Das Audit nach TISAX®: So gelangen Sie sicher durch das Assessment

Wer ein TISAX® Label will, muss als Unternehmen das Audit nach TISAX® absolvieren. Oder ist es ein Assessment? Und wo liegen eigentlich die Unterschiede, wenn es denn welche gibt? Antworten auf diese und weitere Fragen rund um das Audit nach TISAX® geben wir Ihnen im folgenden Beitrag – und, auf Wunsch, ganz ausführlich im Rahmen einer individuellen Beratung zu TISAX® durch unsere Experten.

Das Audit nach TISAX® und der Unterschied zum Assessment

Das Audit nach TISAX® ist der Prüfprozess zur Erlangung eines Labels nach TISAX®. Oft wird der Begriff auch mit Assessment nach TISAX® durcheinandergebracht, wobei beide im Grunde dasselbe bedeuten. Das begriffliche Durcheinander ist vermutlich auf Übersetzungsunschärfen zurückzuführen. Maßgeblich für den TISAX® Prozess ist nämlich das Teilnehmerhandbuch für TISAX®. Dieses wurde ursprünglich auf Englisch verfasst. 

In der englischsprachigen Version wird der Prüfprozess konsequent als Assessment bezeichnet, die Prüfenden als Auditor. In der deutschen Version des Handbuchs wird das Assessment dagegen meist mit Prüfung übersetzt, es gibt begrifflich allerdings weiterhin drei Assessmentlevel, keine Prüf-Level. Die Prüfenden heißen mal Prüfer, mal Auditor. In der Praxis werden beide Begriffe gleichrangig nebeneinander genutzt: Audit nach TISAX® und Assessment nach TISAX®. Inhaltlich gibt es aber keine Unterschiede.

Schau dir unser Webinar an und erfahre die besten Tipps für eine erfolgreiche Vorbereitung auf das Assessment nach TISAX®

  • Konkrete und praxisnahe Tipps für erfolgreiche Durchführung eines Assessments nach TISAX®
  • Wichtige Schritte eines Assessments nach TISAX® verstehen
  • Aufbau eines effektiven Informationssicherheitsmanagementsystems (ISMS)
  • Identifikation und Behandlung von Risiken

 

Was ist mit Assessment Level gemeint?

TISAX® kennt in Summe acht verschiede Prüfziele. Theoretisch könnte ein Unternehmen daher acht unterschiedliche Label nach TISAX® sammeln (vgl. Tabelle 1).

Nr. TISAX®-Prüfziel Assessment-Level (AL)
1. Umgang mit Informationen mit hohem Schutzbedarf AL 2
2. Umgang mit Informationen mit sehr hohem Schutzbedarf AL 3
3.

Schutz von Prototypenbauteilen und -komponenten

AL 3
4. Schutz von Prototypenfahrzeugen AL 3
5. Umgang mit Erprobungsfahrzeugen AL 3
6. Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings AL 3
7.

Datenschutz

Gemäß Art. 28 DSGVO (Auftragsverarbeiter)

AL 2
8.

Datenschutz mit besonderen Kategorien personenbezogener Daten

Gemäß Art. 28 DSGVO ("Auftragsverarbeiter) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der DSGVO angegeben

AL 3

Insgesamt gibt es drei Assessment Level (AL). Die Assessment Level beschreiben, vereinfacht gesagt, die Tätigkeit des Auditors im Rahmen der Prüfung. Bei AL 1 wird der Auditor nicht aktiv. Das Unternehmen gibt lediglich eine Selbsteinschätzung zur Wirksamkeit des eigenen Informationssicherheits-Managementsystems (ISMS) ab. Diese wird nicht weiter hinterfragt und überprüft. Das Assessment nach Level 1 nach TISAX® spielt damit faktisch keine Rolle. Es existiert formell, ist aber mit keinem Prüflabel verbunden.

 Bei AL 2 muss das zu überprüfende Unternehmen den VDA ISA Fragebogen ausfüllen und diesen zusammen mit einer kompletten ISMS-Dokumentation an den ausgewählten Auditor schicken. Dieser wird die Unterlagen prüfen und mithilfe der übermittelten Informationen ein Auditgespräch vorbereiten. Dieses wird remote geführt.

