als de beschikbaarheid op korte termijn van hun eigen producten of diensten ernstige gevolgen heeft voor de productie- of leveringscapaciteit van afhankelijke bedrijven en storingen tot aanzienlijke schade leiden. Een typisch voorbeeld zijn just-in-time leveranciers, waarvan een storing zou leiden tot een snelle en uitgebreide productiestop met een zeer lange herstarttijd.

In de besturingselementen van de ISA-catalogus zijn 13 vereisten gedefinieerd in de kolom "Aanvullende vereisten voor zeer hoge beschermingsbehoeften". Deze vereisten zijn gemarkeerd met een "A" en moeten daarom worden vervuld voor dit label - naast de vereisten voor het label "Hoge beschikbaarheid".

De volgende controles vereisen speciale aandacht vanwege hun implementatie-inspanning:

• 1.6.1 (Regelmatige oefeningen uitvoeren om informatiebeveiligingsincidenten te beheren en dit kunnen aantonen).
• 1.6.2 (Zelfs zeldzame soorten informatiebeveiligingsincidenten uitvoeren)
• 1.6.3 (Regelmatig oefeningen houden voor het beheer van crisissituaties en daarvan het bewijs leveren)
• 5.2.6 (Regelmatige volledig geautomatiseerde systeemanalyse van IT-systemen, rekening houdend met OT/industriële controlesystemen)
• 5.2.8 (Gegevensback-upconcept met alternatieve locaties voor opslag en back-upopslag; coördinatie van eigen noodplannen met de noodplannen van externe dienstverleners; back-upstrategieën met vervangende systemen en vervangende locaties voor opslag en back-ups om bedrijfsprocessen in stand te houden)
• 5.2.9 (Regelmatig testen van het gegevensback-upconcept; geografisch verspreide back-uplocaties; zo geïsoleerd mogelijke back-upsystemen met technisch onveranderlijke back-ups)
• 5.3.1 (Controle van de beveiliging van intern of voor de klant ontwikkelde software - tijdens de implementatie, bij wijzigingen en met regelmatige tussenpozen)

De hier genoemde eisen van controles 1.6.2, 1.6.3, 5.2.6 en 5.2.9 worden alleen gecontroleerd tijdens een auditproces voor het label "Zeer hoge beschikbaarheid" en zijn daarom niet relevant voor het TISAX-label voor vertrouwelijkheid.

Over het algemeen verhogen de twee labels voor "Beschikbaarheid" de focus op het handhaven van productiecapaciteiten (OT). De interne kennis van het bedrijf over aanbevelingen van OT-fabrikanten, OT-risico's en beveiligingsmaatregelen voor OT-netwerken en OT-beheer krijgen meer aandacht tijdens de audit.

Welke ^TISAX® labels hebben bedrijven nodig

De vraag welke labels in de praktijk nodig zijn, hangt natuurlijk in de eerste plaats af van de rol van een bedrijf in de toeleveringsketen. In elke fase van de toeleveringsketen moeten bedrijven zich afvragen van welke leveranciers ze afhankelijk zijn en aan welke leveranciers gevoelige informatie wordt toevertrouwd.

Dienovereenkomstig leidt het leveranciersbeheer dat door TISAX® in elk stadium wordt vereist, tot rolspecifieke labelvereisten die doorwerken in de toeleveringsketen. Het uitwisselingsmechanisme, waarbij een leverancier kan verwijzen naar bestaande labels om aan te tonen dat hij aan de vereisten voldoet, is hier bijzonder nuttig. De resultaten van de beoordelingen kunnen aan elke geïnteresseerde partij ter beschikking worden gesteld.

Stel dat een bedrijf profylactisch beide nieuwe labels eist, ook al is er geen behoefte aan het vertrouwelijkheids- of beschikbaarheidslabel. In dat geval is het zeker de moeite waard om nog een discussie te voeren over de onderlinge rolverdeling met het oog op de mogelijk aanzienlijk hogere implementatiekosten.
Er moet ook rekening worden gehouden met het verband tussen het TISAX label en de beoordelingsniveaus: De labels "Zeer hoge beschikbaarheid" en "Strikt vertrouwelijk" kunnen alleen worden toegekend via een beoordeling op niveau 3, d.w.z. via een beoordeling op locatie.

Beoordelingsdoelen, labels en beoordelingsniveaus - een korte uitleg van de verschillen

In het vorige hoofdstuk gebruikten we verschillende termen die we hier kort zullen uitleggen en van elkaar onderscheiden:

• ^TISAX® beoordelingsdoelstelling: op basis van de specificaties van hun productiepartners gebruiken leveranciers de beoordelingsdoelstellingen om te bepalen aan welke eisen ze tijdens de audit moeten voldoen.
• ^TISAX® label: Na het slagen voor een audit ontvangen bedrijven het TISAX® label voor het geselecteerde beoordelingsdoel in de ^TISAX® database als bevestiging dat ze aan de eisen hebben voldaan.
• ^TISAX® Niveau: Het voldoen aan de eisen wordt verschillend beoordeeld, afhankelijk van het beoordelingsniveau. Niveau 1 is puur een zelfbeoordeling. Op niveau 2 worden de zelfbeoordelingen gecontroleerd op plausibiliteit door een externe auditor, aangevuld met interviews op afstand. Op niveau 3 controleert de auditor de effectiviteit ter plaatse.

