Novo Catálogo ISA 6.0 válido a partir de 1 de abril de 2024

CONTEÚDO

Ameaças crescentes exigem ajustes no catálogo ISA

Labels de  "Disponibilidade": extensão às instalações de produção

Labels de "Confidencialidade": proteção de informações sensíveis

O que significam os novos requisitos para uma futura auditoria TISAX®?

ISO 27001 e IEC 62443 como uma base sólida

O catálogo ISA 6.0 muda em 2024: Conclusão

TISAX 6.0 - antecedentes

Ameaças crescentes exigem ajustes no catálogo ISA

Tendo em conta a grande importância e complexidade das cadeias de suprimentos, a segurança informação e cibernética de ponta a ponta desempenha um papel fundamental na indústria automotiva. Afinal de contas, os fornecedores estão intimamente envolvidos nos processos de desenvolvimento e produção. Isso significa que têm frequentemente acesso a informações altamente sensíveis e delicadas - e devem ter um elevado nível de resiliência. As tensões geopolíticas e a crescente digitalização e ligação em rede da cadeia de fornecimento estão a conduzir a riscos crescentes para a segurança da informação.

Como consequência desta dinâmica, o atual catálogo VDA ISA 5.1 foi atualizado. A versão 6.0 foi publicada em inglês a 16 de outubro de 2023 e disponibilizada para transferência.

O novo catálogo de perguntas ISA 6.0 constitui um marco significativo para o TISAX®.  Isto conduz a ajustamentos nos requisitos para os prestadores de serviços de auditoria estabelecidos nos regulamentos do TISAX® ACAR 2.2. A mudança para o inglês como língua principal do catálogo ISA 6.0 destaca a perspectiva global e os esforços conjuntos para continuar a desenvolver o catálogo de requisitos em grupos de trabalho globais. 

Novos labels substituem o conhecido labels "segurança da informação"

As principais alterações no catálogo da Avaliação da Segurança da Informação (ISA) 6.0 dizem respeito ao módulo "Segurança da Informação" e ao sistema de labels associado do TISAX®. No futuro, a conhecida labels "Segurança da Informação" será completamente substituída pelas duas labels "Disponibilidade" e "Confidencialidade".

Labels "Disponibilidade" no catálogo ISA 6.0: extensão às instalações de produção

No novo catálogo ISA, os labels “Disponibilidade alta” e “Disponibilidade muito alta” foram tornados mais específicos. Como resultado, os sistemas TO (Tecnologia Operacional) se tornarão um foco maior para auditorias futuras.

A crescente interligação de ambientes de produção, ou seja, Sistemas de Controle de Automação Industrial (IACS) e suas redes, resulta em uma série de novos desafios para a segurança da informação. As instalações de produção abrangem redes extremamente extensas com uma infinidade de tecnologias e protocolos especializados.

Em muitos aspectos, diferem fundamentalmente dos sistemas de TI: Os ambientes de produção são geralmente concebidos para funcionar durante muitos anos e, quando funcionam sem problemas, são deixados o mais intactos possível, exceto para trabalhos regulares de manutenção e reparação. Isso significa que sistemas operacionais, protocolos de comunicação ou algoritmos de criptografia desatualizados, por exemplo, ainda estão sendo usados em muitos componentes.

Durante muito tempo, os processos automáticos de atualização e correção eram indesejáveis ou, pelo menos, vistos com críticas. O receio era muito grande de que o complexo processo de produção pudesse ficar descoordenado e causar consideráveis prejuízos econômicos. Os sistemas distribuídos em larga escala e as redes de comunicação, aos quais muitos funcionários podem ter acesso, também oferecem múltiplos pontos de ataque físicos.

A confiabilidade e disponibilidade dos sistemas de produção automatizados são apenas extremamente importantes do ponto de vista comercial, mas também porque desvios no processo podem causar danos consideráveis e perdas financeiras.

Para integrar todos estes aspectos específicos de OT no catálogo ISA 6.0, a ENX e a VDA orientaram-se para a série de normas IEC 62443 internacionalmente válidas e, em particular, para a subsecção 2-1.

Label "Confidencialidade": Proteção de informações sensíveis

Se uma empresa é encarregada de informações rigorosa, ela deve provar que pode proteger essas informações adequadamente. Os labels "Confidencialidade alta" ou "Confidencialidade rigorosa" são usados para selecionar os requisitos do Catálogo ISA 6.0 que contribuem para esse objetivo de proteção.

O que isso significa para uma futura auditoria TISAX®? 

