Wie Sie ermitteln, ob Sie Anforderungen für TISAX® erfüllen

Wer als Automobilzulieferer tätig sein und mit den großen OEMs zusammenarbeiten will, muss die TISAX® Anforderungen erfüllen. TISAX® ist der Prüf- und Austauschmechanismus der Automobilindustrie zum Nachweis der speziell geforderten Informationssichert im Unternehmen. TISAX® steht für Trusted Information Security Assessment Exchange. Die wichtigsten Fragen und Antworten zu den TISAX® Anforderungen haben wir hier für Sie zusammengestellt.

Anforderungen für eine Zertifizierung nach TISAX®

Die TISAX® Anforderungen sind vergleichbar mit denen der ISO 27001. Im Kern müssen teilnehmende Unternehmen nachweisen, dass sie über ein etabliertes und zuverlässig funktionierendes Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen. Es ist tatsächlich so, dass der für TISAX® maßgebliche VDA-ISA Fragenkatalog – dieser wird herausgegeben von der ENX-Association, dem Dachverband der europäischen Automobilindustrie – keine weiteren Hinweise darauf gibt, wie das ISMS aufgebaut sein muss. Es wird schlicht wird vorausgesetzt.

Dennoch gibt es im Hinblick auf die TISAX® Anforderungen durchaus Unterschiede zur ISO 27001. Diese hängen von den angestrebten Prüfzielen und den damit verbundenen TISAX® Assessment Leveln ab. Es sind acht Prüfziele mit jeweils speziellen Anforderungen definiert: zwei für die Informationssicherheit, vier zum Thema Prototypenschutz und Schutz von Testfahrzeugen sowie weitere zwei im Bereich Datenschutz.

Nr. Prüfziel Geltende Anforderungen
1. Umgang mit Informationen mit hohem Schutzbedarf

Alle Anforderungen aus dem Kriterienkatalog "Informationssicherheit" (Spalten "Anforderungen (muss)" und "Anforderungen (sollte)")

Außerdem die zusätzlichen Anforderungen in der Spalte "Zusatzanforderungen bei hohem Schutzbedarf" (sofern zutreffend)

2. Umgang mit Informationen mit sehr hohem Schutzbedarf

Alle Anforderungen aus dem Kriterienkatalog "Informationssicherheit" (Spalten "Anforderungen (muss)" und "Anforderungen (sollte)")

Außerdem die zusätzlichen Anforderungen in den Spalten "Zusatzanforderungen bei hohem Schutzbedarf" und "Zusatzanforderungen bei sehr hohem Schutzbedarf" (sofern zutreffend)

3. Schutz von Prototypenbauteilen und -Komponenten

Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten

Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":

  • 8.1 Physische und umgebungsbezogene Sicherheit
  • 8.2 Organisatorische Anforderungen
  • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen
4. Schutz von Prototypenfahrzeugen

Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten

Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":

  • 8.1 Physische und umgebungsbezogene Sicherheit
  • 8.2 Organisatorische Anforderungen
  • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

Außerdem die zusätzlichen Anforderungen in der Spalte "Zusatzanforderungen bei als schutzbedürftig klassifizierten Fahrzeugen" (sofern zutreffend)

5. Umgang mit Erprobungsfahrzeugen

Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten

Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":

  • 8.2 Organisatorische Anforderungen
  • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen
  • 8.4 Anforderungen für Erprobungsfahrzeuge
6. Schutz von Prototypen während der Veranstaltungen und Film- Fotoshootings

Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten

Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":

  • 8.2 Organisatorische Anforderungen
  • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen
  • 8.5 Anforderungen für Veranstaltungen und Shootings
7. Datenschutz

Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten

Alle Anforderungen aus dem Kriterienkatalog "Datenschutz"

8. Datenschutz mit besonderen Kategorien personenbezogener Daten

Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit sehr hohem Schutzbedarf" gelten

Alle Anforderungen aus dem Kriterienkatalog "Datenschutz" 

 

 

 

Erfüllung der TISAX® Anforderungen

Das geschieht im Rahmen des Assessments. Um die Zertifizierung nach TISAX® zu erhalten, müssen Unternehmen nachweisen, dass sie über ein geeignetes ISMS verfügen und die geforderten Standards und Prozesse einhalten. Der Nachweis erfolgt je nach Prüfziel, damit verbundenem Schutzbedarf und dem davon wiederum abhängigen Assessment Level durch ein Self-Assessment gemäß VDA-ISA Fragenkatalog, das Vorlegen entsprechender Dokumentationen und Nachweise sowie gegebenenfalls mithilfe von Interviews und Vor-Ort-Überprüfungen durch den ausgewählten Prüfdienstleister (Auditor).

