Ist Ihr Unternehmen eigentlich nach TISAX® zertifiziert? Wer mit dieser Frage konfrontiert wird und erste Recherchen anstellt, kann angesichts der Begriffsvielfalt rund um TISAX® schon mal irritiert sein. Oft ist von Zertifizierung die Rede, selten von einem Zertifikat – und hier und da ist zu lesen, dass es gar kein Zertifikat gäbe. Wie es nun wirklich ist? Wir haben für Sie genauer hingeschaut.
In diesem Beitrag
- Können Unternehmen eine Zertifizierung nach TISAX® durchlaufen?
- Welche Vorteile bietet eine Zertifizierung nach TISAX®?
- Wie lange ist eine Zertifizierung nach TISAX® gültig?
- Wie läuft der Prozess für die Zertifizierung nach TISAX® ab?
- Wie viel kostet eine Zertifizierung nach TISAX®?
- Wie lange dauert eine Zertifizierung nach TISAX®?
- Fazit
Können Unternehmen eine Zertifizierung nach TISAX® durchlaufen?
Genau genommen gibt es weder eine Zertifizierung nach TISAX® noch ein TISAX® Zertifikat. Kurz zum Hintergrund: TISAX® steht für Trusted Information Security Assessment Exchange. Dabei handelt es sich um einen Prüf- und Austauschmechanismus zur Informationssicherheit für Unternehmen im Automotive-Sektor. Entwickelt wurde TISAX® von der ENX Association, dem Zusammenschluss der europäischen Automobilhersteller, -zulieferer und -verbände. Geprüft werden Informationssicherheits-Managementsysteme (ISMS) für TISAX® nach dem Branchenstandard VDA ISA, welcher sich im Wesentlichen auf die Internationale Norm ISO 27001 stützt.
Während Unternehmen für ihr ISMS eine ISO 27001-Zertifizierung bekommen können, spricht die für TISAX® zuständige ENX Association von einem TISAX® Assessment. Der größte Unterschied zwischen einem TISAX® Assessment und einer Zertifizierung nach ISO 27001 liegt allein im Wording. Faktisch wird in beiden Fällen überprüft, ob das ISMS die definierten Vorgaben erfüllt oder nicht.
Hier gelangen Sie zu unserem Artikel, der die Unterschiede zwischen TISAX® und ISO 27001 festhält.
Welche Vorteile bietet eine Zertifizierung nach TISAX®?
Ein ISMS mit gut strukturierten Prozessen ist essenziell für Unternehmen, die ein hohes Maß an Informationssicherheit gewährleisten möchten. Die ISO 27001 ist für den Aufbau entsprechender Prozesse der Maßstab. Der Kernvorteil einer sogenannten Zertifizierung nach TISAX® besteht hingegen darin, dass die Ergebnisse der durchgeführten Assessments für alle am TISAX® Verfahren teilnehmenden Unternehmen aus der Automobilbranche einsehbar sind. Denn Unternehmen, die sich bei der ENX Association für das TISAX® Portal angemeldet haben und entsprechende Beiträge zahlen, können die TISAX® Ergebnisse aller anderen teilnehmenden Unternehmen einsehen.
Vor allem die OEMs im Automotive-Sektor verlangen von ihren Zulieferern und Partnern, dass sie über die geforderten TISAX® Nachweise verfügen und mit diesen im TISAX® Portal der ENX Association gelistet sind. Inzwischen trifft dies auf rund 2.500 Unternehmen in 40 Ländern zu. Die meisten Unternehmen absolvieren ein TISAX® Assessment reaktiv, um die Anforderungen ihrer Geschäftspartner zu erfüllen. Dies nachweisen zu können, ist Voraussetzung für die Teilhabe am Automotive-Markt. Weitergehende Marketing-Überlegungen spielen jedoch keine Rolle, denn anders als beim ISO 27001 Zertifikat, dürfen Unternehmen öffentlich nicht damit werben, dass sie eine TISAX® Überprüfung durchlaufen haben.
Wie lange ist eine Zertifizierung nach TISAX® gültig?
Die Überprüfung erfolgt für fest definierte Prüfziele. Zur Auswahl stehen acht unterschiedliche Ziele, jedes ist mit einem sogenannten TISAX® Label verbunden. Eine einmal erteiltes TISAX® Label ist drei Jahre lang gültig. Danach muss es erneuert werden. Zu diesem Zweck haben Unternehmen dann wieder ein TISAX® Assessment zu absolvieren. Während der dreijährigen Gültigkeitsdauer erfolgen keine externen Überprüfungen. Teilnehmende Unternehmen sind jedoch angehalten, regelmäßig sogenannte TISAX® Self-Assessments durchzuführen und dies auch zu dokumentieren. Fehlen entsprechende Nachweise am Ende der dreijährigen Gültigkeitsdauer eines Labels, wird der Prüfer dies beim nächsten Assessment bemängeln und die erneute Label-Vergabe überdenken.