Os novos labels permitem auditorias de acordo com os possíveis papéis que um fornecedor desempenha na cadeia de suprimentos. Se um fornecedor foi identificado como especialmente importante para a cadeia de suprimentos, ele pode usar o label "Disponibilidade" para comprovar sua confiabilidade. Se um fornecedor for encarregado de informações particularmente sensíveis, ele pode usar o label "Confidencialidade" para provar que tomou precauções adequadas para proteger essas informações. Se um fornecedor assumir responsabilidade por ambos os papéis, ele poderá ser auditado para ambos os labels.

O mesmo conjunto de requisitos básicos deve ser atendido para ambos os labels. Além disso, existem requisitos específicos para necessidades de proteção high e very high para cada labels. Isso significa que a auditoria é realizada dependendo do label.

Também será feita uma transição do sistema de labels no banco de dados do TISAX®. No futuro, o label "Segurança da informação alta" será substituído pelos dois labels combinados "Disponibilidade high" e "Confidencialidade high". O mesmo se aplica ao labels "Segurança da informação very high", que será substituído pelos labels "Disponibilidade very high" e "Confidencialidade rigorosa" no futuro. Isso acontecerá automaticamente para todos os participantes que já possuem um label "segurança da informação" na plataforma TISAX®.

O principal objetivo das auditorias seletivas descritas acima é garantir que as empresas só precisem cumprir os requisitos do questionário ISA 6.0 que são relevantes para elas. Ao mesmo tempo, surgem novos desafios para as empresas de manufatura, já que os sistemas de OT agora devem ser gerenciados de forma semelhante àquela já geralmente exigida para os sistemas de TI do TISAX®.

Dependendo do caso individual, as empresas devem esperar requisitos adicionais que precisam ser reforçados no sistema de gestão de segurança da informação (ISMS) e que podem levar a maiores despesas.

Novos requisitos na versão 6.0

• Segurança e continuidade operacional: A OT desempenha um papel crucial nas instalações de produção, nas quais os sistemas automatizados, como o SIGC, são de importância central. Garantir a disponibilidade destes sistemas não é apenas uma questão de produtividade, mas também de segurança. Os funcionários trabalham frequentemente muito próximos destes sistemas automatizados e qualquer tipo de mau funcionamento pode representar um sério risco de segurança. Por exemplo, sensores ou controles OT incorretamente calibrados podem colocar em risco pessoas e equipamentos valiosos.
• Gestão de riscos: Com a inclusão da OT no escopo, as empresas precisam considerar os riscos específicos associados a esses sistemas. Os sistemas OT devem ser regulamentados, classificados e monitorados de forma que os riscos emergentes possam ser efetivamente combatidos. Pessoas responsáveis devem ser designadas para essas tarefas.
• Controle de acesso: O acesso dos prestadores de serviços às redes OT para fins de manutenção é uma questão crítica. Controles de acesso adequados e protocolos detalhados são essenciais para manter a segurança e a integridade dos sistemas OT.
• Competência do pessoal: O pessoal responsável pela operação dos sistemas OT deve ser adequadamente treinado, competente e estar ciente dos riscos potenciais da operação. As considerações relativas ao pessoal, incluindo a verificação de antecedentes para cargos sensíveis, são cruciais devido à criticidade destes sistemas.
• Gestão do ciclo de vida: A gestão eficaz dos sistemas OT ao longo do seu ciclo de vida, incluindo a reparação, o transporte e a eliminação, é fundamental para minimizar os riscos associados aos dados e ao acesso aos dispositivos locais.
• Medidas de segurança: Os OT devem ser protegidos contra potenciais ataques através de soluções de segurança robustas, como software antivírus, firewalls ou a redução de interfaces e serviços abertos.
• Auditorias e avaliação de vulnerabilidades: São necessárias auditorias técnicas regulares ao sistema para verificar o reforço dos sistemas OT de acordo com as especificações do fabricante e para identificar vulnerabilidades conhecidas.
• Segmentação da rede: As redes devem ser adequadamente segmentadas de acordo com o objetivo e o risco - também para proteger os ambientes de TI e OT uns dos outros.
• Backup e recuperação: Planos abrangentes de backup e recuperação são essenciais para garantir a continuidade do negócio nos sistemas OT.
• Níveis de serviço e monitorização: Devem ser estabelecidos níveis de serviço e definições de disponibilidade adequados e monitorizados continuamente para os serviços de rede OT.
• Prestadores externos: Se os prestadores de serviços externos utilizarem dispositivos OT, o nível de segurança da informação relativamente ao acesso e a outras informações armazenadas no dispositivo deve ser regulamentado para o prestador externo.

ISO 27001 e IEC 62443 como uma base sólida

Um SGSI em conformidade com a norma ISO 27001 já é um requisito legal em alguns sectores regulamentados. Em muitas indústrias, é também, oficial ou extraoficialmente, um requisito básico de conformidade para a celebração de contratos de serviços ou similares.

