Insights in TISAX®
VDA® ISA 7.0: Was sich 2027 für TISAX® ändert
Am 1. Juli 2026 hat der VDA® den Nachfolger von ISA 6 veröffentlicht (zur offiziellen Mitteilung des VDA®) - die neue Version des Fragenkatalogs, auf dem jedes TISAX®-Assessment basiert. Viele haben ihn als ISA 7.0 erwartet; offiziell heißt er ISA 2027, denn der VDA® ist auf jahresbasierte Versionsnamen umgestiegen. Wir haben die offiziellen Kataloge Zeile für Zeile verglichen - ISA 6 gegen ISA 2027 - und jede einzelne Control-Änderung eingestuft. Dieser Artikel fasst zusammen, was sich wirklich ändert; der komplette Katalog-Diff Control für Control ist frei nutzbar.
Die wichtigsten Fakten in Zahlen
- Neue Namenskonvention: Der Katalog heißt jetzt nach dem Jahr (2027) statt nach Versionsnummer (7.0). Stand: 1. Juli 2026.
- Informationssicherheit: 46 Controls vorher, 46 nachher. Keine Control-Explosion - aber 44 der 46 Controls wurden angefasst. Das meiste sind Präzisierungen; bei 25 Controls kommen Anforderungen hinzu, entfallen oder wandern zwischen den Ebenen.
- Prototypenschutz: aus 22 Controls werden 20, das Modul ist komplett neu strukturiert: aus fünf Abschnitten (8.1 bis 8.5) werden zwei (8.1 organisatorisch, 8.2 physische Sicherheit).
- Datenschutz: unverändert. Alle 12 Controls von Kapitel 9 sind wortgleich mit ISA 6.
- Neues Framework-Mapping: ISA 2027 verweist auf NIST CSF 2.0 und ISO/IEC 27001:2022; die alten Verweise auf ISO 27001:2013 sind gestrichen.
Kapitel für Kapitel: Wo sich wirklich etwas ändert
| Kapitel | Was sich ändert | Unsere Einstufung |
|---|---|---|
| 1 - IS-Richtlinien | Krisenmanagement neu (1.6.3), Richtlinien-Pflichten jetzt verbindlich (1.1.1) | Major Change |
| 2 - Human Resources | Teleworking neu gefasst, mit konkreten Muss-Anforderungen (2.1.4) | Major Change |
| 3 - Physische Sicherheit | Einzelne Anforderungen präzisiert | Minor Change |
| 4 - Access Management | Passwort- und Login-Regeln verschärft | Minor Change |
| 5 - IT-Sicherheit | Viele kleine Änderungen, Ergänzungen bei hohem Schutzbedarf | Minor Change |
| 6 - Lieferanten | Nachweispflichten für Lieferanten verschärft, 1.2.4 wird 6.1.3 | Major Change |
| 7 - Compliance | Nur Umformulierungen | Minor Change |
| 8 - Prototypenschutz | Komplett neu strukturiert, aus 22 Controls werden 20 | Major Change |
| 9 - Datenschutz | Keine Änderungen | Unchanged |
Jede Einstufung ist belegbar: Unser interaktiver Katalog-Diff zeigt für jedes Control die exakten Textänderungen - gestrichener Text durchgestrichen, neuer Text markiert.
Zum kompletten Katalog-Diff - jedes Control, jede Änderung
Schon auf Valiido? Dann steht ISA 2027 nicht auf Ihrer To-do-Liste: Valiido aktualisiert den Katalog und alle Inhalte für TISAX® automatisch, rechtzeitig zur Umstellung. Sie arbeiten weiter, wir kümmern uns um die neue Version. So bereitet Valiido Sie auf TISAX® vor
Aus Empfehlungen werden Pflichten
Das folgenreichste Muster im ISA 2027 ist unauffällig: Anforderungen wandern von der Soll-Ebene (should) auf die Muss-Ebene (must). Zwei Beispiele aus unserem Vergleich:
- Control 1.1.1: Richtlinien den Mitarbeitenden in geeigneter Form zugänglich zu machen und Mitarbeitende wie externe Partner über relevante Änderungen zu informieren, war bisher eine Soll-Anforderung. Im ISA 2027 ist es eine Muss-Anforderung - Auditoren werden sie als verbindlich behandeln.
