TISAX Pillar Background

Zertifizierung nach TISAX®

Sicherheit in der Automobil-Industrie

Starten Sie noch heute mit TISAX

Zertifizierung nach TISAX®: Der ultimative Leitfaden zum Schutz Ihrer Informationswerte

Technologischer Fortschritt, neue Regularien und internationale Zusammenarbeit – Informationssicherheit ist gerade in der Automobilindustrie von enormer Bedeutung. Die kontinuierliche Überarbeitung von Datenschutzanforderungen und Entwicklung von neuen Prototypen erfordert höchste Informationssicherheitsstandards in Unternehmen.

Oft sind Hundertschaften von Ingenieuren und Zulieferbetrieben an Neu- und Weiterentwicklungen beteiligt. Doch damit die großen OEMs ihren Zulieferern vertrauen können, müssen gewisse Anforderungen erfüllt werden, die durch Informationssicherheitsstandards erfüllt werden. In der Automobilbranche ist die Zertifizierung nach TISAX® dabei der Goldstandard, mit dem Sie sich von Konkurrenten absetzen und einen Wettbewerbsvorteil erzielen können

Wer braucht eine Zertifizierung, welche Vorteile hat es, sich zertifizieren zu lassen und was brauchen Unternehmen für einen erfolgreichen Abschluss Ihrer Zertifizierung nach TISAX®? In unserem Leitfaden erfahren Sie die wichtigsten Infos und Schritte auf dem Weg zur erfolgreichen Zertifizierung nach TISAX®.

Einführung in die Zertifizierung nach TISAX®

VOLKSWAGEN, BMW, ZF Friedrichshafen: Wer eine Zusammenarbeit mit den großen OEMs in der Automobilindustrie anstrebt, kommt um die Zertifizierung nach TISAX® nicht herum. Zwar wird die Zertifizierung nach TISAX® nicht gesetzlich vorgeschrieben, zahlreiche OEMs verlangen von Ihren Lieferanten jedoch, mit der Umsetzung der Zertifizierung bis Herbst 2023 begonnen zu haben.

Insbesondere bei KMUs steigt der Druck im Kampf um die lukrativen Aufträge der großen OEMs. Um weiterhin wettbewerbsfähig zu bleiben ist es wichtig, sich mit dem Thema Cyber- und Informationssicherheit auseinander zu setzen.

Wir erklären Ihnen, was eine Zertifizierung nach TISAX® eigentlich ist, was Unternehmen auf dem Weg zum Assessment beachten sollten und wie Sie am besten ans Ziel kommen.

Was ist TISAX®?

Seit 2017 ist TISAX® der Standard für Informationssicherheit in der Automobilbranche. Deswegen sollten Unternehmen aus der Industrie verstehen, worum es geht, ganz egal, ob Sie sich am Anfang Ihrer TISAX®-Reise befinden oder mittendrin sind. Erfahren im Folgenden mehr über die Grundzüge, Anforderungen und den Zweck von TISAX®.

TISAX® Definition: Wer steckt dahinter?

TISAX® (Trusted Information Security Assessment Exchange) definiert die Pflichtanforderungen an ein Informationssicherheits-Managementsystem (ISMS) und die datenschutzrechtlichen Anforderungen an Zulieferer in der Automobilindustrie: Die Zertifizierung nach TISAX® ist ein Prüf- und Austauschverfahren für Informationssicherheit und definiert Anforderungen, die speziell für die Automobilindustrie definiert wurden.

Initiiert wurde TISAX® vom Verband der Deutschen Automobilindustrie (VDA). Seitdem hat sich der Standard in ganz Europa etabliert. Seit dem Jahr 2000 ist TISAX® eine eingetragene Marke der ENX Association, dem Zusammenschluss der europäischen Automobilhersteller, -zulieferer und -verbände.

Die Prüfung, nach der Unternehmen eine Zertifizierung nach TISAX® erhalten können, nennt sich Assessment nach TISAX®. Inoffiziell spricht man auch vom Audit nach TISAX®. Bei einem Assessment nach TISAX® werden Informationssicherheits- und Managementsysteme nach dem standardisierten Fragenkatalog, dem VDA ISA geprüft. ISA steht dabei für Information Security Assessment.

Was ist TISAX®?

Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt. 

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung. 

 

Warum TISAX®? Der Zweck der Zertifizierung

Warum soll es gerade TISAX® sein? TISAX® ist der Standard für Informationssicherheit in der Automobilbranche – und ermöglicht damit eine sichere Zusammenarbeit zwischen Auftraggeber und Zulieferer.

Komplexe Lieferketten und strikte Anforderungen haben in der Vergangenheit dazu geführt, dass Hersteller (Original Equipment Manufacturers, OEMs) die Audits Ihrer Lieferanten einzeln und unabhängig voneinander durchgeführt haben. Mehrere Kunden bedeuten so mehrere Prüfungen - und damit Arbeits-, Zeit- und Geldaufwand sowohl für Lieferanten als auch für OEMs.

TISAX® wurde entwickelt, um Mehrfachprüfungen zu vermeiden, Aufwand und Kosten zu reduzieren und die Effizienz der Branchenakteure zu steigern. Individuelle Anforderungen werden durch normierte Standards ersetzt, die einen einheitlichen Maßstab für Informationssicherheit bieten und nachvollziehbar geprüft werden können.

