Das TISAX® Label ist kein Plattenverlag. Dennoch spielt in der Automotive Branche die Musik sprichwörtlich nur für Unternehmen, die ein solches Label nachweisen können. Allen anderen ist die Teilhabe am Markt verwehrt. Daher ist das TISAX® Label für Unternehmen und Zulieferer der Automobilbranche ein Muss. Was das bedeutet und wie Sie zu einem Label kommen, erfahren Sie in diesem Beitrag.
Was ist ein TISAX® Label?
Ein TISAX® Label ist für Unternehmen, die Produkte und Dienstleistungen an die OEMs der Automobilbranche verkaufen möchten, so etwas wie die Eintrittskarte in den Markt. Zum Hintergrund: Bis 2017 überprüfte jeder Automobilhersteller in Eigenregie, ob Zulieferfirmen die jeweiligen Einkaufsbedingungen und insbesondere die Anforderungen im Hinblick auf Compliance und Informationssicherheit erfüllten. Dies bedeutete für alle Beteiligten einen enormen Aufwand und hohe Kosten. Es wurden zahllose Lieferantenaudits durchgeführt: von jedem OEM, unter jeweils eigenen Rahmenbedingungen, nach eigenen Kriterien.
2017 rief die europäische Dachorganisation der Automobilbranche, die ENX Association, dann den Prüf- und Austauschmechanismus TISAX® ins Leben. Mit TISAX® werden die Informationssicherheits-Managementsysteme (ISMS) aller teilnehmenden Unternehmen nach einem einheitlichen Standard bewertet. Die Prüfergebnisse werden zwischen den Mitgliedsunternehmen zentral über eine Online-Plattform ausgetauscht. TISAX® kennt unterschiedliche Prüfziele und Label. Unternehmen, die ein Prüfziel erfüllen, bekommen das entsprechende TISAX® Label.
Wie viele TISAX® Label gibt es und worin unterscheiden sie sich?
Die ENX Association hat acht verschiedene TISAX® Prüfziele definiert. Daher gibt es in Summe auch acht verschiedene TISAX® Label: zwei für den Bereich Informationssicherheit, vier beziehen sich auf den Prototypenschutz und zwei weitere auf den Datenschutz. Ein Unternehmen kann also gleich mehrere TISAX® Label haben, maximal sind es acht. In der Praxis ist das allerdings nicht immer erforderlich.
Beispiel: Erfüllt ein Unternehmen das TISAX® Prüfziel „Umgang mit Informationen mit sehr hohem Schutzbedarf“, erfüllt es gleichzeitig das Prüfziel „Umgang mit Informationen mit hohem Schutzbedarf“. Ein Unternehmen, das die Vorgaben für beide Prüfziele erfüllt, kann beide TISAX® Label haben oder nur das anspruchsvollere. Beides ist möglich. Ähnlich verhält es sich im Bereich Datenschutz (vgl. Tabelle 1).
Nr. | TISAX®-Prüfziel | Abkürzung |
1. | Umgang mit Informationen mit hohem Schutzbedarf | Info high |
2. | Umgang mit Informationen mit sehr hohem Schutzbedarf | Info very high |
3. |
Schutz von Prototypenbauteilen und -komponenten |
Proto parts |
4. | Schutz von Prototypenfahrzeugen | Proto vehicles |
5. | Umgang mit Erprobungsfahrzeugen | Test vehicles |
6. | Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings | Proto events |
7. |
Datenschutz Gemäß Art. 28 DSGVO (Auftragsverarbeiter) |
Data |
8. |
Datenschutz mit besonderen Kategorien personenbezogener Daten Gemäß Art. 28 DSGVO ("Auftragsverarbeiter) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der DSGVO angegeben |
Special data |
Tabelle 1: TISAX® Prüfziele
Was genau besagt ein TISAX® Label?
Ein TISAX® Label …
- ist das Ergebnis des TISAX® Prüfprozesses.