- Control 4.1.2: Passwörter nach Stand der Technik rücken von der Randnotiz in die regulären Soll-Anforderungen auf.
Wenn Ihr Informationssicherheits-Managementsystem (ISMS) darauf gebaut war, die Muss-Schwelle von ISA 6 gerade so zu erfüllen, entstehen genau an diesen Hochstufungen die ersten neuen Lücken. Für den aktuellen Katalog bleibt unser detaillierter Leitfaden zum VDA® ISA-Katalog 6 bis zur Umstellung die Referenz.
Die Lieferkette rückt in den Fokus
Control 1.2.4 (externe IT-Dienstleister) wandert als neues Control 6.1.3 in Kapitel 6 - für sich genommen schon ein Signal. Die Pflicht, die Anwendbarkeit der ISA-Controls je IT-Dienstleister zu bewerten und zu dokumentieren, bleibt dabei wie in ISA 6; die Änderungshistorie des Katalogs benennt sie jetzt erstmals als Supplier Statement of Applicability (Supplier SoA). Wirklich verschärft ist 6.1.1: Bei hohem Schutzbedarf müssen Nachweise zur Lieferanten-Sicherheit jetzt dokumentiert sowie regelmäßig und anlassbezogen überprüft werden - und bei sehr hohem Schutzbedarf wird ein Drittaudit bzw. ein passendes TISAX®-Label des Lieferanten erwartet. Das Lieferantenmanagement wird damit zu einem der Bereiche, in denen der Vorbereitungsaufwand sichtbar wächst.
Prototypenschutz: umgebaut, nicht erweitert
Das Prototypenschutz-Modul ist die größte strukturelle Änderung: Die fünf Abschnitte von ISA 6 (8.1 bis 8.5) werden zu zwei Abschnitten reorganisiert (8.1 organisatorische Anforderungen, 8.2 physische und Umgebungssicherheit), Controls werden zusammengeführt, veraltete Inhalte entfernt. Die Zahl sinkt von 22 auf 20 Controls. Wer Prototypenschutz im Scope hat, muss seine Dokumentationsstruktur neu zuordnen - auch dort, wo die Maßnahmen selbst gleich bleiben.
Was ruhig bleibt: der Datenschutz
Kapitel 9 (Datenschutz) ist unangetastet - alle 12 Controls sind wortgleich mit ISA 6. Wenn Ihr Scope das Datenschutz-Modul umfasst, ändert sich dort nichts.
Ab wann gilt der ISA 2027?
Der Katalog selbst enthält keinen Stichtag - den verbindlichen Umstellungstermin für TISAX®-Assessments legt ENX® fest. Beim Vorgänger ISA 6 vergingen zwischen Veröffentlichung und verpflichtender Anwendung für neue Assessments rund sechs Monate. Bis ENX® den Termin bekannt gibt, laufen Assessments weiter auf Basis von ISA 6.
Was Sie jetzt tun sollten
- Keine Panik-Migration: ISA 6 bleibt der geprüfte Katalog, bis ENX® den Stichtag festlegt.
- Zuerst die substanziellen Kapitel prüfen: Kapitel 1, 2, 6 und 8 tragen die echten Änderungen - Krisenmanagement, Teleworking, Lieferantenmanagement und Prototypenschutz.
- Die should-zu-must-Hochstufungen checken: Anforderungen, die Sie bisher als optional behandelt haben, können jetzt verbindlich sein.
- Den Diff nutzen, statt die komplette Excel-Tabelle durchzugehen: Der Katalog-Vergleich zeigt nur, was sich tatsächlich geändert hat - nach Schwere eingestuft.
