Alles, was Sie über die Assessment Level nach TISAX® wissen müssen – kompakt und verständlich. In diesem Leitfaden erfahren Sie, welche Assessment Level es gibt, welche Voraussetzungen Sie erfüllen müssen und wie das Assessment abläuft.
TISAX®, kurz für Trusted Information Security Assessment Exchange, ist ein Prüf- und Austauschmechanismus, der speziell für die Automobilindustrie entwickelt wurde. Er dient als internationaler Standard zur Bewertung der Informationssicherheit von Unternehmen, die mit Automobilherstellern und Zulieferern zusammenarbeiten.
Seit dem Jahr 2000 ist TISAX® eine eingetragene Marke der ENX Association und hat sich als Sicherheitsstandard in der gesamten europäischen Automobilbranche etabliert. Obwohl die Zertifizierung grundsätzlich freiwillig ist, setzen viele Automobilhersteller sie mittlerweile als notwendige Bedingung für Geschäftsbeziehungen mit Zulieferern voraus. Wer mit deutschen Automobilherstellern kooperieren möchte, sollte daher in der Lage sein, seine Informationssicherheit durch eine Zertifizierung nach TISAX® nachzuweisen.
TISAX® basiert auf der internationalen Norm ISO 27001 für Informationssicherheit und ergänzt sie um spezifische Anforderungen zum Prototypenschutz und Datenschutz. Die Zertifizierungskriterien richten sich nach dem VDA-ISA-Fragenkatalog, der die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und die datenschutzrechtlichen Vorgaben für Zulieferer in der Automobilindustrie definiert.
Das Ziel der Zertifizierung ist es, eine sichere Weitergabe sensibler Informationen zwischen Automobilherstellern und ihren Partnern zu ermöglichen. Dabei erfolgt die Prüfung je nach individuellen Anforderungen auf drei Assessment Level.
TISAX® dient als zentraler Sicherheitsstandard in der Automobilbranche und ist eine entscheidende Voraussetzung für die Zusammenarbeit zwischen Zulieferern und Herstellern. Die Anforderungen an die Prüfung variieren jedoch: Sowohl die Intensität als auch die konkreten Prüfziele können unterschiedlich ausfallen.
Die Labels nach TISAX® definieren die jeweiligen Prüfziele. Wie gut die Anforderungen umgesetzt wurden, wird in Reifegraden gemessen und die Assessment Level fassen die Art der Prüfung zusammen. Insgesamt gibt es drei Level, in der Praxis spielen jedoch nur Level 2 und 3 eine Rolle.
Je höher das Level (AL 1, AL 2, AL 3), desto anspruchsvoller sind die Anforderungen. Um den spezifischen Kundenanforderungen gerecht zu werden, können Unternehmen zwischen Assessment Level 1 (AL 1), Assessment Level 2 (AL 2) und Assessment Level 3 (AL 3) wählen. Zusätzlich gibt es das „Zwischenlevel“ 2,5.
Um das Audit nach TISAX® erfolgreich zu bestehen, müssen Unternehmen bei Kontrollen einen Reifegrad von 3 oder höher vorweisen.
Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.
Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.
Das Assessment Level 1 nach TISAX® (AL1) ist das niedrigste Level und weist die geringste Vertrauensstufe auf. Die Bewertung erfolgt durch das Unternehmen selbst und basiert auf einer Selbsteinschätzung anhand des VDA-ISA-Fragenkatalogs. Eine externe Prüfung oder Verifizierung der Inhalte findet nicht statt.
AL 1 wird hauptsächlich für interne Zwecke genutzt. Es bietet Unternehmen eine gute Möglichkeit, ihre Informationssicherheit systematisch zu analysieren und erste Verbesserungen einzuleiten. Entscheidend ist lediglich, dass eine Selbsteinschätzung vorliegt – der genaue Inhalt dieser Bewertung wird dabei nicht überprüft.
Die wichtigsten Fakten zusammengefasst: Assessment Level 1 nach TISAX®
Da das Assessment Level 1 keine externe Prüfung erfordert und rein auf einer Selbsteinschätzung basiert, unterscheidet sich der Ablauf von den höheren Assessment Level nach TISAX®. Die Maßnahmen werden nicht von einem Prüfer bestätigt, sondern dienen primär als interne Orientierung und Vorbereitung auf Level 2 oder 3.
Unternehmen bewerten ihre Informationssicherheit anhand des VDA-ISA-Fragenkatalogs.
