Entrata in vigore: 1° aprile 2024.
Il rischi derivanti da incidenti legati alla cybersecurity sono nelle prime posizioni della classifica dei rischi più importanti per il business ,la sicurezza delle informazioni, insieme alla resilienza delle infrastrutture e dei sistemi, sono temi cruciali per la gestione della strategia aziendale.
VDA (l’Associazione dell’Industria Automobilistica Tedesca), aggiorna gli schemi di auditing e valutazione TISAX passando alla apportando un’importante modifica al proprio meccanismo di auditing e valutazione TISAX passando alla versione 6 della VDA-ISA (Information Security Assessment).
Transizione dal vecchio al nuovo schema
Le valutazioni TISAX® commissionate entro il 31 marzo 2024 potranno essere eseguite secondo la vecchia versione ISA 5.1.
Le nuove valutazioni o quelle di ricertificazione commissionate a partire dal 1° aprile 2024 saranno eseguite esclusivamente secondo la nuova procedura, in conformità alla versione 6.0. Le attività di audit che dipendono da audit esistenti, come le valutazioni dei piani di azione correttiva, le valutazioni di follow-up, le valutazioni di estensione dell’ambito o le valutazioni di gruppo semplificate continueranno a essere eseguite in conformità alla versione in base alla quale è stato eseguito l’audit originale.
Le principali novità
Disponibilità e resilienza nella catena di fornitura
Le precedenti versioni e nelle precedenti valutazioni, l’elemento portante è sempre stato la salvaguardia della riservatezza delle informazioni all’interno della filiera produttiva (know how specifici ,segreti industriali, da conoscenze tecniche dal valore altamente strategico in termini concorrenziali ecc.).
I nuovi scenari di rischio e i nuovi vettori di attacco (con in primis il rischio del blocco di produzione come conseguenza di un attacco ransomware) hanno però portato alla a riflettere su un altro aspetto di rischio da tenere fortemente in considerazione, ossia la Disponibilità delle informaizoni.
Il focus è stato posto sulla disponibilità delle informazioni e di tutti gli asset tecnologici, sia IT che OT, a supporto dei processi produttivi. In una value chain fortemente integrata, e con sistemi sempre più connessi, il blocco di forniture a vari livelli avrebbe un impatto fortemente negativo.
In conseguenza di ciò sono stati integrati all’interno della nuova VDA-ISA anche i requisiti dello standard per la sicurezza
dei sistemi industriali e dell’automazione ISA/IEC 62443-2-1 (“Security program requirements for IACS asset owners”).
Tutti i requisiti rilevanti all’interno della VDA-ISA 6.0 sono stati quindi allineati e mappati con i relativi requisiti dello standard ISA/IEC 62443-2-1.
Tra gli aggiornamenti di impatto importante merita una menzione l’inserimento del nuovo controllo 1.3.4 per la corretta valutazione e gestione del software da utilizzare all’interno delle organizzazioni, nonché l’aggiunta di requisiti per alcuni controlli già esistenti (ad esempio, per i controlli 5.2.6 e 5.3.1 specifici audit e assessment alla ricerca di vulnerabilità).
Ancora, il nuovo controllo 1.6.1 per riconoscere le potenziali minacce e quando riportarle al personale tecnico, nella maniera più efficace ed opportuna possibile, oppure il riconoscimento delle attività malevoli in corso per una necessaria risposta tempestiva secondo il nuovo controllo 1.6.2 per gli incidenti di sicurezza, con una particolare attenzione anche all’aspetto della corretta comunicazione verso tutti gli stakeholders interessati (clienti, fornitori ecc).
Infine, legata sempre alla risposta efficace agli eventi, l’evoluzione della pianificazione della continuità operativa introdotta grazie al nuovo controllo 5.2.8 e con il nuovo controllo 5.2.9 ottenere un livello di resilienza tale da non pregiudicare la catena produttiva, oppure attivare piani di emergenza e crisi come da nuovo controllo 1.6.3 .
Modifiche agli obiettivi dell’assessment e alle LABEL TISAX
L’introduzione del nuovo aspetto della disponibilità porta una sostanziale modifica agli obiettivi dell’assessment Tisax e alla definizione delle LABEL Tisax. Nel dettaglio, la LABEL attuale “Handling of Information with High Protection Need” (“Info High”) sarà suddivisa in “Confidential” and “High Availability”. Alla stessa maniera l’attuale LABEL “Handling of information with Very High Protection Need” sarà suddivisa in “Strictly Confidential” and “Very High Availability” come di seguito rappresentato (cfr . TISAX Participant Handbook).