Insights

Insights in TISAX®

VDA® ISA 7.0: Was sich 2027 für TISAX® ändert

Christopher Eller
Christopher Eller
Gründer von Valiido und TÜV® SÜD zertifizierter ISO® 27001 Auditor
VDA® ISA 7.0: Was sich 2027 für TISAX® ändert

Am 1. Juli 2026 hat der VDA® den Nachfolger von ISA 6 veröffentlicht (zur offiziellen Mitteilung des VDA®) - die neue Version des Fragenkatalogs, auf dem jedes TISAX®-Assessment basiert. Viele haben ihn als ISA 7.0 erwartet; offiziell heißt er ISA 2027, denn der VDA® ist auf jahresbasierte Versionsnamen umgestiegen. Wir haben die offiziellen Kataloge Zeile für Zeile verglichen - ISA 6 gegen ISA 2027 - und jede einzelne Control-Änderung eingestuft. Dieser Artikel fasst zusammen, was sich wirklich ändert; der komplette Katalog-Diff Control für Control ist frei nutzbar.

Die wichtigsten Fakten in Zahlen

  • Neue Namenskonvention: Der Katalog heißt jetzt nach dem Jahr (2027) statt nach Versionsnummer (7.0). Stand: 1. Juli 2026.
  • Informationssicherheit: 46 Controls vorher, 46 nachher. Keine Control-Explosion - aber 44 der 46 Controls wurden angefasst. Das meiste sind Präzisierungen; bei 25 Controls kommen Anforderungen hinzu, entfallen oder wandern zwischen den Ebenen.
  • Prototypenschutz: aus 22 Controls werden 20, das Modul ist komplett neu strukturiert: aus fünf Abschnitten (8.1 bis 8.5) werden zwei (8.1 organisatorisch, 8.2 physische Sicherheit).
  • Datenschutz: unverändert. Alle 12 Controls von Kapitel 9 sind wortgleich mit ISA 6.
  • Neues Framework-Mapping: ISA 2027 verweist auf NIST CSF 2.0 und ISO/IEC 27001:2022; die alten Verweise auf ISO 27001:2013 sind gestrichen.
Informiert werden, sobald ISA 2027 in Kraft tritt:

Kapitel für Kapitel: Wo sich wirklich etwas ändert

KapitelWas sich ändertUnsere Einstufung
1 - IS-RichtlinienKrisenmanagement neu (1.6.3), Richtlinien-Pflichten jetzt verbindlich (1.1.1)Major Change
2 - Human ResourcesTeleworking neu gefasst, mit konkreten Muss-Anforderungen (2.1.4)Major Change
3 - Physische SicherheitEinzelne Anforderungen präzisiertMinor Change
4 - Access ManagementPasswort- und Login-Regeln verschärftMinor Change
5 - IT-SicherheitViele kleine Änderungen, Ergänzungen bei hohem SchutzbedarfMinor Change
6 - LieferantenNachweispflichten für Lieferanten verschärft, 1.2.4 wird 6.1.3Major Change
7 - ComplianceNur UmformulierungenMinor Change
8 - PrototypenschutzKomplett neu strukturiert, aus 22 Controls werden 20Major Change
9 - DatenschutzKeine ÄnderungenUnchanged

Jede Einstufung ist belegbar: Unser interaktiver Katalog-Diff zeigt für jedes Control die exakten Textänderungen - gestrichener Text durchgestrichen, neuer Text markiert.

Zum kompletten Katalog-Diff - jedes Control, jede Änderung

Schon auf Valiido? Dann steht ISA 2027 nicht auf Ihrer To-do-Liste: Valiido aktualisiert den Katalog und alle Inhalte für TISAX® automatisch, rechtzeitig zur Umstellung. Sie arbeiten weiter, wir kümmern uns um die neue Version. So bereitet Valiido Sie auf TISAX® vor

Aus Empfehlungen werden Pflichten

Das folgenreichste Muster im ISA 2027 ist unauffällig: Anforderungen wandern von der Soll-Ebene (should) auf die Muss-Ebene (must). Zwei Beispiele aus unserem Vergleich:

  • Control 1.1.1: Richtlinien den Mitarbeitenden in geeigneter Form zugänglich zu machen und Mitarbeitende wie externe Partner über relevante Änderungen zu informieren, war bisher eine Soll-Anforderung. Im ISA 2027 ist es eine Muss-Anforderung - Auditoren werden sie als verbindlich behandeln.
  • Control 4.1.2: Passwörter nach Stand der Technik rücken von der Randnotiz in die regulären Soll-Anforderungen auf.