Wer braucht eine Zertifizierung nach TISAX®

Für einen erfolgreichen Zertifizierungsprozess ist es nicht nur wichtig, zu verstehen, was TISAX® ist, sondern auch, wer eine Zertifizierung braucht - abhängig von Branche, Funktion und Kunden.

Grundsätzlich gilt: Jedes Unternehmen, das von seinen Kunden in der Automobilbranche Informationen mit Schutzbedarf erhält, sollte sich in der Praxis zertifizieren lassen.

Zertifizierung nach TISAX®: Was ist das?

Zertifizierung, Assessment, Audit – setzen Sie sich mit TISAX® auseinander, stolpern Sie wahrscheinlich über einige dieser Begriffe. Um einen erfolgreichen Zertifizierungsprozess zu durchlaufen, sollten Sie zunächst Ihre Ziele klar definieren und die Inhalte der Begriffe kennen.

Gut zu wissen: Genau genommen, gibt es keine Zertifizierung nach TISAX®. Während Sie für Informationssicherheits-Managementsystem (ISMS) ein ISO 27001-Zertifikat erhalten können, handelt es sich bei TISAX® um ein sogenanntes Label.

Der Unterschied liegt allerdings vor allem im Wording und nicht im Inhalt. Denn in beiden Fällen wird geprüft, ob Ihr ISMS den jeweiligen Anforderungen an TISAX® bzw. ISO 27001 entspricht oder nicht.

Im Fall von TISAX® wird in einem Audit bzw. Assessment am Ende Ihrer Vorbereitungen überprüft, inwiefern Ihr Unternehmen, Ihre Prozesse und Ihr ISMS die definierten Vorgaben erfüllt.

Es handelt sich um einen Prüf- und Austauschmechanismus, das heißt, wurde das Assessment erfolgreich absolviert, reicht der Prüfer die entsprechenden Ergebnisse bei der ENX Association ein. Die Prüfergebnisse werden im TISAX®-Portal veröffentlicht und können von Kunden abgerufen werden.

Die Listung im TISAX®-Portal ist anschließend das Äquivalent zum Zertifikat.

Zertifizierung nach TISAX® und ISO 27001: Was braucht Ihr Unternehmen?

TISAX® orientiert sich an den Vorgaben, die in der ISO 27001 festgehalten sind. Sowohl die Zertifizierung nach TISAX® als auch eine ISO 27001 Zertifizierung bestätigen Ihrem Unternehmen, dass Sie die Anforderungen an den Aufbau, die Umsetzung und den Betrieb von Informationssicherheits-Managementsystemen (ISMS) zum Schutz von Informationsbeständen einhalten. Dabei ist die ISO 27001 jedoch branchenübergreifend relevant, TISAX® „nur“ in der Automobilindustrie. Das heißt, die Anforderungen nach TISAX® sind speziell auf diese Branche zugeschnitten.

Was ist der Unterschied zwischen ISO 27001 und TISAX®?

Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt. 

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung. 

 

Für eine Zertifizierung nach TISAX® gilt neben dem Schutz der Informationssicherheit zusätzlich der Schutz von Prototypen und Daten.  Ein ISMS nach TISAX® erfüllt einige Anforderungen der ISO 27001, aber möglicherweise nicht alle, kann aber auch je nach erfülltem Assessment Level nach TISAX® – darüber hinaus gehen. Es ist wichtig anzumerken, dass eine Zertifizierung nach TISAX® das Bestehen eines ISO 27001 Audit nicht automatisch garantiert. 

Daher gilt: Vor allem wenn Sie im Automobil-Sektor tätig sind und als Zulieferer operieren, ist eine Zertifizierung nach TISAX® sehr zu empfehlen. Denn gerade die großen OEMs verlangen von Ihren Partnern die Einhaltung hoher Sicherheitsstandards.

TISAX® in Unternehmen: Wer ist betroffen?

TISAX® bringt einen Informationssicherheitsstandard – aber wer benötigt den?

TISAX® betrifft vor allem die Zulieferer in der Automobilbranche, die auch in Zukunft lukrative Aufträge erhalten wollen. OEMs vertrauen der Zertifizierung nach TISAX® bei der Wahl Ihrer Partner und machen TISAX® so zu einer Voraussetzung für die Auftragsvergabe.

Möchten Unternehmen also in der Automobilbranche als Zulieferer tätig sein, wird die Zertifizierung für sie zur Notwendigkeit. Ohne Nachweis nach TISAX® kommt heutzutage kaum noch eine Zusammenarbeit mit den großen OEMs zustande. Für Partnerschaften in der Automobilindustrie und insbesondere die Zusicherung von Aufträgen ist die Zertifizierung nach TISAX® damit unverzichtbar.

Blitzschnell zur Zertifizierung nach TISAX®


Reduzieren Sie die Vorbereitungszeit bei Re-Audits bis zu um bis zu 30%
Sparen Sie bis zu 75% des manuellen Arbeitsaufwandes

 

Demo buchen
Dataguard TISAX Certificate

TISAX®: Die wichtigsten Anforderungen

Neben der Frage, welche Unternehmen TISAX® brauchen, stellt sich auch die Frage, was Unternehmen brauchen, um eine Zertifizierung nach TISAX® zu erhalten. Die erste Voraussetzung für eine Zertifizierung nach TISAX® ist vor allem ein aktives Informationssicherheits-Managementsystem (ISMS).

