Anforderungen für eine Zertifizierung nach TISAX®
Die TISAX® Anforderungen sind vergleichbar mit denen der ISO 27001. Im Kern müssen teilnehmende Unternehmen nachweisen, dass sie über ein etabliertes und zuverlässig funktionierendes Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen. Es ist tatsächlich so, dass der für TISAX® maßgebliche VDA-ISA Fragenkatalog – dieser wird herausgegeben von der ENX-Association, dem Dachverband der europäischen Automobilindustrie – keine weiteren Hinweise darauf gibt, wie das ISMS aufgebaut sein muss. Es wird schlicht wird vorausgesetzt.
Dennoch gibt es im Hinblick auf die TISAX® Anforderungen durchaus Unterschiede zur ISO 27001. Diese hängen von den angestrebten Prüfzielen und den damit verbundenen Assessment nach TISAX® Leveln ab. Es sind acht Prüfziele mit jeweils speziellen Anforderungen definiert: zwei für die Informationssicherheit, vier zum Thema Prototypenschutz und Schutz von Testfahrzeugen sowie weitere zwei im Bereich Datenschutz.
| Nr. | Prüfziel | Geltende Anforderungen |
| 1. | Umgang mit Informationen mit hohem Schutzbedarf |
Alle Anforderungen aus dem Kriterienkatalog "Informationssicherheit" (Spalten "Anforderungen (muss)" und "Anforderungen (sollte)") Außerdem die zusätzlichen Anforderungen in der Spalte "Zusatzanforderungen bei hohem Schutzbedarf" (sofern zutreffend) |
| 2. | Umgang mit Informationen mit sehr hohem Schutzbedarf |
Alle Anforderungen aus dem Kriterienkatalog "Informationssicherheit" (Spalten "Anforderungen (muss)" und "Anforderungen (sollte)") Außerdem die zusätzlichen Anforderungen in den Spalten "Zusatzanforderungen bei hohem Schutzbedarf" und "Zusatzanforderungen bei sehr hohem Schutzbedarf" (sofern zutreffend) |
| 3. | Schutz von Prototypenbauteilen und -Komponenten |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
|
| 4. | Schutz von Prototypenfahrzeugen |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
Außerdem die zusätzlichen Anforderungen in der Spalte "Zusatzanforderungen bei als schutzbedürftig klassifizierten Fahrzeugen" (sofern zutreffend) |
| 5. | Umgang mit Erprobungsfahrzeugen |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
|
| 6. | Schutz von Prototypen während der Veranstaltungen und Film- Fotoshootings |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
|
| 7. | Datenschutz |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Alle Anforderungen aus dem Kriterienkatalog "Datenschutz" |
| 8. | Datenschutz mit besonderen Kategorien personenbezogener Daten |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit sehr hohem Schutzbedarf" gelten Alle Anforderungen aus dem Kriterienkatalog "Datenschutz" |
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Erfüllung der TISAX® Anforderungen
Das geschieht im Rahmen des Assessments. Um die Zertifizierung nach TISAX® zu erhalten, müssen Unternehmen nachweisen, dass sie über ein geeignetes ISMS verfügen und die geforderten Standards und Prozesse einhalten. Der Nachweis erfolgt je nach Prüfziel, damit verbundenem Schutzbedarf und dem davon wiederum abhängigen Assessment Level durch ein Self-Assessment gemäß VDA-ISA Fragenkatalog, das Vorlegen entsprechender Dokumentationen und Nachweise sowie gegebenenfalls mithilfe von Interviews und Vor-Ort-Überprüfungen durch den ausgewählten Prüfdienstleister (Auditor).