- fasst das Prüfergebnis zusammen.
- ist die Feststellung, dass das überprüfte ISMS einen definierten Anforderungskatalog erfüllt.
Wer braucht welches TISAX® Label?
Auf diese Frage gibt es keine verbindliche Antwort. Am Ende ist entscheidend, welche Anforderungen und damit Prüfziele die jeweiligen OEMs, mit denen ein Unternehmen zusammenarbeiten möchte, vorgeben. Um die Zusammenarbeit zu starten und Geschäft zu machen, muss das Zulieferunternehmen die geforderten TISAX® Label nachweisen. Sprich: Die OEM-Kunden geben vor, wer welche TISAX® Label haben muss.
Wie lange ist ein TISAX® Label gültig?
Ein einmal erteiltes TISAX® Label ist in der Regel drei Jahre lang gültig. Danach muss es erneuert werden. Zu diesem Zweck haben Unternehmen dann wieder ein TISAX® Assessment zu absolvieren. Während der dreijährigen Gültigkeitsdauer erfolgen keine externen Überprüfungen. Teilnehmende Unternehmen sind jedoch angehalten, regelmäßig sogenannte TISAX® Self-Assessments durchzuführen und dies auch zu dokumentieren. Fehlen entsprechende Nachweise am Ende der dreijährigen Gültigkeitsdauer eines Labels, wird der Prüfer dies beim nächsten Assessment bemängeln und die erneute Label-Vergabe überdenken.
Ausnahmen: Zieht ein Unternehmen räumlich um oder eröffnet es zusätzliche Standorte, erlischt die Gültigkeit der erteilten TISAX® Label vorzeitig. Das Unternehmen hat allerdings die Möglichkeit, bei den ENX Association entsprechende Erweiterungsprüfungen zu beantragen und so die Gültigkeit der TISAX® Label auf den oder die neuen Standorte zu übertragen.
Wann wird ein vorläufiges TISAX® Label erteilt?
Nach persönlichen Vor-Ort-Überprüfungen durch einen TISAX® Prüfdienstleister – diese erfolgen bei allen Prüfzielen mit Assessment Level 3 – werden häufig erstmal nur vorläufige TISAX® Label ausgestellt. In diesen Fällen hat der Prüfdienstleister beim Audit noch sogenannte Nebenabweichungen von den TISAX® Kriterien festgestellt. Erst wenn diese behoben sind, treten vorläufige TISAX® Label voll in Kraft. Anders sieht es bei sogenannten Hauptabweichungen aus. Werden solche festgestellt, wird das jeweilige TISAX® Label erst an dem Tag gültig, an dem die Abweichungen nachweislich behoben waren.
Wie bekommen wir ein TISAX® Label?
Der Weg zum TISAX® Label ist schnell beschrieben. Im ersten Schritt registrieren Sie Ihr Unternehmen im ENX-Portal und geben dort den gewünschten Umfang des TISAX® Assessments an. Dann bereiten Sie Ihr ISMS auf den Prüfprozess vor – am besten mit Hilfe eines Partners wie DataGuard – und wählen einen akkreditierten Prüfdienstleister aus.
Nach erfolgreichem Abschluss der Überprüfung erteilt die ENX Association das bzw. die TISAX® Label. Danach steht der Zusammenarbeit mit Ihren Zielkunden im Automotive-Sektor nichts mehr im Wege.
Wir stehen Ihnen während des gesamten Prozesses gerne zur Seite und unterstützen Sie auf dem Weg zum TISAX® Label. Treten Sie gerne mit uns in Kontakt. Wir wünschen Ihnen viel Erfolg.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Ihr Weg zum TISAX® Label - das TISAX® Assessment
Unsere praktische Roadmap unterstützt Sie auf dem Weg zum TISAX® Label mit einem pragmatischen Ansatz für das Assessment.
Jetzt kostenlos herunterladen