Um ein Label nach TISAX® zu erhalten, wird geprüft, ob Sie die Anforderungen an TISAX® und die darüber hinaus geforderten Standards an Daten- und Prototypenschutz erfüllen.

Auch unternehmensinterne Prozessabläufe und Dokumentationen müssen für eine erfolgreiche Zertifizierung standardisiert sein. Die wichtigsten Anforderungen sollten am besten schon vor Anmeldung zur Zertifizierung im eigenen Unternehmen gegeben sein.

Ein Überblick über die wichtigsten Anforderungen:

  • Informationssicherheits-Politik: Es muss eine Informationssicherheits-Politik etabliert sein, die von Mitarbeitenden verstanden und umgesetzt wird.

  • Risikomanagement: Regelmäßige Kontrollen sollten durchgeführt werden, um Risiken für die Informationssicherheit möglichst frühzeitig zu erkennen und zu behandeln.

  • Prozess-Dokumentationen: Sicherheitsrelevante Prozesse müssen dokumentiert sein.

  • Incident-Response-Plan: Verantwortliche sollten in der Lage sein, auf Sicherheitsvorfälle schnell und angemessen reagieren zu können.

  • Schulungen und Awareness-Programme: Wissen und Bewusstsein für Informationssicherheit und Datenschutz müssen gegeben sein.

  • Datenschutz-Dokumentation: Eine Dokumentation zum Datenschutz stellt sicher, dass Ihr Unternehmen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllt.

Erfahren Sie mehr über die wichtigsten Anforderungen an Ihr Unternehmen und machen Sie sich Ihren Weg zu TISAX® leicht mit unserer Checkliste für das Assessment nach TISAX®.

Wie funktioniert die Zertifizierung nach TISAX®?

TISAX® - aber wie? Bei jedem Projekt stellt sich die Frage: Wo fange ich an und wie geht es dann weiter? Das gilt auch für die Zertifizierung nach TISAX®. Deswegen veranschaulichen wir hier den Prozess zur Zertifizierung und erklären, was und wie geprüft wird.

Was wird für eine Zertifizierung nach TISAX® geprüft?

Für eine Zertifizierung nach TISAX® wird evaluiert, ob Ihr Unternehmen die von der ENX Association festgelegten Informationssicherheits- und Prototypenschutzanforderungen erfüllt. Um festzustellen, ob Ihr Unternehmen alle geforderten Sicherheitsstandards erfüllt, orientieren Prüfdienstleister sich an dem VDA ISA Fragenkatalog.

Die Anforderungen und die Durchführung des Assessments unterscheiden sich allerdings je nach definiertem Prüfziel. Bei einem Assessment für Level 1 nach TISAX® reicht eine Selbsteinschätzung der Maßnahmen aus.

Für das Assessement nach Level 2 nach TISAX® führt der Prüfdienstleister eine Plausibilitätsprüfung Ihrer Selbsteinschätzung durch (für alle Standorte im Prüf-Scope). Er sichert dies ab, indem er Nachweise prüft und ein Interview mit dem Gesamtverantwortlichen für Informationssicherheit durchführt.  

Zudem gibt es eine alternative Methode zur Durchführung einer Prüfung im Assessment-Level 2. Anstelle der Plausibilitätsprüfung führt der Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment-Level 2,5" bezeichnet. 

Für ein Assessement für Level 3 nach TISAX® führt der Auditor eine Prüfung des Sicherheitsstandards vor Ort durch.

Erfüllung dieses Prüfziels... ...möglich mit diesem AL
Informationen mit hohem Schutzbedarf AL 2
Informationen mit sehr hohem Schutzbedarf AL 3
Prototypenschutz - Bauteile AL 3
Prototypenschutz - Fahrzeuge  AL 3
Prototypenschutz - Veranstaltungen AL 3
Datenschutz AL 2
Datenschutz bei besonderen Kategorien  AL 3

Aufbau eines ISMS für eine Zertifizierung nach TISAX®

Das Informationssicherheits-Managementsystem (ISMS) ist ein umfassender Rahmen von Richtlinien, Prozessen und Kontrollmechanismen zur Verbesserung der Informationssicherheit in Ihrem Unternehmen.

Damit Sie ein funktionierendes ISMS aufbauen, das den Anforderungen nach TISAX® entspricht, machen Sie sich zunächst mit diesen Anforderungen vertraut.

Suchen Sie rechtzeitig Schwachstellen und analysieren Sie Ihr Sicherheitssystem. So identifizieren Sie Bereiche, in denen Optimierungen notwendig sind. Mit unseren zertifizierten Experten erstellen Sie anschließend einen Implementierungsplan, der individuell auf Ihr Unternehmen zugeschnitten ist.

Zertifizierung nach TISAX® Prozess

Maximieren Sie Ihre Chance für ein erfolgreiches TISAX® Assessment

Mit diesem Leitfaden erhalten Sie eine umfassende Checkliste für den Weg zur Zertifizierung nach TISAX®

Jetzt kostenlos herunterladen

Menschen, Infrastruktur, physische Sicherheit und die Beziehung zu Dritten – Ermitteln Sie die Informationssicherheitsrisiken für Ihr Unternehmen. Auf dieser Grundlage und unter Einbezug hypothetischer Szenarien führen Sie technische und prozessorientierte Maßnahmen ein, mit denen Sie die ermittelten Risiken mindern und verwalten.