Der maßgebliche Unterschied zwischen AL 3 und AL 2 ist das Auditverfahren. Es läuft bei AL 3 nicht remote ab, sondern live. Der Auditor wird sich vor Ort im Unternehmen persönlich davon überzeugen, dass die im ISMS definierten Richtlinien und Maßnahmen auch tatsächlich und in wirksamer Art und Weise umgesetzt sind.  

Dabei gilt: Die Assessment Level sind nicht frei wählbar, sondern fix an die Prüfziele und die damit verbundenen Label nach TISAX® gebunden (vgl. Abb. 1). Sobald ein Unternehmen ein Label nach TISAX® anstrebt, für das AL 3 vorgeschrieben ist, wird das gesamte Audit AL 3-konform durchgeführt.

 

Wer führt ein Audit nach TISAX® durch und welche Parteien sind involviert? 

Prüfungen nach TISAX® dürfen nur von Prüfdienstleistern durchgeführt werden, die über eine entsprechende TISAX® Zulassung verfügen. Diese wird exklusiv von der ENX Association erteilt, dem Zusammenschluss der europäischen Automobilindustrie. Am eigentlichen Prüfprozess für AL 2 und AL 3 sind lediglich das zu prüfende Unternehmen auf der einen und der Prüfdienstleister auf der anderen Seite beteiligt. Die Prüfergebnisse werden im Mitgliederbereich des ENX Portals veröffentlicht.

Um ein TISAX®-konformes ISMS umzusetzen und sich erfolgreich auf das Audit vorzubereiten, holen sich Unternehmen in der Regel professionelle Unterstützung ins Haus – zum Beispiel durch die Zusammenarbeit mit den Experten für TISAX® von DataGuard.

 

 

Was ist das Ziel der TISAX® Überprüfung?

Die Überprüfung durch einen TISAX® Prüfdienstleister soll sicherstellen, dass teilnehmende Unternehmen die TISAX® Vorgaben erfüllen. Maßstab dafür sind die je nach angestrebtem Label nach TISAX® definierten Prüfziele und die dafür zugrunde gelegten Assessment Level. Aus Sicht der teilnehmenden Unternehmen geht es darum, die angestrebten Label nach TISAX® zu erhalten. Diese sind im Automobilsektor die Voraussetzung zur Marktteilhabe.

Lesen Sie auch unseren umfassenden Leitfaden zu TISAX®

 

Wie läuft ein Audit nach TISAX® ab?

Interessierte Unternehmen müssen sich über das ENX Online-Portal zur Teilnahme am TISAX® Verfahren anmelden. Dabei werden unter anderem die angestrebten Prüfziele abgefragt. Erst nach erfolgter Anmeldung und Festlegung der Prüfziele können sich teilnehmende Unternehmen dann einen akkreditierten Prüfdienstleister aussuchen und diesen mit der Überprüfung beauftragen. Dafür müssen dem Auditor von Seiten des Unternehmens der ausgefüllte VDA ISA Fragenkatalog und eine Dokumentation des etablierten ISMS zur Verfügung gestellt werden. Nach Überprüfung dieser Unterlagen sowie entsprechender Nachweise und einem remote oder vor Ort durchgeführten Audit erteilt der Auditor am Ende das bzw. die gewünschten Label nach TISAX®.

Wichtig zu wissen: Der VDA ISA Fragenkatalog fordert für jede im Unternehmen umgesetzte Maßnahme eine Selbsteinschätzung hinsichtlich des Reifegrads ein. Diese Angaben wird der Auditor überprüfen und mit der Realität abgleichen, indem er sich geeignete Nachweise zeigen lässt. Es reicht also nicht, interne Richtlinien und Policies nur zu formulieren. TISAX® Teilnehmer müssen zeigen können, dass sie diese Richtlinien auch tatsächlich umsetzen.

 

Wie lange dauert ein Audit nach TISAX®?

Die Vorbereitung kann Wochen, Monate oder sogar Jahre dauern, das Assessment nach TISAX® selbst nimmt allenfalls einige Tage in Anspruch – je nach angestrebtem Label nach TISAX® und der eigenen Organisationsstruktur. Ein Unternehmen mit vielen internationalen Standorten und Prüfzielen, die eine Vor-Ort-Überprüfung gemäß Assessment Level 3 erfordern, muss mehr Zeit einplanen als ein Automobilzulieferer mit nur einem Standort und einer Überprüfung gemäß AL 2. Auch, wenn es Prüfdienstleister gibt, die über internationale Auditorenteams verfügen und arbeitsteilig vorgehen können.