Kriterien für die Anforderungen

Maßgeblich für das Assessment ist der VDA-ISA Fragenkatalog. Er wird sowohl für das Self-Assessment herangezogen als auch für Überprüfungen durch den Auditor. Beim VDA-ISA Fragenkatalog handelt es sich um ein strukturiertes Excel-Dokument mit 300 Fragen. Für jeden Prüfbereich sind darin sämtliche Teilzeile sowie die zugehörigen Kontrollfragen definiert. Zu jedem Teilziel finden sich im Excel-Dokument vier Anforderungsspalten, um die Anforderungen gemäß der unterschiedlich hohen Schutzbedarfe abzubilden. Im Überblick:

  • Spalte 1 beschreibt die Muss-Anforderungen
  • Spalte 2 beschreibt die Soll-Anforderungen
  • Spalte 3 enthält Zusatzanforderungen bei hohem Schutzbedarf
  • Spalte 4 enthält Zusatzanforderungen bei sehr hohem Schutzbedarf

Ob Ihr ISMS die Anforderungen erfüllt oder nicht, hängt auch davon ab, mit welchem Reifegrad der Auditor die Umsetzung für ein Teilziel bewertet. Es gibt sechs Reifegrade. Die Skala reicht von 0 für „unvollständig“ bis 5 für „optimierend“ im Sinne von „wird fortlaufend weiter verbessert“. Der Durchschnitt aller Teilergebnisse ergibt am Ende den Reifegrad des ISMS. Für die Zertifizierung nach TISAX® muss mindestens Reifegrad 3 erreicht werden.

Reifegrad In einem Wort Beschreibung
0 Unvollständig  Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen
1 Durchgeführt Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt ("informeller Prozess") und es existieren Indizien, dass er sein Ziel erreicht.
2 Gesteuert Es wird einem Prozess gefolgt der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.
3 Etabliert Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.
4 Vorhersagbar Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators)
5 Optimierend Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.

 

Sind die TISAX® Anforderungen an einen Konzern die gleichen wie an einen Kleinstbetrieb?

So wie die TISAX® Anforderungen im VDA-ISA Fragenkatalog formuliert sind, gelten sie für die theoretische Umsetzung in einem fiktionalen Durchschnittsunternehmen unbekannter Größe. Wir haben es hier also mit einer hoch standardisierten Prüfanleitung zu tun, die nicht in Stein gemeißelt ist, sondern vom Auditor je nach Art, Größe und Struktur eines Unternehmens ausgelegt werden soll. Deshalb heißt es im TISAX® Handbuch ausdrücklich: „Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.“

Was passiert bei nicht-Erfüllung der TISAX® Anforderungen

Im Idealfall stellt der Auditor nach einer TISAX® Überprüfung die Konformität Ihres ISMS fest. Die TISAX® Anforderungen werden im geforderten Umfang erfüllt. Sollte dies nicht der Fall sein, hat der Auditor entweder eine oder mehrere Haupt- beziehungsweise Nebenabweichungen ermittelt. Bei einem Prüfergebnis mit Nebenabweichungen kann der Prüfer ein vorläufiges TISAX® Label erteilen, es gilt eingeschränkt solange, bis sämtliche Nebenabweichungen beseitigt sind.

Anders sieht es aus, wenn der Prüfer eine oder mehrere Hauptabweichungen von den TISAX® Anforderungen feststellt. In diesen Fällen erhalten Sie das angestrebte TISAX® Label erst dann, wenn alle Schwachstellen und Probleme beseitigt sind. Dafür müssen Sie geeignete Kompensations- und Abhilfemaßnahmen entwickeln und diese dem Auditor vorlegen. Genehmigt er die vorgeschlagenen Maßnahmen, müssen diese erfolgreich umgesetzt werden. Je nach Einschätzung des Auditors kann dieser das Prüfergebnis dann von „hauptabweichend“ auf „nebenabweichend“ umdeklarieren und ein vorläufiges TISAX® Label erteilen. Solange dies nicht geschehen ist, kann Ihr Unternehmen im Automobilsektor keine Geschäfte tätigen.

Die größten Herausforderungen beim Umsetzen der TISAX® Anforderungen?