Für den Aufbau des ISMS für eine Zertifizierung nach TISAX® identifizieren und dokumentieren Sie außerdem alle Informationswerte (Assets) in Ihrem Unternehmen und ermitteln die dazugehörigen Informationsträger. Dazu gehören Hardware, Daten und Personal. In Ihrem ISMS halten Sie Verantwortlichkeiten für die Verwaltung und den Schutz der Assets fest.

Asset Management

 

Zertifizierung nach TISAX®: So ist der Prozess

Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und orientiert sich an einem standardisierten Fragebogen der VDA. Auf dieser Grundlage werden Maßnahmen entworfen und Prozesse iterativ optimiert, bis die Konformität nach TISAX® von einem akkreditierten Prüfer abgenommen wird.

Die Verantwortung für die Durchführung des Assessments nach TISAX® liegt bei der ENX Association. Das Assessment wird auf der Grundlage des VDA-ISA-Fragebogens vorgenommen und ist zunächst ein Self-Assessment.

Der Prozess läuft in folgenden Schritten ab:

  1. Unternehmen registrieren sich auf der TISAX®-Plattform und beauftragen einen Auditor

  2. Initiales Assessment auf Grundlage des VDA-ISA-Fragebogens

  3. Es wird ein Maßnahmenplan erstellt und geprüft, wo Verbesserungen notwendig sind

  4. Die Maßnahmen werden umgesetzt

  5. Die Nachweise werden durch den Auditor geprüft

Ist der letzte Schritt erfolgreich und alle Nachweise liegen geprüft vor, wird das Label für eine Zertifizierung nach TISAX® durch den Auditor vergeben. Das geprüfte Unternehmen wird an die TISAX®-Plattform gemeldet und dort registriert. Wen Sie über die Vergabe des Labels informieren, entscheiden Sie entsprechend selbst.

Die Gesamtdauer des Ablaufs von der Vorbereitung bis zum erfolgreichen Audit liegt zwischen 6 Monaten und einem Jahr. Abhängig von Größe, Komplexität und Infrastruktur des jeweiligen Unternehmens variiert auch der Aufwand für die Implementierung von notwendigen Prozessen.

PDCA-Zyklus: Plan-Do-Check-Act bei der TISAX®-Implementierung

Plan-Do-Check-Act: Um das TISAX®-Projekt im Unternehmen erfolgreich zu implementieren, hilft das strukturierte Vier-Schritte-Modell. Als zyklisches Modell hat es kein Ende – genau wie die Zertifizierung nach TISAX®, die regelmäßig erneuert und an aktuelle Regularien angepasst werden muss.

Fortlaufende Optimierungen sind der Schlüssel zur effizienten Pflege des Informationssicherheits-Managementsystems, das konform nach TISAX® alle Risiken bewertet und verwaltet.

PDCA-Zyklus Plan-Do-Check-Act bei der TISAX®-Implementierung

Plan: In diesem Schritt werden die Ziele für das angestrebte TISAX®-Projekt definiert und festgehalten. Welches Label soll erreicht werden? Was ist die Ist-Situation im Unternehmen? Was ist die Soll-Situation? Und notwendige Maßnahmen werden bestimmt und bereits geplant, um das angestrebte Sicherheits-Level zu erreichen. Als Unternehmen erstellen Sie mit der Unterstützung von Informationssicherheitsexperten einen Implementierungsplan, der Ihr ISMS individuell an die Anforderungen nach TISAX® anpasst.

Do: In dieser Phase werden die Maßnahmen umgesetzt. Alle notwendigen Optimierungen und Verbesserungen des Sicherheitssystems werden in der Do-Phase implementiert und Prozesse an die Anforderungen nach TISAX® angepasst.

Check: Nach der Implementierung der Maßnahmen ist es in diesem Schritt Zeit, die Ergebnisse der Optimierungen zu prüfen und die Performance der verbesserten Bereiche zu messen. Wurden die zu Beginn festgelegten Ziele erreicht? Muss iterativ verbessert werden?

Act: Je nach Ergebnis der ersten Zyklusphase werden in diesem Schritt alle Maßnahmen, die sich als effizient erweisen, stabilisiert und standardisiert. So werden fortlaufend Prozesse optimiert und der Standard nach TISAX® gepflegt und erhalten. Waren die zu Beginn gewählten Maßnahmen nicht zielführend, beginnt der Prozess erneut und es werden weitere Optimierungen vorgenommen.

Audit nach TISAX®: Wie bereite ich mich vor?

Sind alle Rahmenbedingungen bekannt, gilt es, die eigentliche Vorbereitung zu starten. Dazu gehören die richtigen Ressourcen, ein motiviertes Team und das Wissen darüber, wie genau das Assessment nach TISAX® aussieht.

