Welches TISAX® Level passt zu Ihrem Unternehmen?

Rund um TISAX® – den Informationssicherheitsstandard der Automobilindustrie – gibt es viele Fragen und ebenso viele Fachbegriffe. TISAX® Assessment Level ist einer davon. Was sich dahinter verbirgt und wer welches TISAX® Level benötigt? Das und alles Wissenswerte zum Thema erfahren Sie in diesem Beitrag.

Was ist ein TISAX® Assessment Level?

Der Trusted Information Security Assessment Exchange – kurz TISAX® – ist ein Prüf- und Austauschmechanismus der Automobilindustrie. Aufgabe von TISAX® ist es, verbindliche Standards für die Informations- und Cybersicherheit zu setzen, an die sich alle Zulieferer der Branche zu halten haben. Da es verschiedene Arten und Intensitäten der Zusammenarbeit zwischen den OEMs und ihren Zulieferern gibt, hat TISAX® auch verschiedene Prüfziele definiert. Ob ein Unternehmen diesen jeweils entspricht, wird anhand der mit den Prüfzielen verbundenen TISAX® Level geprüft. Dabei gilt: Je anspruchsvoller ein Prüfziel, desto höher der Assessment Level.  

Welche TISAX® Level sind für mich relevant?

Jedes Unternehmen kann selbst entscheiden, welche TISAX® Prüfziele es erfüllen will. Davon hängt dann auch ab, welche TISAX® Level im Einzelfall relevant sind. So die Theorie, in der Praxis läuft es anders ab. Die TISAX® Zertifizierung ist ein Muss für alle Unternehmen, die Geschäfte in und mit der Automobilindustrie machen möchten. Und in der Regel geben die OEMs vor, welche Prüfziele und Assessment Level ein Zulieferer erfüllen muss.  

Welche TISAX® Level gibt es?

Es gibt drei unterschiedliche Level. Das TISAX® Handbuch – herausgegeben vom Dachverband der Europäischen Automobilindustrie, der ENX Association – spricht von Assessment Level 1, Assessment Level 2 und Assessment Level 3. 

 

 

Was ist TISAX® Level 1?

TISAX® Level 1 bedeutet Schutzbedarf „normal“. Das Assessment gemäß TISAX® Level 1 erfordert lediglich die Selbsteinschätzung gemäß VDA-ISA-Fragenkatalog durch das zu prüfende Unternehmen. Ob diese zutrifft oder nicht, lässt sich nicht objektivieren. Daher ist mit TISAX® Level 1 auch kein offizielles Prüfziel verbunden. Dieses Assessment Level ist somit rein theoretischer Natur und nicht praxisrelevant.  

Was ist TISAX® Level 2?

TISAX® Level 2 bedeutet Schutzbedarf „hoch“. Grundlage der Überprüfung ist auch in diesem Fall die Selbsteinschätzung des Unternehmens anhand des VDA-ISA-Fragenkatalogs. Der Unterschied: Bei einer Überprüfung nach TISAX® Level 2 verifiziert ein externer Auditor die Selbsteinschätzung. Dafür wird er ein Telefoninterview sowie umfassende Plausibilitäts- und Nachweisüberprüfungen durchführen. In der Regel geschieht dies remote. Grundlage des Assessments ist vor allem die Aktenlage.

Was ist TISAX® Level 3?

TISAX® Level 3 bedeutet Schutzbedarf „sehr hoch“. Die Mehrzahl der definierten Prüfziele setzt Assessment Level 3 voraus. Der Ablauf ist identisch mit dem bei TISAX® Level 2: zuerst gibt das zu prüfende Unternehmen eine Selbsteinschätzung ab, diese wird der externe Auditor dann anhand von Dokumenten und Nachweisen überprüfen. Dabei bleibt es jedoch nicht. Um die Wirksamkeit und den Reifegrad des tatsächlich umgesetzten ISMS beurteilen zu können, führt der Auditor grundsätzlich auch Vor-Ort-Begehungen und Live-Interviews durch – und zwar nicht nur in der Firmenzentrale, sondern potenziell an jedem Standort eines Unternehmens.

Was kostet eine TISAX® Prüfung? 

Es kommt darauf an. Pauschale Kostenaussagen sind jedenfalls unseriös, da Vorbereitung, Ablauf und Umfang eines TISAX® Audits von vielen Variablen abhängig sind. Welche Prüfziele und Assessment Level werden beispielsweise angestrebt? Wie gut ist das Unternehmen bereits organisiert? Gibt es eine oder mehrere Standorte? Liegen alle im Inland oder ist das Unternehmen global aufgestellt? Welche ISMS-Optimierungen und -Maßnahmen müssen und sollten für ein erfolgreiches Audit unbedingt noch durchgeführt werden. Geschieht dies dann auch in ausreichendem Maße, oder sind am Ende womöglich Nachprüfungen sowie vorab weitere Optimierungen nötig?

Was ist ein TISAX® Audit? 

Bei einem TISAX® Audit überprüft ein externer Auditor, ob das etablierte und in der Anmeldung zum Audit beschriebene ISMS auch tatsächlich das leistet, was es leisten soll. Dafür wird sich der Auditor alle Prozesse, Dokumente und Maßnahmen sowie die geeigneten Nachweise ansehen und – je nach Prüfziel und damit verbundenem TISAX® Level – diese auch vor Ort ffffüberprüfen. Grundlage der Überprüfungen ist ein vom Verband der Automobilindustrie (VDA) erarbeiteter Fragenkatalog zur Durchführung von Information Security Assessments (ISA) – kurz: der VDA-ISA-Fragenkatalog.

Einen ausführlichen Überblick über das TISAX® Audit erhalten Sie in diesem Beitrag. 

Wer zertifiziert TISAX®? 

Eine Zertifizierung nach TISAX® dürfen nur Prüfdienstleister erteilen, die dafür zugelassen und von der ENX Association akkreditiert sind. Die ENX Association informiert online und länderspezifisch über das TISAX®Portal, welche Prüfgesellschaften zur Durchführung von TISAX® Audits berechtigt sind. Gut zu wissen: Unternehmen können frei wählen, welchen akkreditierten Prüfdienstleister sie beauftragen. Heißt: Die Prüfgesellschaften stehen untereinander im Wettbewerb. Dies soll für faire und leistungsgerechte Kosten im Hinblick auf die Prüfdienstleistungen sorgen.

Ist TISAX® verpflichtend?

Der Gesetzgeber macht diesbezüglich keine Vorgaben, im regulatorischen Sinne verpflichtend ist TISAX® daher nicht. Für Unternehmen, die keine Zertifizierung nach TISAX® vorweisen können, ist eine Zusammenarbeit mit den großen Herstellerfirmen der Automobilindustrie jedoch ausgeschlossen. Wer in diesem Markt geschäftlich aktiv sein möchte, kommt um die Zertifizierung nicht herum. So gesehen ist TISAX® für viele Unternehmen also doch ein Muss.

Sie haben weiterhin Fragen welches TISAX® Level für die Anforderungen Ihres Unternehmens geeignet ist? Gerne helfen wir Ihnen weiter. Vereinbaren Sie dazu einfach ein kostenloses Beratungsgespräch. 

 
IMG Pop Up Generic (1) IMG Pop Up Generic (1)

Maximieren Sie Ihre Chance für ein erfolgreiches TISAX® Assessment

Mit diesem Leitfaden erhalten Sie eine umfassende Checkliste für den Weg zur Zertifizierung nach TISAX® 

 

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über 2.500 zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000