Wenn Ihr Informationssicherheits-Managementsystem (ISMS) darauf gebaut war, die Muss-Schwelle von ISA 6 gerade so zu erfüllen, entstehen genau an diesen Hochstufungen die ersten neuen Lücken. Für den aktuellen Katalog bleibt unser detaillierter Leitfaden zum VDA® ISA-Katalog 6 bis zur Umstellung die Referenz.

Die Lieferkette rückt in den Fokus

Control 1.2.4 (externe IT-Dienstleister) wandert als neues Control 6.1.3 in Kapitel 6 - für sich genommen schon ein Signal. Die Pflicht, die Anwendbarkeit der ISA-Controls je IT-Dienstleister zu bewerten und zu dokumentieren, bleibt dabei wie in ISA 6; die Änderungshistorie des Katalogs benennt sie jetzt erstmals als Supplier Statement of Applicability (Supplier SoA). Wirklich verschärft ist 6.1.1: Bei hohem Schutzbedarf müssen Nachweise zur Lieferanten-Sicherheit jetzt dokumentiert sowie regelmäßig und anlassbezogen überprüft werden - und bei sehr hohem Schutzbedarf wird ein Drittaudit bzw. ein passendes TISAX®-Label des Lieferanten erwartet. Das Lieferantenmanagement wird damit zu einem der Bereiche, in denen der Vorbereitungsaufwand sichtbar wächst.

Prototypenschutz: umgebaut, nicht erweitert

Das Prototypenschutz-Modul ist die größte strukturelle Änderung: Die fünf Abschnitte von ISA 6 (8.1 bis 8.5) werden zu zwei Abschnitten reorganisiert (8.1 organisatorische Anforderungen, 8.2 physische und Umgebungssicherheit), Controls werden zusammengeführt, veraltete Inhalte entfernt. Die Zahl sinkt von 22 auf 20 Controls. Wer Prototypenschutz im Scope hat, muss seine Dokumentationsstruktur neu zuordnen - auch dort, wo die Maßnahmen selbst gleich bleiben.

Was ruhig bleibt: der Datenschutz

Kapitel 9 (Datenschutz) ist unangetastet - alle 12 Controls sind wortgleich mit ISA 6. Wenn Ihr Scope das Datenschutz-Modul umfasst, ändert sich dort nichts.

Ab wann gilt der ISA 2027?

Der Katalog selbst enthält keinen Stichtag - den verbindlichen Umstellungstermin für TISAX®-Assessments legt ENX® fest. Beim Vorgänger ISA 6 vergingen zwischen Veröffentlichung und verpflichtender Anwendung für neue Assessments rund sechs Monate. Bis ENX® den Termin bekannt gibt, laufen Assessments weiter auf Basis von ISA 6.

Informiert werden, sobald ISA 2027 in Kraft tritt:

Was Sie jetzt tun sollten

  • Keine Panik-Migration: ISA 6 bleibt der geprüfte Katalog, bis ENX® den Stichtag festlegt.
  • Zuerst die substanziellen Kapitel prüfen: Kapitel 1, 2, 6 und 8 tragen die echten Änderungen - Krisenmanagement, Teleworking, Lieferantenmanagement und Prototypenschutz.
  • Die should-zu-must-Hochstufungen checken: Anforderungen, die Sie bisher als optional behandelt haben, können jetzt verbindlich sein.
  • Den Diff nutzen, statt die komplette Excel-Tabelle durchzugehen: Der Katalog-Vergleich zeigt nur, was sich tatsächlich geändert hat - nach Schwere eingestuft.

Für Valiido-Kunden: Die Umstellung ist unsere Aufgabe

Wenn Ihr ISMS auf Valiido läuft, ist ISA 2027 nicht Ihr Projekt - sondern unseres. Wir verfolgen den Katalog, arbeiten die Änderungen in die Plattform ein und aktualisieren die Inhalte für TISAX® rechtzeitig zur Umstellung. Sie müssen keine neuen Kataloge lesen, keine Dokumentation neu zuordnen und kein Migrationsprojekt starten. Der Guide führt Sie weiter Schritt für Schritt durch jede Anforderung für TISAX® und ISO® 27001 in der aktualisierten Fassung, und AuditMagic prüft Ihre Dokumentation gegen ISO® 27001, TISAX® und Valiido-Best-Practices - eine neue Katalog-Version wird so zum kurzen Review statt zum Neustart. Sehen Sie, wie Valiido Sie auf TISAX® vorbereitet.