Zertifizierung nach TISAX®: Ressourcen

Zeit, Know-how und Geld: Die Zertifizierung nach TISAX® erfordert in der Vorbereitung und Umsetzung einige Ressourcen. Projektplaner, IT-Manager und CEOs, die eine Zertifizierung nach TISAX® erreichen wollen, sollten daher Ihre Ressourcen genau planen und die Infrastruktur vorbereiten.

  • Zeit: Die Zertifizierung nach TISAX® kostet Zeit und Engagement. Beides ist nötig, um die Anforderungen nach TISAX® in ihrem Umfang zunächst zu verstehen und anschließend entsprechende Maßnahmen umzusetzen. Je nach Komplexität des Unternehmens dauert der Prozess von drei Monaten bis zu einem Jahr. Verantwortliche Projektleiter brauchen also ein Team mit Mitarbeitenden, die die erforderlichen zeitlichen Kapazitäten haben.

  • Budget: Sowohl die Implementierung von Informationssicherheitsmaßnahmen als auch die Zertifizierung nach TISAX® selbst verursachen Kosten. Daher sollten vor allem KMUs sicherstellen, dass die finanziellen Kapazitäten verfügbar sind und ein Budget ermitteln.

  • Know-how: Experten für Informationssicherheit – ob intern oder extern – werden für eine erfolgreiche Umsetzung aller Anforderungen benötigt.

  • Technologie und Infrastruktur: Neue Sicherheitssoftware und –hardware und die Aktualisierung von Netzwerken: Unternehmen müssen feststellen, ob Ihre Organisation alle technologischen und infrastrukturellen Anforderungen nach TISAX® erfüllen.

Erfahren Sie in unserem On-Demand Webinar alles zu Ressourcen, Kosten und ROI einer Zertifizierung nach TISAX® aus Kundenperspektive.

Wie läuft ein Assessment nach TISAX® ab?

Der Umfang und Ablauf von Assessments nach TISAX® kommt immer auf das geforderte Ziel an. Als Erstes registrieren sich interessierte Unternehmen bei der ENX Association für das Assessment nach TISAX®.

Sie erhalten daraufhin den Fragenkatalog nach TISAX®, der auch ohne Anmeldung herunterladbar ist und führen ein Self-Assessment durch. Dabei schätzen die Unternehmen selbstständig ein, inwiefern sie den Standard nach TISAX® bereits erfüllen und welche Maßnahmen sie zum Schutz der Informationssicherheit umsetzen.

Vector-1

Die Unterstützung durch DataGuard als kompetenter Ansprechpartner und externem Informationssicherheitsbeauftragten vor und während unseres Assessments nach TISAX® war extrem hilfreich, gerade bei den Anforderungen, die beim Level 3 nach TISAX® gestellt werden.


Christoph Herold, Chief Development Officer, CBTL

Erfolgsquote von 100 % beim ersten Versuch: bestehen Sie das externe ISO 27001-Audit gleich beim ersten Mal.

Demo buchen

Um Level 2 und 3 nach TISAX® zu erreichen, wählen Sie als Unternehmen einen akkreditierten Prüfdienstleister aus, der die Selbstauskunft auf Plausibilität prüft und gegebenenfalls vor Ort oder remote kontrolliert. Werden Schwachstellen festgestellt, werden diese anschließend iterativ optimiert.

Am Ende des Prozesses steht die Zertifizierung nach TISAX® und Ihr Unternehmen erhält einen Eintrag in der Datenbank der ENX.

Ablauf des Assessment nach TISAX®:

  • Mit den Anforderungen nach TISAX® vertraut machen
  • Schwachstellen in den Prozessabläufen erkennen und Verbesserungen implementieren
  • Bei der ENX Association registrieren 
  • Das ISMS aufbauen
  • Self-Assessment durchführen
  • Akkreditierten Prüfdienstleister auswählen
  • Risiken identifizieren, behandeln und verwalten
  • Informationswerte schützen 
  • Das Audit erfolgreich absolvieren
  • Das ISMS pflegen

Assessment nach TISAX®: Welche Level gibt es?

TISAX® ist nicht gleich TISAX® - je nach Art und Intensität der Zusammenarbeit zwischen OEM und Zulieferer können verschiedene Prüfziele definiert werden. Ob ein Unternehmen diese erfüllt, wird anhand von drei Leveln nach TISAX® geprüft. Dabei gilt: Je höher der Schutzbedarf, desto höher das Level.

Level nach TISAX®: Level 1, 2 und 3

Das Handbuch nach TISAX® spricht von Assessment Level 1, Assessment Level 2 und Assessment Level 3.

Level 1 nach TISAX® bedeutet ein “normales” Schutzlevel. Dieses Level erfordert nur eine Selbsteinschätzung anhand des VDA-ISA-Fragenkatalogs durch das Unternehmen. Die Konsequenz: Eine objektive Bewertung des Prüfergebnisses ist nicht möglich und das Level damit praktisch irrelevant.

Level 2 nach TISAX® bedeutet, der Schutzbedarf ist “hoch”. Auch hier erfolgt eine Selbsteinschätzung des Unternehmens. Im Unterschied zu Level 1 wird die Selbsteinschätzung jedoch durch einen externen Prüfer kontrolliert und verifiziert. In der Regel erfolgt die Überprüfung remote.