Für Valiido-Kunden: Die Umstellung ist unsere Aufgabe
Wenn Ihr ISMS auf Valiido läuft, ist ISA 2027 nicht Ihr Projekt - sondern unseres. Wir verfolgen den Katalog, arbeiten die Änderungen in die Plattform ein und aktualisieren die Inhalte für TISAX® rechtzeitig zur Umstellung. Sie müssen keine neuen Kataloge lesen, keine Dokumentation neu zuordnen und kein Migrationsprojekt starten. Der Guide führt Sie weiter Schritt für Schritt durch jede Anforderung für TISAX® und ISO® 27001 in der aktualisierten Fassung, und AuditMagic prüft Ihre Dokumentation gegen ISO® 27001, TISAX® und Valiido-Best-Practices - eine neue Katalog-Version wird so zum kurzen Review statt zum Neustart. Sehen Sie, wie Valiido Sie auf TISAX® vorbereitet.
Häufig gestellte Fragen
Gibt es einen VDA® ISA 7.0?
Nein. Der VDA® ist auf jahresbasierte Versionsnamen umgestiegen: Der Nachfolger von ISA 6 heißt offiziell ISA 2027, veröffentlicht am 1. Juli 2026. Wer nach ISA 7.0 sucht, meint den ISA 2027.
Was ist der VDA® ISA 2027?
Der VDA® ISA ist der Fragenkatalog, auf dem alle TISAX®-Assessments basieren. ISA 2027 ist der Nachfolger von ISA 6, veröffentlicht vom VDA® am 1. Juli 2026, mit neuer jahresbasierter Namenskonvention, aktualisierten Anforderungen und Mappings auf ISO/IEC 27001:2022 und NIST CSF 2.0.
Ab wann ist ISA 2027 für TISAX®-Assessments verpflichtend?
Den verbindlichen Umstellungstermin legt ENX® fest; er war zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht bekannt. Beim ISA 6 vergingen zwischen Veröffentlichung und verpflichtender Anwendung rund sechs Monate. Bis dahin laufen Assessments auf Basis von ISA 6.
Wie viele Controls hat der ISA 2027?
Die Informationssicherheit behält 46 Controls (wie ISA 6), der Prototypenschutz sinkt von 22 auf 20 Controls in einem komplett neu strukturierten Modul, der Datenschutz behält seine 12 Controls unverändert.
Was ändert sich beim Prototypenschutz?
Das Modul ist komplett neu strukturiert: Aus fünf Abschnitten werden zwei (organisatorisch und physisch), Controls werden zusammengeführt, veraltete Inhalte entfernt. Unternehmen mit Prototypenschutz im Scope müssen ihre Dokumentation neu zuordnen.
Muss ich mein ISMS für ISA 2027 umbauen?
Nein. Das Informationssicherheits-Modul behält Struktur und Control-Anzahl; die meisten Änderungen sind Präzisierungen, Hochstufungen von should zu must und gezielte Ergänzungen - konzentriert auf die Kapitel 1, 2, 5, 6 und 8. Für ein gepflegtes ISMS reicht ein Gap-Review gegen die geänderten Controls - und Valiido-Kunden bekommen die Katalog-Umstellung als Teil der Plattform erledigt.
Fazit
ISA 2027 ist eine Evolution mit Biss: Die Struktur bleibt, aber Anforderungen werden verbindlicher, die Lieferkette bekommt mehr Gewicht, und der Prototypenschutz wird neu gebaut. Wer die substanziellen Kapitel früh prüft, erledigt die Umstellung als Routine-Wartung. Wenn Sie neu im Prozess sind, lesen Sie unseren Guide zum TISAX®-Assessment.
Alle Änderungen im kompletten Katalog-Diff ansehen
Valiido ist nicht mit ISO®, TISAX®, ENX® oder VDA® verbunden. Diese Marken gehören ihren jeweiligen Eigentümern.
Methodik & Quellen
Die Analyse basiert auf einem automatisierten zeilenweisen Vergleich der offiziellen englischen Katalog-Fassungen ISA 6.0.3 und ISA 2027 (Juli 2026) über die Anforderungsfelder aller Controls der Module Informationssicherheit, Prototypenschutz und Datenschutz. Jede Änderung wurde danach eingestuft (substanziell / major / minor), ob Anforderungszeilen hinzukommen, entfallen oder zwischen must/should/Schutzbedarf wandern; die vollständige Beleglage ist in unserem Katalog-Diff öffentlich. Maßgeblich sind ausschließlich die Originalkataloge von VDA®/ENX®.