Aktualisierung des TISAX-Standards: Was Sie über den ISA-Katalog Version 6 wissen sollten
Mit der Veröffentlichung der Version 6 des ISA-Katalogs im Oktober 2023 wurden einige wichtige Änderungen am TISAX Standard eingeführt, die sich auf den Prüfprozess und die TISAX Labels als Ganzes sowie auf die inhaltlichen Anforderungen an ISMS auswirken. In diesem Artikel wollen wir zunächst die Änderungen am Label und am Prüfprozess selbst darstellen. In einem Folgeartikelgehen wir auf die inhaltlichen Änderungen genauer ein.
Änderungen an den Info-Labels
Bereits mit der Version 5.1 des ISA Katalogs hat die ENX angefangen, Prüfziele nach den klassischen Informationssicherheits-Zielen „Vertraulichkeit“ und „Verfügbarkeit“ zu differenzieren. Einige der Anforderungen sind seitdem mit „C“ für Vertraulichkeit („Confidentiality“) und „A“ für Verfügbarkeit („Availability“)ausgezeichnet. Dies spiegelt sich auch in den „Info“-Labels wieder, die seitdem in den Versionen „Hohe Verfügbarkeit“ und „Vertraulich“ für „Info High“ bzw. „Sehrhohe Verfügbarkeit“ und „Streng Vertraulich“ vorliegen.
Mit der Version 5 des ISA-Katalogs hatte diese praktisch jedoch kaum Auswirkungen, da nur sehr wenige Anforderungen differenziert nach den Zielen Vertraulichkeit und Verfügbarkeit betrachtet wurden. Dies ändert sich nun in Version 6, da weitere Anforderungen spezifisch für einzelne Zielehinzugefügt wurden.
In diesem Zuge verschwinden die alten „Info“-Labels und es werden nur noch die neuen Label verwendet. Alle Unternehmen mit bestehenden TISAX Label nach „Info“ Klassifikation erhalten automatisch zusätzlich die neuen Labels.
Übergang von der Version 5 zu 6
Der Stichtag für den Übergang von Version 5 zu Version 6 ist der 1. April 2024. Ab diesem Datum können Assessments durch Prüfdienstleisternach dem neuen ISA-Katalog abgelegt werden. Für bereits laufendeAssessment-Verfahren gilt über Übergangsfrist bis zum 30. September 2024. Nach den ENX-Statuten gilt ein Assessment als laufend, wenn ein Prüf-Scoperegistriert und ein Prüfdienstleister mit einem Assessment beauftragt ist.
Bis zum 31.03.2024 können also neue Assessment theoretisch noch nach ISA-Version 5.1 beauftragt werden. Dies wird in der Regel aber nur dann sinnvoll sein, wenn ein Unternehmen recht weit im Projektfortschritt der Umsetzung und Etablierung ist und „nur“ noch die Beauftragung des Prüfdienstleisters aussteht. Aber auch dann sollte sorgfältig geprüft werden, ob das Assessment nicht bereits nach der neuen Version abgelegt werden sollte. Dies verringert den Anpassungsaufwand an die neue Version spätestens bei der Verlängerung der Labels nach 3 Jahren.