Level 3 nach TISAX® geht mit dem Schutzbedarf “sehr hoch” einher und ist die häufigste Prüfvariante. Die erste Bewertung des Standards erfolgt ähnlich wie bei Level 2 durch eine Selbsteinschätzung. In diesem Fall überprüft ein akkreditierter Prüfer die Ergebnisse jedoch nicht ausschließlich remote, sondern führt zusätzlich Vor-Ort-Begehungen und Live-Interviews an allen Standorten des Unternehmens durch.

Erfahren Sie die wichtigsten Schritte auf dem Weg zur erfolgreichen Zertifizierung nach TISAX® in unserem Guide.

Welche Label nach TISAX® gibt es?

Die Label nach TISAX® ermöglichen Unternehmen den Einstieg in den Automobilmarkt – aber was ist ein Label nach TISAX® und welche gibt es?

TISAX® kennt unterschiedliche Prüfziele und Label. Die Informationssicherheits-Managementsysteme aller teilnehmenden Unternehmen werden nach einem einheitlichen Standard bewertet. Die Prüfergebnisse werden dann zwischen den Mitgliedunternehmen zentral über eine Plattform ausgetauscht. Damit das einheitlich funktioniert, werden die zu prüfenden Ziele in Level kategorisiert. Unternehmen, die entsprechende Level bzw. Prüfziele erfüllen erhalten im Anschluss das passende Label.

Label nach TISAX® 1-8

Bisher gibt es acht TISAX®-Label, die sich an acht unterschiedlichen Prüfzielen orientieren: Zwei für den Bereich Informationssicherheit, vier für den Prototypenschutz und zwei weitere Label für den Bereich Datenschutz. Ab Anfang 2024 sollen es zehn Prüfzielen und –labels werden

Bis zum 31.03.2024 können noch Anmeldungen nach der alten Version erfolgen, wobei das Assessment dann innerhalb der drei darauffolgenden Monate passieren muss, wenn noch der VDA ISA 5.1 relevant wäre. Andernfalls würde man ab dem 01.04.2024 nach dem  VDA ISA 6 Katalog gehen. 

Die Änderungen betreffen die Prüfziele und Label für den Kriterienkatalog „Informationssicherheit“. TISAX® unterschiedet hier bisher in zwei Schutzniveaus: nämlich den „Umgang mit Informationen mit hohem“ bzw. „sehr hohem Schutzbedarf“. 

Aus den zwei Labels gemäß der aktuellen Version 5 des ISA werden in der bereits veröffentlichten Version 6 bald vier Labels werden. Die Unterscheidung in die Schutzniveaus „hoch“ und „sehr hoch“ wird beibehalten. Beide Niveaus gibt es dann künftig jedoch einmal für den Aspekt „Vertraulichkeit“ und zusätzlich für den Aspekt „Verfügbarkeit“. 

Je nach Anforderung ist es also möglich, dass ein Unternehmen mehrere Label hat – maximal auch alle acht. Je mehr Anforderungen das Unternehmen erfüllt, desto mehr Label deckt es ab.

Nr. TISAX®-Prüfungsziel Abkürzung
1. Umgang mit Informationen mit hohem Schutzbedarf High Availability
2. Umgang mit Informationen mit sehr hohem Schutzbedarf Very High Availability
3. Anbindung Dritter mit hohem Schutzbedarf Confidential
4. Anbindung Dritter mit sehr hohem Schutzbedarf Strictly Confidential 
5. Schutz von Prototypenbauteilen und -komponenten Proto parts
6. Schutz von Prototypenfahrzeugen Proto vehicles 
7. Umgang mit Erprobungsfahrzeugen Test vehicles
8. Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings Proto events

9. Datenschutz 

Gemäß Art. 28 DSGVO (Auftragsverarbeiter) 

Data

10. Datenschutz mit besonderen Kategorien personenbezogener Daten 

Gemäß Art. 28 DSGVO (*Auftragsverarbeiter) mit besonderem Kategorien personenbezogener Daten wie in Artikel 9 der DSGVO angegeben.

Special data

Das Label nach TISAX® ist das Ergebnis Ihres Prüfprozesses. Mit dem Label wird festgehalten, dass Ihr ISMS die entsprechenden Anforderungen erfüllt. Welches Label ein Unternehmen braucht wird in den meisten Fällen vom Kunden vorgegeben.

Kosten der Zertifizierung nach TISAX®

Die Kostenfrage zur Zertifizierung nach TISAX® lässt sich nicht pauschal beantworten. Es gilt: Je komplexer die Anforderungen, desto aufwendiger ist die Vorbereitung. Die Kosten variieren also, je nach Bedarf und Grad der Umsetzung. Sowohl die Projektdauer, der Einsatz eigener Ressourcen, der Umfang der bestehenden Infrastruktur als auch die Größe des eigenen Unternehmens beeinflussen die Kostenschätzung.

Was kostet die Zertifizierung nach TISAX®?

Einfluss auf den Umfang der Kosten haben vor allem die Höhe des Schutzziels, aber auch die vorhandene Infrastruktur des Unternehmens.