Como o questionário ISA 6.0 também se baseia nesta norma, um sistema de gestão de segurança da informação certificado já constitui uma boa base para uma auditoria TISAX®. No entanto, o TISAX® exige uma implementação específica do SGSI com requisitos detalhados de “shall” e “should”, além de requisitos adicionais para um nível de proteção high ou very high.

Para além do ISMS, a norma IEC 62443 e os novos requisitos resultantes no catálogo ISA fornecem uma base sólida. A subsecção 2 da norma descreve a estrutura de um sistema de gestão para a cibersegurança industrial. A subsecção 2-1 abrange, entre outras coisas, o estabelecimento de um programa de segurança para sistemas de automação e controle industrial.

Na elaboração destas áreas, a IEC (Comissão Electrotécnica Internacional) orientou-se novamente pela norma ISO 27001, muitos dos quais processos e mecanismos também podem ser aplicados a sistemas de controle. Isto significa que as redes de comunicação industrial e os sistemas de automação e controle (IACS) estão incluídos na auditoria.

Catálogo ISA 6.0: Que prazos se aplicam aos usuários?

A mudança para o catálogo de auditoria ISA 6.0 ocorrerá em 1º de abril de 2024. Qualquer pessoa que solicitar uma avaliação TISAX® até 31 de março inclusive ainda poderá ser auditada de acordo com o antigo catálogo ISA 5.1. As avaliações encomendadas a partir de 1º de abril do próximo ano só poderão ser realizadas de acordo com a nova versão 6.0 do catálogo ISA.

Por um lado, isto significa que a avaliação será mais complexa a partir de abril de 2024, mas, por outro lado, o aumento do nível de segurança valerá a pena para a sua empresa. É importante que se prepare para os novos requisitos numa fase inicial e que os implemente conscientemente, de modo a beneficiar da confiança acrescida no novo label TISAX®.

Todas as atividades de auditoria que dependem de avaliações existentes, tais como Avaliações de Planos de Ação Corretiva, Acompanhamentos, Avaliações de Extensão de Escopo ou Avaliações de Grupo Simplificadas, continuarão a ser realizadas de acordo com a versão ISA segundo a qual a avaliação original foi realizada.

Catálogo ISA 6.0 Alterações 2024: Conclusão

O lançamento do Catálogo ISA 6.0 é um acontecimento significativo no mundo em evolução das normas e da conformidade no setor automotivo. Esta atualização representa um compromisso contínuo com a excelência, a precisão e a importância crescente da segurança da informação na indústria automotiva. Com a introdução dos labels de confidencialidade e disponibilidade alterados e um âmbito mais amplo que abrange os sistemas de Tecnologia Operacional (OT), o setor automotivo continua a evoluir para padrões mais elevados de qualidade e segurança.

A DQS é aprovada pela ENX como prestadora de serviços de avaliação e, portanto, pode realizar avaliações TISAX® em todo o mundo. Temos auditores TISAX® que também são aprovados para a norma internacional de segurança da informação ISO 27001. Isto significa que ambas as normas podem ser avaliadas pela DQS ao mesmo tempo e com menos esforço adicional. 

Nota: O acesso ao TISAX® é feito através do registo de participantes, que deverá ser realizado online no portal ENX. Este é o pré-requisito para poder contratar um prestador de serviços de avaliação aprovado, como a DQS.

TISAX® 6.0 - informações básicas

TISAX® baseia-se no catálogo VDA ISA desenvolvido pela Associação Alemã da Indústria Automotiva (VDA), um questionário abrangente que se baseia essencialmente nos chamados "controles", as medidas de referência do Anexo A da norma de segurança da informação ISO 27001, e é adaptado a outros requisitos específicos do setor automotivo

Desde então, a norma de segurança da informação foi revisada e publicada como a nova ISO/IEC 27001:2022 em 25 de outubro de 2022. O Anexo A, em particular, é afetado pela revisão. Uma adaptação correspondente aos novos controles também foi feita com o ISA versão 6.0.

O TISAX® destina-se principalmente a empresas que pretendem ou necessitam de demonstrar um determinado nível de segurança e disponibilidade da informação para uma colaboração com um fabricante automotivo (participante). A Associação ENX, com sede em Frankfurt am Main e Paris, é responsável pela implementação e controle do procedimento. A ENX é uma associação de fabricantes de automóveis europeus, fornecedores e quatro associações nacionais do setor automotivo, incluindo a VDA, fundadora da ENX alemã.

Confiança e experiência 

Os nossos textos são escritos exclusivamente pelos nossos especialistas em normas ou por auditores de longa data. Se tiver alguma questão sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, entre em contato conosco.