 

Checkliste zur Vorbereitung auf das Assessment nach TISAX®

 

Fazit

Zwischen Assessment nach TISAX® und Audit nach TISAX® besteht kein Unterschied. Die Assessment nach Level sind klar definiert: es gibt drei unterschiedliche Level. Für jedes der acht Prüfziele nach ist das zu absolvierende Assessment Level vorgegeben. Level 1 existiert nur formell, es ist mit keinem Prüfziel verbunden. Assessment Level 2 gilt für die Prüfziele „Umgang mit Informationen mit hohem Schutzbedarf“ und „Datenschutz“. Für alle anderen Prüfziele und Label nach TISAX® muss Assessment Level 3 absolviert werden.

 

TISAX®: Ihre Fragen, unsere Antworten

Was ist ein TISAX® Audit?

Das Audit nach TISAX® ist der Prüfprozess zur Erlangung eines Labels nach TISAX®. Beim externen Audit bewertet ein akkreditierter Prüfer alle Aspekte des ISMS Ihrer Organisation, um die Einhaltung der Standards nach TISAX® zu überprüfen. Die Experten von DataGuard unterstützen Sie bei der Durchführung eines umfassenden internen Audits und maximieren so Ihre Chancen auf ein erfolgreiches externes Audit.

Was wird bei TISAX® geprüft?

Evaluiert wird, ob Ihr Unternehmen die von der ENX Association definierten Informationssicherheits- und Prototypenschutzanforderungen erfüllt. Ermittelt wird dies mithilfe des VDA ISA Fragenkatalogs. Die Anforderungen und auch die Art des Assessments unterscheiden sich je nach definiertem Prüfziel. Bei Assessment Level 1 genügt die Selbsteinschätzung. Bei Assessment Level 2 erfolgt eine Dokumenten- und Nachweisprüfung durch den Auditor. Bei Assessment Level 3 führt der Auditor zusätzlich noch Prüfungen vor Ort durch.

Wie läuft ein TISAX® Audit ab? 

Nachdem das Unternehmen eine Selbsteinschätzung durchgeführt und einen Prüfdienstleister ausgewählt hat, wird ein Termin für das Audit vereinbart. Der Auditor führt das Audit auf Grundlage des VDA-ISA-Fragenkatalogs Remote oder vor Ort durch. Dabei kann er sich auf Dokumente, Interviews oder Beobachtungen stützen. Am Ende des Audits erstellt der Auditor einen Assessmentbericht. Wurden keine wesentlichen Abweichungen von den Anforderungen des VDA-ISA-Standards festgestellt, erhält das Unternehmen die TISAX® Zertifizierung.

Wer braucht ein TISAX® Zertifikat?

Die Zertifizierung nach TISAX® ist nicht gesetzlich vorgeschrieben. Unternehmen können nicht dazu verpflichtet werden Managementsysteme nach den Anforderungen nach TISAX® einzuführen.

Allerdings ist ein Nachweis für TISAX® in der Praxis unverzichtbar für alle Unternehmen, die in der Automobilbranche als Zulieferer oder Partner für Automobilhersteller tätig sein wollen. Viele OEMs in der Automobilindustrie fordern für eine Zusammenarbeit mit Zulieferern jedoch ein Label nach TISAX®. Wenn Sie als Zulieferer oder Hersteller in der Automobilindustrie tätig sind ist es daher empfehlenswert, sich zertifizieren zu lassen, um wettbewerbsfähig zu bleiben und Aufträge zu erhalten. Ohne einen Nachweis für TISAX® wird eine Zusammenarbeit mit den großen OEMs in Zukunft immer schwieriger.  

 

 

 

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Image CTA Expert Male 1

Sprechen Sie uns an

Unsere Experten stehen Ihnen in einem kostenlosen Erstgespräch gerne für Fragen zum TISAX® Audit zur Verfügung. 

Jetzt Termin vereinbaren

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren