Wird die Zertifizierung nach TISAX® zur Pflicht in der Automobilindustrie?

VOLKSWAGEN, BMW, ZF Friedrichshafen: Diese OEMs machen bereits Ernst und verlangen von ihren wichtigsten Lieferanten bis Herbst 2023 den Nachweis, dass diese mit der Umsetzung einer Zertifizierung nach TISAX® begonnen haben. Die erteilten Zertifikate müssen bis spätestens Juni 2024 vorliegen*. Weitere OEMs werden nachziehen. Der Handlungsdruck auf zuliefernde KMUs steigt, was vor allem diejenigen spüren, die im täglichen und direkten Kontakt mit OEM-Kunden stehen. Wir erklären, was Ihr Unternehmen auf dem Weg zur Zertifizierung beachten sollte, welche Ressourcen Sie für die Umsetzung benötigen und wie Sie effizient ans Ziel kommen.

Welche Vorteile bringt die Zertifizierung nach TISAX® für KMUs?

Die Zertifizierung nach TISAX® bringt Unternehmen im KMU-Sektor schon seit längerem einen Wettbewerbsvorteil gegenüber nicht zertifizierten Mitbewerbern. Kein Wunder, ist TISAX® doch der anerkannte Standard für Informationssicherheit in der Automotive-Branche und darüber hinaus. Die jüngsten Entwicklungen zeigen: Schon bald wird die Zertifizierung nach TISAX® sogar eine Grundvoraussetzung sein, um für die Automobilindustrie überhaupt als Lieferant aktiv sein zu können. Vermutlich sind auch Sie schon längst mit entsprechenden Anfragen von Kundenseite konfrontiert worden. An einer Zertifizierung führt also kein Weg mehr vorbei.

Auch wenn das nicht bei allen in Ihrer Organisation auf sofortige Begeisterung stößt, haben Sie die Argumente klar auf Ihrer Seite. Schließlich profitieren Unternehmen, die sich zertifizieren lassen, in vielfacher Weise. So bescheinigt das Zertifikat bzw. Label nach TISAX®: Dieses Unternehmen schützt vertrauliche Informationen und erfüllt hohe Sicherheitsanforderungen. Das schafft Vertrauen und gibt Ihren OEM-Kunden und Interessenten die nötige Sicherheit. Erteilt wird das Zertifikat, wenn alle erforderlichen Maßnahmen und Prozesse zum Schutz vertraulicher Informationen gemäß der durch TISAX® definierten Schutzziele erfüllt sind. Ist dies der Fall, hat Ihr Unternehmen das Risiko für Cyberangriffe und Datenlecks nachweislich stark minimiert. Zumal dann sichergestellt ist, dass alle auch regulatorischen Anforderungen an den Datenschutz und die Informationssicherheit erfüllt werden.

Keine Zeit verlieren: Argumente für eine Zertifizierung nach TISAX®

 

 

Welche Ressourcen sind für die Zertifizierung nach TISAX® nötig?

Als treibende Kraft der Zertifizierung und Kontaktperson zu den großen OEMs, werden Sie mit dieser Frage von Ihren Entscheidungsträgern ganz sicher konfrontiert. So viel lässt sich schon jetzt sagen: Der quantitative Ressourcenaufwand für eine Zertifizierung nach TISAX® hängt maßgeblich von der Größe Ihres Unternehmens und der Komplexität seiner Prozesse ab. Folgende Ressourcen sind aber in jedem Fall erforderlich und müssen bereitgestellt werden.