Es wird lediglich geprüft, ob eine Selbsteinschätzung vorliegt – nicht jedoch deren Inhalt oder Qualität.
Um sich auf Assessment Level 2 oder 3 vorzubereiten, sollten Unternehmen:
Wie bei AL 1 basiert auch Assessment Level 2 nach TISAX® auf einer Selbsteinschätzung des Unternehmens. Allerdings gibt es einen wesentlichen Unterschied: Die Bewertung wird zusätzlich von einem akkreditierten Auditor nach TISAX® auf Plausibilität geprüft und bestätigt.
Die Prüfung erfolgt anhand der Dokumentation des Unternehmens und wird in der Regel durch Telefon-Interviews und Plausibilitätsprüfungen remote ergänzt.
Die wichtigsten Fakten zusammengefasst: Assessment Level 2 nach TISAX®
Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und basiert auf einem standardisierten Fragebogen. Auf dieser Grundlage werden Maßnahmen entwickelt und Prozesse optimiert, bis die Konformität nach TISAX® von einem Prüfer abgenommen wird.
Der Prozess läuft in folgenden Schritten ab:
Selbstbewertung
In der ersten Phase erstellt das Unternehmen eine Selbstbewertung. Die Selbsteinschätzung erfolgt auf Grundlage des VDA-ISA-Fragenkatalogs. Dazu muss das Unternehmen die Anforderungen an TISAX® anhand seiner eigenen Informationssicherheitsorganisation und -prozesse bewerten.
Die Selbstbewertung wird von einem externen Auditor überprüft.
Remote-Audit
In der zweiten Phase führt der externe Auditor ein Remote-Audit durch. Dazu prüft er die Dokumente und Nachweise, die das Unternehmen in der Selbstbewertung eingereicht hat.
Das Remote-Audit erfolgt in der Regel in Form von Telefon-Interviews und beinhaltet Dokumentations- und Plausibilitätsprüfungen. Die Verifizierung der Selbsteinschätzung erfolgt meistens auf Grundlage der Aktenlage.
Neben Assessment Level 1, 2 und 3 gibt es auch noch das Assessment Level 2,5. Das AL 2,5 ist eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. In diesem Assessment führt der Auditor zwar ebenfalls eine vollständige Fernprüfung durch, aber er verifiziert, ob das ISMS des Unternehmens die geltenden Anforderungen erfüllt. Die on-site Prüfungen von Assessment Level 3 finden jedoch nicht statt.
Aufgrund der Verifizierung ist die Prüfung methodisch mit Assessment Level 3 kompatibel und ein Upgrade ist mit geringem Aufwand möglich. Wenn Unternehmen nur Assessment Level 2 benötigen, aber in Zukunft Assessment Level 3 nicht ausschließen, empfiehlt sich eine Prüfung nach AL 2,5.
Die wichtigsten Fakten zusammengefasst: Assessment Level 2,5 nach TISAX®
Das Assessment Level 3 nach TISAX® ist das höchste Level der Prüfung. Das Verfahren basiert ebenfalls auf der Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs.
Allerdings werden die Prüfergebnisse für das Assessment Level 3 nach TISAX® nicht nur remote geprüft, sondern zum AL 3 gehören auch Vor-Ort-Begehungen und Live-Interviews, die ein akkreditierter Auditor durchführt. Dabei werden die Prüfergebnisse verifiziert. Zusätzlich werden Dokumente und Nachweise geprüft, die Durchführung von Prozessen betrachtet, örtliche Gegebenheiten geprüft und ungeplante Interviews mit Prozessbeteiligten durchgeführt.
Die wichtigsten Fakten zusammengefasst: Assessment Level 3 nach TISAX®
Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und basiert auf einem standardisierten Fragebogen. Auf dieser Grundlage werden Maßnahmen entwickelt und Prozesse optimiert, bis die Konformität nach TISAX® von einem Prüfer abgenommen wird.
Das Ziel eines Assessments nach TISAX® ist die Listung des Unternehmens auf der TISAX®-Plattform. Unternehmen, die in der Liste als geprüft erscheinen wollen, registrieren sich zunächst und beauftragen dann einen akkreditierten Prüfdienstleister, der die Informationssicherheit im Unternehmen bewertet.