Wie läuft der Prozess für die Zertifizierung nach TISAX® ab?
Der Prozess läuft so ähnlich ab wie bei einer ISO 27001-Zertifizierung. Im ersten Schritt sollten sich interessierte Unternehmen einen fachkundigen Partner wie DataGuard suchen, um auf ihrer Reise zur Zertifizierung nach TISAX® keine teuren Umwege zu machen. Gemeinsam registrieren wir das Unternehmen dann bei der ENX Association für die TISAX® Teilnahme und legen den Prüf-Scope fest. Dieser beschreibt den Anwendungsbereich. In der Regel kommt ein von der ENX vordefinierter Standard-Scope zur Anwendung.
Im nächsten Schritt starten wir dann ein gemeinsames Projekt, in dessen Verlauf wir das unternehmenseigene ISMS so auf- bzw. ausbauen, dass es die TISAX® Anforderungen zuverlässig erfüllt. Ist dies der Fall, suchen wir über die TISAX® Plattform eine zugelassene Prüfstelle, vereinbaren mit dieser die finanziellen Rahmenbedingungen für die Durchführung eines TISAX® Assessments und legen die Audit-Termine fest. Wurden diese erfolgreich absolviert, ist der Zertifizierungsprozess nach TISAX® abgeschlossen. Die Prüfergebnisse werden im TISAX® Portal veröffentlicht. Zu diesem Zweck reicht der Prüfdienstleister die Ergebnisse bei der ENX Association ein.
Wie viel kostet eine Zertifizierung nach TISAX®?
Die Gesamtkosten lassen sich kaum vorhersagen. Je nach Entwicklungsstand des existierenden ISMS, angestrebtem TISAX® Label und intern vorhandenem Know-how bewegt sich die Bandbreite bei kleinen und mittleren Unternehmen (KMU) zwischen 20.000 und 50.000 Euro. Nach oben hin gibt es keinen fixen Deckel. Warum das so ist, lässt schon ein kurzer Blick auf die Vielfalt der verschiedenen Kostenpositionen im Zertifizierungsprozess erahnen.
Investieren müssen Unternehmen für eine TISAX® Zulassung unter anderem in:
- Entsprechend qualifiziertes Personal
- Anforderungsgerechte Soft- und Hardware
- Trainings und Schulungen
- Begleitung durch externe Berater wie DataGuard
- Arbeitszeit und Personalressourcen
- Assessmentkosten für den Aufwand akkreditierter Prüfstellen
- Mitgliedsbeiträge an die ENX Association
Wie lange dauert eine Zertifizierung nach TISAX®?
Der eigentliche Zertifizierungsprozess dauert nur wenige Tage – umfasst er doch genau genommen und je nach Prüfziel allenfalls die Vor-Ort-Überprüfung des ISMS durch den Prüfer einer akkreditierten Prüfstelle. Bis es soweit ist, sind allerdings zahlreiche Schritte zu absolvieren: von der Anmeldung fürs TISAX® Portal, über den Aufbau eines eigenen TISAX® konformen ISMS bis hin zur Festlegung des Prüf-Scopes und der Auswahl einer geeigneten Prüfstelle. Die Erfahrungen in der Praxis zeigen: TISAX® Projekte beschäftigen Unternehmen meist länger, Projektzeiträume von bis zu neun Monaten sind keine Seltenheit.
Fazit
Nach einem erfolgreichen TISAX® Assessment werden Unternehmen mit entsprechenden Nachweisen im TISAX® Portal gelistet. Dies ist die Eintrittskarte zur Teilnahme am Automotive-Markt.
De facto handelt es sich damit um einen Zertifizierungsprozess – auch wenn die ENX Association die Begriffe „Zertifizierung“ und „Zertifikat“ in ihren Beschreibungen bewusst ausklammert und umgeht.
Sprechen Sie uns für eine kostenlose Erstberatung zur Zertifizierung nach TISAX® gerne an. Unser Team besteht aus geprüften Informationssicherheitsexperten die Ihnen jederzeit zur Seite stehen.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Bereiten Sie sich auf das TISAX® Assessment vor
Mit unserer kostenlosen Checkliste erfahren Sie, wie Sie Ihr Team zu organisieren haben und welche Ziele erreicht werden sollten.
Jetzt kostenlos herunterladen