  • Budget: Die Zertifizierung setzt einen nicht unerheblichen Einsatz von Zeit und Engagement voraus. Beides ist nötig, um die Anforderungen gemäß TISAX® in ihrer ganzen Tiefe verstehen und geeignete Maßnahmen ergreifen zu können. Die Verantwortlichen sollten daher genügend Zeit für die Umsetzung der Anforderungen einplanen und sicherstellen, dass alle an der Implementierung beteiligten Mitarbeiter die dafür erforderlichen zeitlichen Kapazitäten haben. Wichtig zu wissen: Mit der initialen Umsetzung ist es nicht getan. Zeit erfordern immer wieder auch die Überprüfung der Maßnahmen sowie deren Dokumentation und regelmäßige Mitarbeiterschulungen.
  • Zeit: Die Implementierung von Informationssicherheitsmaßnahmen und die Durchführung der Zertifizierung verursachen Kosten. KMUs sollten sicherstellen, dass sie über entsprechende finanzielle Ressourcen verfügen und die Budgets bereitstellen.
  • Know-how: Um die Anforderungen von TISAX® umzusetzen, benötigt Ihr Unternehmen Experten für Informationssicherheit. Diese können intern vorhanden sein. In der Regel ist es aber so, dass KMUs externe Spezialisten einbinden, um sicherzustellen, dass die Anforderungen ordnungsgemäß umgesetzt werden.
  • Technologie und Infrastruktur: Als KMU muss Ihre Organisation sicherstellen, dass sie über die von TISAX® geforderte Technologie und Infrastruktur verfügt, um die Anforderungen zu erfüllen. Notwendig ist die Implementierung neuer Sicherheitssoftware und -hardware sowie die Aktualisierung von Netzwerken und Systemen.
  • Experten auf Abruf: Als KMU sollte Ihr Unternehmen in der Lage sein, bei Bedarf auf Experten für Informationssicherheit zurückzugreifen, um sicherzustellen, dass ihre Informationssicherheitspraktiken den neuesten Anforderungen entsprechen.

Lesen Sie hier, warum TISAX® für die Automobilindustrie ein Muss ist

Welche Kosten entstehen für eine Zertifizierung gemäß TISAX® 

So variabel und individuell wie der Aufwand, sind auch die Kosten für eine Zertifizierung. Um Ihnen einen ersten Überblick zu geben, skizzieren wir nachfolgend die wichtigsten Kostenblöcke.

  • Gebühren für den Auditor: Für die Zertifizierung nach TISAX® benötigen Sie einen von der ENX Association zugelassenen Auditor. Die Kosten variieren je nach Anbieter, den Prüf- und Schutzzielen sowie dem Aufwand für die Zertifizierung.
  • Implementierungskosten: Um die Anforderungen zu erfüllen, müssen Unternehmen verschiedene Maßnahmen umsetzen und Prozesse etablieren. Das verursacht Kosten für Arbeitszeiten, etwaige Soft- und Hardware-Installationen, externe Berater etc.
  • Schulungskosten: Die gesamte Belegschaft muss ein Bewusstsein für Informationssicherheit und die Anforderungen gemäß TISAX® bekommen und Informationssicherheitspraktiken erlernen. Dies setzt regelmäßige Schulungen voraus, die mit Kosten verbunden sind.
  • Dokumentationskosten: Kosten entstehen auch für das Erstellen und Fortführen der erforderlichen Dokumentationen gemäß TISAX®.
  • Aufrechterhaltungskosten: TISAX® ist ein Prozess, keine Momentaufnahme. Ihre Organisation muss daher Ressourcen und Kosten für permanent laufende Informationssicherheitspraktiken bereitstellen. Nur so kann die Zertifizierung aufrechterhalten werden.

Wir sind uns bewusst, dass Sie exakte Zahlen brauchen, um Ihre Entscheidungsträger von einer Zertifizierung zu überzeugen. Da wir Ihnen aber keine falschen Versprechen machen wollen, ist es wichtig, zunächst Ihre individuellen Anforderungen zu klären. Sprechen Sie uns dafür gerne an. In einem kostenlosten Beratungsgespräch ermitteln Sie gemeinsam mit unseren Experten den Preis Ihrer Zertifizierung nach TISAX®.

Apropos Dokumentationen und Prozesse: Welche Anforderungen stellt die Zertifizierung nach TISAX®?

Wer die Anforderungen zuverlässig erfüllen will, sollte die wichtigsten Standards im eigenen Unternehmen schon vor der Anmeldung zur Zertifizierung etablieren – zumal sie nicht nur für TISAX®, sondern auch für DSGVO-konformes Handeln essenziell sind. Insbesondere große und international agierende Unternehmen wie OEMs stehen auf standardisierte Prozesse und Partner, die das im besten Fall auch noch nachweisen können. Ein Überblick.