Kriterien für die Anforderungen
Maßgeblich für das Assessment ist der VDA-ISA Fragenkatalog. Er wird sowohl für das Self-Assessment herangezogen als auch für Überprüfungen durch den Auditor. Beim VDA-ISA Fragenkatalog handelt es sich um ein strukturiertes Excel-Dokument mit 300 Fragen. Für jeden Prüfbereich sind darin sämtliche Teilzeile sowie die zugehörigen Kontrollfragen definiert. Zu jedem Teilziel finden sich im Excel-Dokument vier Anforderungsspalten, um die Anforderungen gemäß der unterschiedlich hohen Schutzbedarfe abzubilden. Im Überblick:
- Spalte 1 beschreibt die Muss-Anforderungen
- Spalte 2 beschreibt die Soll-Anforderungen
- Spalte 3 enthält Zusatzanforderungen bei hohem Schutzbedarf
- Spalte 4 enthält Zusatzanforderungen bei sehr hohem Schutzbedarf
Ob Ihr ISMS die Anforderungen erfüllt oder nicht, hängt auch davon ab, mit welchem Reifegrad der Auditor die Umsetzung für ein Teilziel bewertet. Es gibt sechs Reifegrade. Die Skala reicht von 0 für „unvollständig“ bis 5 für „optimierend“ im Sinne von „wird fortlaufend weiter verbessert“. Der Durchschnitt aller Teilergebnisse ergibt am Ende den Reifegrad des ISMS. Für die Zertifizierung nach TISAX® muss mindestens Reifegrad 3 erreicht werden.
| Reifegrad | In einem Wort | Beschreibung |
| 0 | Unvollständig | Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen |
| 1 | Durchgeführt | Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt ("informeller Prozess") und es existieren Indizien, dass er sein Ziel erreicht. |
| 2 | Gesteuert | Es wird einem Prozess gefolgt der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden. |
| 3 | Etabliert | Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde. |
| 4 | Vorhersagbar | Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators) |
| 5 | Optimierend | Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben. |
Sind die TISAX® Anforderungen an einen Konzern die gleichen wie an einen Kleinstbetrieb?
So wie die TISAX® Anforderungen im VDA-ISA Fragenkatalog formuliert sind, gelten sie für die theoretische Umsetzung in einem fiktionalen Durchschnittsunternehmen unbekannter Größe. Wir haben es hier also mit einer hoch standardisierten Prüfanleitung zu tun, die nicht in Stein gemeißelt ist, sondern vom Auditor je nach Art, Größe und Struktur eines Unternehmens ausgelegt werden soll. Deshalb heißt es im TISAX® Handbuch ausdrücklich: „Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.“
Was passiert bei nicht-Erfüllung der TISAX® Anforderungen
Im Idealfall stellt der Auditor nach einer TISAX® Überprüfung die Konformität Ihres ISMS fest. Die TISAX® Anforderungen werden im geforderten Umfang erfüllt. Sollte dies nicht der Fall sein, hat der Auditor entweder eine oder mehrere Haupt- beziehungsweise Nebenabweichungen ermittelt. Bei einem Prüfergebnis mit Nebenabweichungen kann der Prüfer ein vorläufiges TISAX® Label erteilen, es gilt eingeschränkt solange, bis sämtliche Nebenabweichungen beseitigt sind.
Anders sieht es aus, wenn der Prüfer eine oder mehrere Hauptabweichungen von den TISAX® Anforderungen feststellt. In diesen Fällen erhalten Sie das angestrebte TISAX® Label erst dann, wenn alle Schwachstellen und Probleme beseitigt sind. Dafür müssen Sie geeignete Kompensations- und Abhilfemaßnahmen entwickeln und diese dem Auditor vorlegen. Genehmigt er die vorgeschlagenen Maßnahmen, müssen diese erfolgreich umgesetzt werden. Je nach Einschätzung des Auditors kann dieser das Prüfergebnis dann von „hauptabweichend“ auf „nebenabweichend“ umdeklarieren und ein vorläufiges TISAX® Label erteilen. Solange dies nicht geschehen ist, kann Ihr Unternehmen im Automobilsektor keine Geschäfte tätigen.
Die größten Herausforderungen beim Umsetzen der TISAX® Anforderungen?
Die größten Herausforderungen liegen in der Organisation und dauerhaften Bereitstellung der nötigen Ressourcen. Ein ISMS-Aufbauprojekt gemäß TISAX® Anforderungen wird nur dann erfolgreich sein, wenn alle involviert sind, die an den geforderten Prozessen verantwortlich mitwirken. Und das sind je nach Unternehmen ziemlich viele Akteure und Abteilungen. Um deren Teilhabe zu managen und die richtigen Entscheidungen zur richtigen Zeit treffen zu können, muss ein TISAX® Projekt sehr strukturiert ablaufen und intern gut kommuniziert werden. Ein zweiter wichtiger Punkt ist die Stetigkeit. Ein ISMS gemäß TISAX® aufzubauen und im täglichen Betrieb zu etablieren, erfordert kontinuierliche Arbeit und in allen relevanten Bereichen entsprechende Ressourcen. Diese müssen dauerhaft bereitgestellt werden. Das Thema TISAX® darf nach dem Audit nicht abgehakt und ins Archiv verschoben werden.