Einen groben Einblick in die einzuplanenden Kostenblöcke geben die folgenden Faktoren:

  • Gebühren für den Auditor
  • Implementierungskosten
  • Schulungskosten
  • Dokumentationskosten
  • Aufrechterhaltungskosten

Damit Sie die Kosten für eine Zertifizierung nach TISAX® ermitteln können, müssen Sie verschiedene Faktoren beachten: Welches Level nach TISAX® soll erreicht werden? Ist bereits ein ISMS aktiv und inwiefern erfüllt es die Anforderungen gemäß TISAX®? Wie viele Ressourcen können Sie in die Umsetzung des Projekts investieren? Damit Sie die Kosten für Ihr Unternehmen kalkulieren können, finden Sie auf diese Weise heraus, wie viel Grundlagenarbeit Sie noch leisten, bevor Sie mit der Implementierung beginnen können.

Blitzschnell zur Zertifizierung nach TISAX®


Reduzieren Sie die Vorbereitungszeit bei Re-Audits bis zu um bis zu 30%
Sparen Sie bis zu 75% des manuellen Arbeitsaufwandes

Dataguard TISAX Certificate

Re-Audits: Die Zertifizierung nach TISAX® ist keine einmalige Sache

Ebenfalls relevant für die Kostenkalkulation – der Erhalt des Labels durch erneute Audits. Denn einmal geschafft, muss die Prüfung nach TISAX® alle drei Jahre wiederholt werden, wenn das Label erhalten werden soll. Deswegen sollten auch Kosten für die Pflege und die Aktualisierung des ISMS einkalkuliert werden. Nicht nur die Zertifizierung, sondern vor allem die Pflege des ISMS ist ein fortlaufender Prozess.

Während der dreijährigen Gültigkeitsdauer erfolgen keine externen Audits. Allerdings müssen Unternehmen für eine Erneuerung der Zertifizierung nach TISAX® ein erneutes Assessment absolvieren.

Außerdem werden Unternehmen angehalten, während der Gültigkeitsdauer Self-Assessments im Rahmen interner Audits durchzuführen und eventuelle Mängel und Optimierungen zu dokumentieren. Nachweise über solche Self-Assessments sollten im nächsten Audit vorliegen. Tun sie das nicht, wird der Prüfer das Fehlen beim nächsten Assessment bemängeln und eine erneute Vergabe eventuell überdenken.

Vorteile der Zertifizierung nach TISAX®

Die Unternehmen der Automobilindustrie und vor allem die großen OEMs vertrauen der Zertifizierung nach TISAX®. Denn der Standard nach TISAX® legt eine branchenweit verbindliche Norm für Informationssicherheit fest. Das verhindert teure und aufwendige Mehrfachprüfungen und erleichtert die Zusammenarbeit in der Branche.

TISAX® bietet in der Automobilindustrie gleich mehrere Vorteile: Nicht nur für OEMs ist eine einheitliche Zertifizierung eine Erleichterung. Auch Zulieferer und potenzielle Partner, die für OEMs tätig sein wollen, profitieren von der Standardisierung der Informationssicherheit in der Automobilindustrie.

Eine Zertifizierung nach TISAX® ist für geprüfte Unternehmen ein klarer Wettbewerbsvorteil: Denn wer als Zulieferer seine Konformität nach TISAX® offiziell nachgewiesen hat, erhöht seine Chancen langfristig als Partner anerkannt und konkurrenzfähig zu bleiben. Wasserdichte Prozesse in Bezug auf Datenschutz und Informationssicherheit sorgen so für Vertrauen bei Kunden und für langfristigen Erfolg Ihres Unternehmens.

Durch die aktive Pflege Ihres ISMS und einer Zertifizierung nach TISAX® ergeben sich folgende Vorteile im Überblick:

  • Risikominimierung durch aktives Management
  • Vermeiden von Datenschutzverletzungen
  • Sensibilisierung des Teams zum Thema Datenschutz und Informationssicherheit
  • Erfüllen der Kundenanforderungen
  • Marktzugang und bessere Positionierung im Wettbewerb

Eine Zertifizierung nach TISAX® ist so nicht mehr nur noch nice-to-have, sondern wird zur Voraussetzung, um mit großen OEMs ins Geschäft zu kommen. Das Label schafft nicht nur erhöhte Sicherheit, sondern wirkt sich langfristig auch auf den Umsatz und die Partnerschaften Ihres Unternehmens aus. Verlieren Sie daher keine Zeit mehr und starten Sie Ihre TISAX® Journey.

Welche Risiken bestehen, wenn man sich nicht zertifizieren lässt?

Die Zertifizierung nach TISAX® ist nicht gesetzlich vorgeschrieben. Das heißt, es ist theoretisch nicht verpflichtend, sich nach TISAX® zertifizieren zu lassen. Allerdings ist der Nachweis über das Einhalten des Informationssicherheitsstandards in der Automobilindustrie eine Voraussetzung, um Aufträge von den wichtigen OEMs zu erhalten.

Besserer Marktzugang, starke Positionierung und Schutz sensibler Daten – die Vorteile der Zertifizierung nach TISAX® liegen bereits auf der Hand. Ohne die Zertifizierung nach TISAX® steigt das Risiko, Informationen und Daten nicht nach dem Branchenstandard zu schützen und das ISMS entsprechend zu pflegen.

Gerade bei den schnelllebigen regulatorischen Veränderungen der Automobilindustrie hilft der fortlaufende Abgleich mit den Anforderungen nach TISAX®, um auf dem neusten Stand und wettbewerbsfähig zu bleiben.