Die Prüfung für das Level 3 nach TISAX® findet als Vor-Ort-Begehung statt. Um die Wirksamkeit und den Reifegrad des tatsächlich umgesetzten ISMS beurteilen zu können, führt der Auditor grundsätzlich Vor-Ort-Begehungen und Live-Interviews durch – und zwar nicht nur in der Firmenzentrale, sondern potenziell an jedem Standort eines Unternehmens.
Das Assessment besteht zum einen aus einer grundlegenden Bewertung der Informationssicherheit. Zusätzlich können weitere Module wie Prototypenschutz und Datenschutz geprüft werden.
War die Prüfung erfolgreich, erstellt die ENX ein entsprechendes Label nach TISAX® in ihrer Datenbank, die alle Interessierten ansehen können. Das Label ist unter allen VDA-Mitgliedern und wichtigen Herstellern wie z. B. BMW, Audi oder Volkswagen anerkannt und meistens gefordert. Der Bericht über das Label und die erreichte Schutzklasse kann von den jeweiligen Unternehmen an entsprechende Kunden, die den Status nach TISAX® abfragen, weitergegeben werden.
Die Schritte im Überblick:
Unabhängig vom angestrebten Level müssen Unternehmen für ein Assessment nach TISAX® die folgenden Voraussetzungen erfüllen:
Neben den allgemeinen Voraussetzungen für Assessment Level 3 müssen Unternehmen, die sich für das höchste Assessment Level qualifizieren wollen, die folgenden zusätzlichen Anforderungen erfüllen:
TISAX® ist eine Grundvoraussetzung, um mit OEMs in der Automobilindustrie zusammenzuarbeiten. In der Regel geben die Hersteller vor, welches Label sie von ihren Partnern erwarten und welches Assessment Level nach TISAX® Sie anstreben sollten.
Die Ergebnisse des Assessments nach TISAX® sind drei Jahren lang gültig. Das gilt für Level 1, 2 und 3 nach TISAX®. Nach Ablauf dieses Zeitraums muss das Assessment erneut durchgeführt und das Label aktualisiert werden.
Für eine Zertifizierung nach TISAX® wird festgestellt, ob Ihr Unternehmen die relevanten Informationssicherheits-, Prototypenschutz- und Datenschutzanforderungen erfüllt.
Um ein Label nach TISAX® zu erhalten, muss ein aktives Informationssicherheits-Managementsystem (ISMS) etabliert sein. Dieses sollte an die spezifischen Sicherheitsanforderungen der Automobilindustrie angepasst sein.
Für eine erfolgreiche Zertifizierung nach TISAX® ist es zudem wichtig, dass unternehmensinterne Prozessabläufe und Dokumentationen bereits standardisiert sind. Die wichtigsten Voraussetzungen sollten idealerweise schon vor der Registrierung für ein Assessment erfüllt sein.
Werfen Sie einen Blick auf die wichtigsten Anforderungen:
Anforderungen, die für die jeweiligen Assessment Level erfüllt werden müssen, sind unter anderem die Folgenden:
| Assessment Level | Anforderung |
| Assessment Level 1 |
|
| Assessment Level 2 |
|
| Assessment Level 2,5 |
|
| Assessment Level 3 |
|
Hier erhalten Sie einen Überblick über die Prüfziele und die damit verbundenen ALs:
| Nummer | Prüfziel | Kategorie | Möglich mit AL... |
| 1 | Info high | Informationssicherheit | AL 2 |
| 2 | Info very high | Informationssicherheit | AL 3 |
| 3 | Confidential | Informationssicherheit | AL 2 |
| 4 | Strictly confidential | Informationssicherheit | AL 3 |
| 5 | High availability | Informationssicherheit | AL 2 |
| 6 | Very high availability | Informationssicherheit | AL 3 |
| 7 | Proto parts | Prototypenschutz | AL 3 |
| 8 | Proto vehicles | Prototypenschutz | AL 3 |
| 9 | Test vehicles | Prototypenschutz | AL 3 |
| 10 | Proto events | Prototypenschutz | AL 3 |
| 11 | Data | Informationssicherheit und Datenschutz | AL 2 |
| 12 | Special data | Informationssicherheit und Datenschutz | AL 3 |
Anforderungen, Prüfziele und Assessment Level sind wichtig – aber was kostet eine Zertifizierung nach TISAX® eigentlich? Es kommt darauf an.