Die größten Herausforderungen liegen in der Organisation und dauerhaften Bereitstellung der nötigen Ressourcen. Ein ISMS-Aufbauprojekt gemäß TISAX® Anforderungen wird nur dann erfolgreich sein, wenn alle involviert sind, die an den geforderten Prozessen verantwortlich mitwirken. Und das sind je nach Unternehmen ziemlich viele Akteure und Abteilungen. Um deren Teilhabe zu managen und die richtigen Entscheidungen zur richtigen Zeit treffen zu können, muss ein TISAX® Projekt sehr strukturiert ablaufen und intern gut kommuniziert werden. Ein zweiter wichtiger Punkt ist die Stetigkeit. Ein ISMS gemäß TISAX® aufzubauen und im täglichen Betrieb zu etablieren, erfordert kontinuierliche Arbeit und in allen relevanten Bereichen entsprechende Ressourcen. Diese müssen dauerhaft bereitgestellt werden. Das Thema TISAX® darf nach dem Audit nicht abgehakt und ins Archiv verschoben werden.

Können kleine Unternehmen die TISAX® Anforderungen überhaupt erfüllen?

Definitiv ja. Der VDA-ISA Fragenkatalog ist so geschrieben, dass auch kleine und kleinste Unternehmen damit arbeiten können. Die TISAX® Anforderungen sind als Richtlinien zu verstehen, die nicht eins zu eins, sondern so umzusetzen sind, dass die angestrebten Prüfziele und der gewünschte Schutzbedarf in angemessener Wiese und hinreichendem Ausmaß erreicht werden. Ob und wann dies der Fall ist, das beurteilen die Prüfdienstleister für jedes Unternehmen individuell. Der Aufbau eines ISMS ist aber, genau wie das Audit selbst, immer mit Aufwand und Kosten verbunden. Insbesondere Kleinstbetriebe sollten daher abwägen, ob der Aufwand und die mit einer Zertifizierung nach TISAX® verbundenen Chancen in einem wirtschaftlich sinnvollen Verhältnis stehen.

DE_Customer Logos Blog

Wichtigste Praxis-Tipps zum Erfüllen der TISAX® Anforderungen

Tipp 1 betrifft das Projektmanagement. Sowohl bei der Vorbereitung auf ein TISAX® Audit als auch für das kontinuierliche Erfüllen der TISAX® Anforderungen im laufenden Betrieb ist das Projektmanagement essenziell. Unternehmen sollten Aufbau, Struktur und Organisation ihres ISMS sorgsam planen und sehr systematisch angehen. Tipp 2 lautet: Haben Sie dabei insbesondere das Ressourcenthema im Auge. Denn um die TISAX® Anforderungen zu erfüllen, müssen im Unternehmen viele Parteien aus unterschiedlichen Abteilungen involviert werden – am besten frühzeitig und in vorhergeplantem Umfang auch dauerhaft. Denn ein ISMS gemäß TISAX® ist weder zeitlich begrenzt noch ein reines IT-Projekt. Dessen sollten sich Interessenten bewusst sein und sich im TISAX® Projekt entsprechend aufstellen. Dabei unterstützen die ISMS- und TISAX®-Experten von DataGuard gerne.

Wenn wir die TISAX® Anforderungen erfüllen, können wir das ISO 27001 Zertifikat dann nicht gleich mitmachen?

Das ist richtig und gilt auch umgekehrt. Eine der Kernanforderungen von TISAX® ist ja ein etabliertes ISMS gemäß ISO 27001. TISAX® setzt voraus, dass ein solches ISMS vorhanden ist. Zu beachten sind bei TISAX® lediglich noch ein paar speziell auf die Anforderungen der Automobilbranche abgestimmte Maßnahmen – insbesondere im Bereich des physischen Prototypenschutzes. Kurz: Es gibt bei den Zertifizierungen nach ISO 27001 und TISAX® starke Überschneidungen, sodass die beide Zertifizierungsprojekte parallel angegangen und im Paket gemanagt werden können, auch wenn dies den Aufwand sicherlich noch mal erhöht.

Fazit

Die TISAX® Anforderungen sind hoch. Beschrieben werden sie im VDA-ISA Fragenkatalog – nicht eins zu eins verbindlich, sondern generalisiert. Dies lässt den Prüfdienstleistern die nötigen Spielräume in der Auslegung, sodass prinzipiell jedes Unternehmen, unabhängig von seiner Größe und Organisation, die TISAX® Anforderungen erfüllen kann. Damit dies im Einzelfall zielsicher gelingt, stehen die Experten von DataGuard interessierten Unternehmen mit Rat und Tat zur Seite.

 
TISAX Checklist 212x234 DE TISAX Checklist 800x600 MOBILE DE

Sie planen sich nach TISAX® zertifizieren zu lassen? 

Dann brauchen Sie diese Checkliste zur Vorbereitung auf Ihr TISAX®-Assessment. 

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000