Und nicht nur der Wettbewerb ist ein Risikofaktor: Ohne eine Zertifizierung steigt auch das Risiko von Cyberangriffen und Datenlecks. Ein Rückblick auf das Jahr 2022 zeigt einen Anstieg der Cyberangriffe von 27 Prozent im Vergleich zum Vorjahr. Höchste Zeit, dass Informationssicherheit zur obersten Priorität in Unternehmen wird.

Ein gepflegtes ISMS, das sich an den Anforderungen nach TISAX® orientiert, unterstützt Sie dabei, Risiken rechtzeitig zu identifizieren, Maßnahmen zu entwickeln und zu verwalten – branchen- und unternehmensspezifisch.

Insbesondere als CEO, IT-Manager oder Projektmanager eines Zulieferers in der Automobilindustrie, ist es hilfreich sich rechtzeitig mit den Anforderungen der Zertifizierung nach TISAX® auseinanderzusetzen.

Denn wenn Unternehmen als Partner in der Industrie tätig sein wollen, ist der Nachweis praktisch unverzichtbar. Ein Vorweisen der Nachweise und eine Listung im TISAX® Portal der ENX Association sind damit klare Wettbewerbsvorteile zertifizierter Betriebe.

Zertifizierung nach TISAX® sichert Marktchancen: Return on Investment (ROI)

Konkrete Zahlen lassen sich aufgrund von Datenschutzbestimmungen schwer finden: Wie sehr sich die Zertifizierung nach TISAX® rechnet, ist abhängig von verschiedenen Faktoren. Allerdings bestimmen nicht ausschließlich finanzielle Aspekte, wie die Größe des Unternehmens, die Art der Geschäftstätigkeit und die Marktgegebenheiten den ROI. Der langfristige Erfolg des Unternehmens erhält sich vor allem durch das Vertrauen der Kunden. Deswegen ist die Investition in Informationssicherheit immer lohnenswert.

Vector-1

Die Unterstützung durch DataGuard als kompetenter Ansprechpartner und externem Informations- sicherheitsbeauftragten vor und während unseres Assessments nach TISAX® war extrem hilfreich, gerade bei den Anforderungen, die beim Level 3 nach TISAX® gestellt werden.


Christoph Herold, Chief Development Officer, CBTL

Um einen individuellen ROI einer Zertifizierung nach TISAX® zu bestimmen, führen Sie eine auf Ihr Unternehmen abgestimmte Kosten-Nutzen-Analyse durch und bewerten Sie den ROI hinsichtlich Ihrer persönlichen geschäftsziele und Anforderungen.

Ist eine Zertifizierung nach TISAX® die Investition wert?

Ein klares ja! Denn: Wenn Sie in der heutigen Welt nachweisen können, dass Sie Ihre Informationen sorgfältig schützen, gewinnen Sie Vertrauen und heben sich von der Konkurrenz ab. Die Zertifizierung nach TISAX® schützt Sie damit nicht nur vor zukünftigen Sicherheitsrisiken und Investitionen, sondern bietet auch einen erleichterten Zugang zu Märkten.

Alle TISAX®-Mitglieder haben Zugang zur TISAX®-Plattform – so können Unternehmen einsehen, ob und welche Anforderungen nach TISAX® von Organisationen erfüllt werden.

Mit einem Blick auf die Listung erfahren Unternehmen, ob ihre potenziellen Geschäftspartner die Anforderungen an TISAX® erfüllen. So kann TISAX® zu einem echten Umsatzmotor werden.

Die Zertifizierung nach TISAX® lässt Unternehmen in den Fokus der großen OEMs rücken. Unternehmen, die konform nach TISAX® arbeiten, sind bevorzugte Partner und Zulieferer.

Wer also von vornherein die Anforderungen der Kunden erfüllt, kann mit einem Zuwachs an Aufträgen und stabilen Partnerschaften rechnen. Informationssicherheit wird zur Voraussetzung für Aufträge und der Nachweis über eine Zertifizierung nach TISAX® so zu einem deutlichen Wettbewerbsvorteil.

Der einfache Weg zur Zertifizierung nach TISAX® mit DataGuard

Damit die Zertifizierung nach TISAX® erfolgreich abläuft, sind vor allem Experten mit dem richtigen Know-how unverzichtbar. Als Spezialist für Informationssicherheit und Datenchutz bieten wir ein vollständiges Beratungs- und Serviceportfolio für die Zertifizierung nach TISAX® an.

Im ersten Schritt erhalten Sie die Vorbereitungsberatung. Dafür wird zunächst die Ist-Situation Ihres Unternehmens in den Blick genommen und etwaige Lücken identifiziert. Außerdem führen wir ein internes Audit durch und beraten Sie beim Implementieren der erforderlichen Sicherheitsstrategien und Maßnahmen.

Vereinfachen Sie Ihren Weg zur Zertifizierung nach TISAX®


Nutzen Sie das Wissen von 100+ in-house Experten,die direkt mit Ihnen über die DataGuard Plattform kollaborieren und Sie Schritt für Schritt begleiten

Unsere Plattform wird von KI und InfoSec-Experten unterstützt, die Ihr Team proaktiv beraten, ganz ohne Juristenjargon

Demo buchen
Dataguard TISAX Certificate

Demo buchen

P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.