Können kleine Unternehmen die TISAX® Anforderungen überhaupt erfüllen?
Definitiv ja. Der VDA-ISA Fragenkatalog ist so geschrieben, dass auch kleine und kleinste Unternehmen damit arbeiten können. Die TISAX® Anforderungen sind als Richtlinien zu verstehen, die nicht eins zu eins, sondern so umzusetzen sind, dass die angestrebten Prüfziele und der gewünschte Schutzbedarf in angemessener Wiese und hinreichendem Ausmaß erreicht werden. Ob und wann dies der Fall ist, das beurteilen die Prüfdienstleister für jedes Unternehmen individuell. Der Aufbau eines ISMS ist aber, genau wie das Audit selbst, immer mit Aufwand und Kosten verbunden. Insbesondere Kleinstbetriebe sollten daher abwägen, ob der Aufwand und die mit einer Zertifizierung nach TISAX® verbundenen Chancen in einem wirtschaftlich sinnvollen Verhältnis stehen.
Wichtigste Praxis-Tipps zum Erfüllen der TISAX® Anforderungen
Tipp 1 betrifft das Projektmanagement. Sowohl bei der Vorbereitung auf ein TISAX® Audit als auch für das kontinuierliche Erfüllen der TISAX® Anforderungen im laufenden Betrieb ist das Projektmanagement essenziell. Unternehmen sollten Aufbau, Struktur und Organisation ihres ISMS sorgsam planen und sehr systematisch angehen. Tipp 2 lautet: Haben Sie dabei insbesondere das Ressourcenthema im Auge. Denn um die TISAX® Anforderungen zu erfüllen, müssen im Unternehmen viele Parteien aus unterschiedlichen Abteilungen involviert werden – am besten frühzeitig und in vorhergeplantem Umfang auch dauerhaft. Denn ein ISMS gemäß TISAX® ist weder zeitlich begrenzt noch ein reines IT-Projekt. Dessen sollten sich Interessenten bewusst sein und sich im TISAX® Projekt entsprechend aufstellen. Dabei unterstützen die ISMS- und TISAX®-Experten von DataGuard gerne.
Wenn wir die TISAX® Anforderungen erfüllen, können wir das ISO 27001 Zertifikat dann nicht gleich mitmachen?
Das ist richtig und gilt auch umgekehrt. Eine der Kernanforderungen von TISAX® ist ja ein etabliertes ISMS gemäß ISO 27001. TISAX® setzt voraus, dass ein solches ISMS vorhanden ist. Zu beachten sind bei TISAX® lediglich noch ein paar speziell auf die Anforderungen der Automobilbranche abgestimmte Maßnahmen – insbesondere im Bereich des physischen Prototypenschutzes. Kurz: Es gibt bei den Zertifizierungen nach ISO 27001 und TISAX® starke Überschneidungen, sodass die beide Zertifizierungsprojekte parallel angegangen und im Paket gemanagt werden können, auch wenn dies den Aufwand sicherlich noch mal erhöht.
Fazit
Die TISAX® Anforderungen sind hoch. Beschrieben werden sie im VDA-ISA Fragenkatalog – nicht eins zu eins verbindlich, sondern generalisiert. Dies lässt den Prüfdienstleistern die nötigen Spielräume in der Auslegung, sodass prinzipiell jedes Unternehmen, unabhängig von seiner Größe und Organisation, die TISAX® Anforderungen erfüllen kann. Damit dies im Einzelfall zielsicher gelingt, stehen die Experten von DataGuard interessierten Unternehmen mit Rat und Tat zur Seite.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Sie planen sich nach TISAX® zertifizieren zu lassen?
Dann brauchen Sie diese Checkliste zur Vorbereitung auf Ihr Assessment nach TISAX®.