Häufig gestellte Fragen

Gibt es einen VDA® ISA 7.0?

Nein. Der VDA® ist auf jahresbasierte Versionsnamen umgestiegen: Der Nachfolger von ISA 6 heißt offiziell ISA 2027, veröffentlicht am 1. Juli 2026. Wer nach ISA 7.0 sucht, meint den ISA 2027.

Was ist der VDA® ISA 2027?

Der VDA® ISA ist der Fragenkatalog, auf dem alle TISAX®-Assessments basieren. ISA 2027 ist der Nachfolger von ISA 6, veröffentlicht vom VDA® am 1. Juli 2026, mit neuer jahresbasierter Namenskonvention, aktualisierten Anforderungen und Mappings auf ISO/IEC 27001:2022 und NIST CSF 2.0.

Ab wann ist ISA 2027 für TISAX®-Assessments verpflichtend?

Den verbindlichen Umstellungstermin legt ENX® fest; er war zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht bekannt. Beim ISA 6 vergingen zwischen Veröffentlichung und verpflichtender Anwendung rund sechs Monate. Bis dahin laufen Assessments auf Basis von ISA 6.

Wie viele Controls hat der ISA 2027?

Die Informationssicherheit behält 46 Controls (wie ISA 6), der Prototypenschutz sinkt von 22 auf 20 Controls in einem komplett neu strukturierten Modul, der Datenschutz behält seine 12 Controls unverändert.

Was ändert sich beim Prototypenschutz?

Das Modul ist komplett neu strukturiert: Aus fünf Abschnitten werden zwei (organisatorisch und physisch), Controls werden zusammengeführt, veraltete Inhalte entfernt. Unternehmen mit Prototypenschutz im Scope müssen ihre Dokumentation neu zuordnen.

Muss ich mein ISMS für ISA 2027 umbauen?

Nein. Das Informationssicherheits-Modul behält Struktur und Control-Anzahl; die meisten Änderungen sind Präzisierungen, Hochstufungen von should zu must und gezielte Ergänzungen - konzentriert auf die Kapitel 1, 2, 5, 6 und 8. Für ein gepflegtes ISMS reicht ein Gap-Review gegen die geänderten Controls - und Valiido-Kunden bekommen die Katalog-Umstellung als Teil der Plattform erledigt.

Fazit

ISA 2027 ist eine Evolution mit Biss: Die Struktur bleibt, aber Anforderungen werden verbindlicher, die Lieferkette bekommt mehr Gewicht, und der Prototypenschutz wird neu gebaut. Wer die substanziellen Kapitel früh prüft, erledigt die Umstellung als Routine-Wartung. Wenn Sie neu im Prozess sind, lesen Sie unseren Guide zum TISAX®-Assessment.

Alle Änderungen im kompletten Katalog-Diff ansehen

Valiido ist nicht mit ISO®, TISAX®, ENX® oder VDA® verbunden. Diese Marken gehören ihren jeweiligen Eigentümern.

Methodik & Quellen

Die Analyse basiert auf einem automatisierten zeilenweisen Vergleich der offiziellen englischen Katalog-Fassungen ISA 6.0.3 und ISA 2027 (Juli 2026) über die Anforderungsfelder aller Controls der Module Informationssicherheit, Prototypenschutz und Datenschutz. Jede Änderung wurde danach eingestuft (substanziell / major / minor), ob Anforderungszeilen hinzukommen, entfallen oder zwischen must/should/Schutzbedarf wandern; die vollständige Beleglage ist in unserem Katalog-Diff öffentlich. Maßgeblich sind ausschließlich die Originalkataloge von VDA®/ENX®.

Ihr ISMS für ISO® 27001 und TISAX®

Valiido bündelt alles, was Sie brauchen - Richtlinien, 1-Klick-Beispiele, 10+ Module und einen geführten Pfad - in einer Plattform mit unbegrenztem Support.

Setzen Sie Ihr ISMS selbst um, für einen Bruchteil der Kosten eines Beratungsprojekts.

Plan wählen und heute starten.

  • Pre-Audit Check vom Experten im Pro-Plan enthalten
  • Kreditkarte oder SEPA - sofortiger Zugang
  • Unbegrenzter Support per E-Mail und Chat

Weitere Beitrage

Christopher Eller, Gründer von Valiido Christopher, Gründer Fragen? Schreiben Sie mir.