Voor certificeringen volgens de oude ISA-catalogus is een GAP-analyse vereist

Belangrijk voor bedrijven die nog gecertificeerd zijn onder het oude "Info"-label:

• Om de overgangsfase zo ongecompliceerd mogelijk te maken, hebben bedrijven met het label "Info High" automatisch de labels "Confidential" en "High Availability" toegewezen gekregen tot hun vervaldatum.
• Op dezelfde manier werd het label "Info Very High" omgezet in de labels "Strictly Confidential" en "Very High Availability".

Dit geldt ook voor auditprocessen waarvan de offertes werden aanvaard vóór 1 april, en daaropvolgende uitbreidingen van de reikwijdte, die beide nog steeds mogen worden uitgevoerd in overeenstemming met de oude ISA-catalogus 5.1.

Er moet echter worden opgemerkt dat de betreffende bedrijven moeten worden gecertificeerd volgens de dan geldige ISA-auditcatalogus zodra hun TISAX labels, die drie jaar geldig zijn, zijn verlopen. De nieuwe certificering moet beschikbaar zijn zodra het oude label verloopt. Verantwoordelijken doen er daarom goed aan om in een vroeg stadium een gap analyse uit te voeren om de aanpassingen aan het informatiebeveiligingsmanagementsysteem (ISMS) tijdig door te voeren en voorbereid te zijn op de volgende ^TISAX® audit.

Voor deze kloofanalyse heeft de ENX Association een speciale catalogus met vereisten samengesteld waarin alle wijzigingen tussen ISA 5.1 en ISA 6.0 zijn opgenomen en rood gemarkeerd. Zo kunnen bedrijven in één oogopslag zien welke nieuwe vereisten zijn toegevoegd. Waar moet rekening mee worden gehouden: Dit is een hulpdocument. Voor de audit moeten bedrijven altijd de laatste versie van de ISA audit catalogus downloaden van de ENX website.

De volgende wijzigingen vallen vooral op:

• De nieuwe Controle 1.3.4 vereist mogelijk een investering in nieuwe software, bijvoorbeeld voor licentiebeheer.
• De uitgebreid gewijzigde Controles 1.6.1 en 1.6.2 vereisen nu een gecoördineerde en regelmatig geteste incident response.
• Controle 3.1.2 is vervangen door de nieuwe controles 1.6.3, 5.2.8 en 5.2.9, die een aantal nieuwe eisen opleggen met betrekking tot crisisbeheer, bedrijfscontinuïteitsbeheer en back-up van gegevens.

De nieuwe ^TISAX® labels - Conclusie

De nieuwe labels voor vertrouwelijkheid en beschikbaarheid moeten in de toekomst voor meer efficiëntie bij de ^TISAX® certificering zorgen, omdat de audits nu op rolspecifieke basis worden uitgevoerd. Dit betekent dat leveranciers en dienstverleners niet langer elke vereiste in de catalogus hoeven te implementeren. Het valt echter op dat er aan meer eisen moet worden voldaan voor het beschikbaarheidslabel dan voor vertrouwelijkheid. Dit komt door de nieuwe focus op het waarborgen van leveringscapaciteit en het beveiligen van OT-omgevingen, die is opgenomen in alle controles van de huidige ISA-catalogus.

De herziene en gedeeltelijk uitgebreide catalogus bevat ook diverse nieuwe vereisten, waarvan sommige alleen kunnen worden vervuld met enige inspanning en de bijbehorende doorlooptijd. Daarom wordt een vroegtijdige kloofanalyse aanbevolen voor bedrijven met certificeringen volgens de oude catalogus, aangezien zij "alleen" de nieuwe labels hebben ontvangen door de automatische conversie van het oude label voor informatiebeveiliging.

Bijzondere uitdagingen doen zich voor bij klanten die hun labels in het verleden hebben ontvangen als onderdeel van een roterende steekproefprocedure (Rotating SGA). Uit kostenoverwegingen willen deze bedrijven in het laatste jaar van de etiketgeldigheid overstappen op de werkelijke bemonsteringsprocedure (SGA op basis van monsters). Daarom moeten ze de Roterende SGA-beoordeling in het derde jaar voltooien, hun ISMS omzetten naar de nieuwe ISA-catalogus en de SGA-beoordeling op basis van steekproeven voltooien voordat het label verloopt om het label naadloos te kunnen verlengen.

DQS is uw betrouwbare partner

^TISAX® is - net als ENX VCS voor Vehicle Cyber Security - ontwikkeld door de ENX Association. DQS is door ENX goedgekeurd als assessment service provider en kan daarom wereldwijd assessments uitvoeren - en is zelf ook ^{TISAX®-gecertificeerd}. En omdat veel van onze ^{TISAX®-auditors}ook geaccrediteerd zijn voor de internationale standaard voor informatiebeveiliging ISO 27001, kunnen we beide standaarden tegelijkertijd en met minder extra inspanning beoordelen. We kijken ernaar uit om met u te praten.

Opmerking: toegang tot ^TISAX® is via deelnemersregistratie, die online moet worden uitgevoerd op het ENX-portaal. Dit is de voorwaarde om een erkende assessment service provider zoals DQS te kunnen inschakelen.

Vertrouwen en expertise

Onze teksten en brochures worden uitsluitend geschreven door onze normexperts of auditors met een lange staat van dienst. Als u vragen hebt over de inhoud van de tekst of onze diensten aan onze auteur, neem dan contact met ons op.