  • Informationssicherheits-Politik: Ihr Unternehmen braucht eine Informationssicherheits-Politik, die von allen Mitarbeitenden verstanden und befolgt wird. Darin sollte definiert sein, wie das Unternehmen den Schutz von Informationen und Daten gewährleistet.
  • Risikoanalysen: Diese sollten regelmäßig durchgeführt werden, um Risiken für die Informationssicherheit zu identifizieren, Maßnahmen ergreifen und Gefahren minimieren zu können.
  • Prozess-Dokumentation: Alle sicherheitsrelevanten Prozesse müssen dokumentiert sein und die zum Schutz dieser Prozesse ergriffenen Sicherheitsmaßnahmen und -verfahren auch angewendet werden.
  • Incident-Response-Plan: Sicherheitsvorfälle können nie ganz ausgeschlossen werden. Deshalb braucht Ihre Organisation einen Incident-Response-Plan. Dieser stellt sicher, dass die Verantwortlichen schnell auf Sicherheitsvorfälle reagieren, angemessene Maßnahmen ergreifen und Schäden minimieren können.
  • Schulungen und Awareness-Programme: Informationssicherheit und Datenschutz müssen von der Belegschaft gelebt und täglich umgesetzt werden. Das setzt bei allen das nötige Wissen und Bewusstsein voraus. Schulungen und Awareness-Programme sind deshalb ein Muss.
  • Datenschutz-Dokumentation: Ihr Unternehmen sollten generell auch über eine Dokumentation zum Datenschutz bzw. eine Dokumentation der in der DSGVO geforderten Dokumente verfügen. Damit stellen Sie als Organisation sicher, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt werden.

Ist die Zertifizierung auch ohne externe Berater machbar?

Bis zur erfolgreichen Zertifizierung gemäß TISAX® liegt ein längerer, anspruchsvoller Weg vor Ihrer Organisation. Um ihn zu meistern, sind Erfahrung und Fachwissen unerlässlich. Beides kann intern vorhanden sein. In diesem Fall und unter der Voraussetzung, dass Ihre internen Experten über genügend freie Kapazität verfügen, können Sie die Zertifizierung auch ganz ohne externen Support angehen. Schneller, zuverlässiger und unterm Strich auch günstiger kommt Ihr Betrieb in der Regel ans Ziel, wenn Experten eingebunden werden, die neben dem notwendigen Fachwissen auch noch Routine und hilfreiche Tools mitbringen – so wie die Experten von DataGuard.

Gibt es Hilfsmittel zur Vorbereitung auf TISAX® und die Zertifizierung?

Ja, die gibt es – lautet die gute Nachricht für die Verantwortlichen in Ihrer Organisation. In der Regel sind solche Hilfsmittel softwarebasiert – sie dienen der Vorbereitung und können zum Teil auch dauerhaft eingesetzt werden, um die Anforderungen gemäß TISAX® zu erfüllen. Hier drei Beispiele:

  1. ISMS-Software: Eine gute ISMS-Software unterstützt bei der Implementierung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS). Führende Lösungen wie die von DataGuard nutzen eine zentrale Plattform für die Verwaltung von Sicherheitsrichtlinien, Risikobewertungen, Schulungen und Audits.
  2. GAP-Analyse-Tools: GAP-Analyse-Tools gleichen die Ist-Situation im Unternehmen mit den Anforderungen von TISAX® ab. Auf diese Weise werden Lücken bei den etablierten Sicherheitspraktiken identifiziert, die dann zielsicher geschlossen werden können. Viele der Tools arbeiten mit Vorlagen, Checklisten und Bewertungssystematiken.
  3. Cybersecurity-Schulungen: Damit alle Mitarbeitenden eines Unternehmens die Anforderungen gemäß TISAX® kennen, verstehen und sicherheitsbewusst arbeiten, sind Schulungen notwendig. Zudem muss der individuelle Ausbildungsstand für eine Zertifizierung nach TISAX® dokumentiert werden. Entsprechende Online-Kurse und Schulungsprogramme sind auf dem Markt etabliert, idealerweise sollten sie Teil einer Gesamtlösung sein.