Die Kosten lassen sich nicht pauschal beziffern, da sie von mehreren Faktoren abhängen:
Diese Faktoren beeinflussen den finanziellen Aufwand erheblich. Doch es gibt einige Fixkosten, die Unternehmen in jedem Fall einplanen sollten:
Mit einer Zertifizierung nach TISAX® zeigt Ihr Unternehmen, dass Sie Informationssicherheit ernst nehmen. Sie qualifizieren sich als zuverlässiger Partner in der Automobilindustrie und legen den Grundstein für eine erfolgreiche Zusammenarbeit mit OEMs.
Die Zertifizierung nach TISAX® bietet Ihrem Unternehmen damit eine Reihe von Vorteilen, darunter:
Die Zertifizierung nach TISAX® ist eine entscheidende Investition für Unternehmen in der Automobilbranche. Sie verbessert die Informationssicherheit, stärkt Geschäftsbeziehungen und eröffnet neue Marktchancen.
Wir kombinieren eine KI-gestützte Plattform mit der langjährigen Erfahrung unserer Experten, um Sie schnell und effizient durch den gesamten Zertifizierungsprozess zu führen.
Automatisieren Sie bis zu 75 % der TISAX®-Dokumentation, reduzieren Sie den manuellen Aufwand und erreichen Sie eine schnelle und kosteneffiziente Zertifizierung Ihres Automobilunternehmens.
Mit DataGuard haben Sie einen starken Partner an Ihrer Seite, der dank skalierbarer Sicherheitslösungen und kontinuierlicher Beratung dafür sorgt, dass Ihr Unternehmen langfristig den höchsten Sicherheits- und Bewertungsstandards der europäischen Automobilindustrie entspricht.
Assessment Levels sind Prüfintensitäten im Assessment nach TISAX®, die festlegen, wie detailliert und tiefgreifend ein Unternehmen geprüft wird. Je höher das Level, desto anspruchsvoller ist die Überprüfung durch einen Auditor.
Beim Level 2 prüft ein akkreditierter Auditor die Selbsteinschätzung des Unternehmens meist remote, anhand von Dokumenten und Interviews. Beim Level 3 kommen zusätzliche Vor-Ort-Begehungen und intensivere Verifizierungen zum Einsatz.
Grundsätzlich kann ein Unternehmen für ein Assessment nach TISAX® jedes der drei Level wählen, abhängig von den Anforderungen des Partners oder der OEMs. In der Praxis sind besonders Level 2 und 3 relevant, weil sie ein höheres Vertrauen schaffen.
Unabhängig vom Level müssen Unternehmen ein funktionierendes Informationssicherheits-Managementsystem (ISMS) aufgebaut haben und die Anforderungen des VDA-ISA-Fragenkatalogs erfüllen. Für höhere Levels sind zusätzlich externe Prüfungen und teils Vor-Ort-Checks nötig.
_EasiestSetup_EaseOfSetup.svg)
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Software-as-a-Service und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "Organization",
"@id": "www.dataguard.de#organization",
"name": "DataGuard",
"legalName": "DataCo GmbH",
"description": "DataGuard ist der führende europäische Anbieter von Security- und Compliance-Software und wird von über 4.000 Organisationen in mehr als 50 Ländern weltweit geschätzt. Wir helfen Ihnen, Sicherheits- und Compliance-Risiken zu identifizieren und zu managen, Compliance-Anforderungen zu erfüllen und Zertifizierungen schneller zu erreichen. Dabei kombinieren wir maßgeschneiderte Expertenberatung mit KI-gestützter Automatisierung. Unsere speziell entwickelte All-in-One-Plattform basiert auf mehr als 1,5 Millionen Stunden Erfahrung eines Teams zertifizierter Security- und Compliance-Experten.",
"foundingDate": "2018",
"taxID": "DE315880213",
"logo": "https://7759810.fs1.hubspotusercontent-na1.net/hubfs/7759810/DataGuardLogo.svg",
"url": "www.dataguard.de",
"email": "info@dataguard.de",
"telephone": "+49 89 452459 900",
"address": {
"@type": "PostalAddress",
"streetAddress": "Sandstrasse 33",
"addressLocality": "München",
"addressRegion": "Bayern",
"postalCode": "80335",
"addressCountry": "Deutschland"
},
"sameAs": [
"https://www.linkedin.com/company/dataguard1/",
"https://www.youtube.com/channel/UCEQzPZ6sCBCj9cAoBvaLL6w",
"https://x.com/i/flow/login?redirect_after_login=%2FDataGuard_dg"
]
}
]
}✅ Organization schema markup for "DataGuard" has been injected into the document head.