Gut zu wissen: Softwarebasierte Hilfsmittel reichen allein nicht aus, um die Zertifizierung gemäß TISAX® zu erlangen. Die Tools können immer nur Teil eines umfassenden Plans zur Vorbereitung auf die Zertifizierung sein. Wirksam werden sie erst im Zusammenspiel mit internen Richtlinien, Verfahren und regelmäßigen Kontrollen.

Wie unterstützt DataGuard bei der Vorbereitung auf TISAX©?

Als Spezialist für Informationssicherheit und Datenschutz bieten wir ein komplettes Beratungs- und Serviceportfolio für die Zertifizierung nach TISAX® an. Am Anfang steht die Vorbereitungsberatung: Dafür analysiert unser Expertenteam zunächst die Informationssicherheitsarchitektur Ihres Unternehmens, identifiziert etwaige Lücken, führt interne Audits durch und berät Ihre Organisation beim Implementieren der erforderlichen Prozesse und Informationssicherheitspraktiken.

Erweitert wird die individuelle Expertenberatung durch eine plattformbasierte und durch und durch strukturierte Vorbereitung auf das für TISAX® nötige Assessment. Damit erreichen wir eine Erfolgsquote von 100 %. Auf Wunsch unterstützen wir auch mit fortlaufendem ISMS-Support, beim Überprüfen der Dokumentation gemäß TISAX® oder übernehmen die Rolle des Informationssicherheitsbeauftragten (CISO).

TISAX® kompakt: Ihr Weg zur Zertifizierung 

Erfahren Sie in unserem On-Demand Webinar zum Thema jetzt alles, was Sie für Ihren Start in einen erfolgreichen Zertifizierungsprozess wissen müssen.

20230316_Certification on TISAX® Webinar_FollowUp

Praxisbeispiel: Auf der Überholspur zum Zertifikat

Fall: Ein KMU in der Automobilindustrie benötigte für den Abschluss neuer Zulieferverträge die Zertifizierung gemäß TISAX®. Verlangt haben die OEM-Vertragspartner sehr hohe Schutzziele – vom allem im Hinblick auf den Prototypenschutz.

Dauer: Sind die zeitlichen und finanziellen Ressourcen in ausreichendem Umfang vorhanden, rechnet DataGuard bei einem Zuliefer-Unternehmen in beschriebener KMU-Dimension mit einer Projektdauer von etwa sechs Monaten bis zur Zertifizierung.

Kosten: Die Kosten dafür liegen bei fortgesetzter Zusammenarbeit zur Aufrechterhaltung des Zertifikats üblicherweise in einer Bandbreite zwischen 10.000 und 25.000 Euro pro Jahr. Ausnahmen bestätigen die Regel.

Sprint: Da die Zeit drängte, hat DataGuard das komplette Beratungs- und Servicepaket in diesem Fall mit einem beschleunigten Zeitplan umgesetzt. Dieser verkürzt die Zeit bis zur erfolgreichen Zertifizierung auch gerade mal 18 bis 20 Wochen (vgl. Abb.).

tisax-roadmap

 

 

Über den Autor

DataGuard Informationssicherheits-Experten DataGuard Informationssicherheits-Experten
DataGuard Informationssicherheits-Experten

Tipps und Best Practices zur erfolgreichen Erlangung von Zertifizierungen wie ISO 27001 oder TISAX®, die Bedeutung robuster Sicherheitsprogramme, effiziente Risikominderung... und vieles mehr!

Profitieren Sie von der jahrelangen Erfahrung unserer zertifizierten Informationssicherheitsbeauftragen (oder CISOs) in Deutschland, UK und Österreich, um Ihr Unternehmen auf den nachhaltigen Erfolgspfad zu bringen – indem Sie Ihre Informationswerte und Mitarbeitenden vor gängigen Risiken wie Cyberangriffen schützen.

Diese Qualifizierungen unserer Informationssicherheitsberater stehen für Qualität und Vertrauen: Certified Information Privacy Professional Europe (IAPP), ITIL® 4 Foundation Certificate for IT Service Management, ISO 27001 Lead Implementer/Lead Auditor/Master, Certificate in Information Security Management Principles (CISMP), Certified TickIT+ Lead Auditor, Certified ISO 9001 Lead Auditor, Cyber Essentials

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren