Sicherheit in der Automobil-Industrie
Technologischer Fortschritt, neue Regularien und internationale Zusammenarbeit – Informationssicherheit ist gerade in der Automobilindustrie von enormer Bedeutung. Die kontinuierliche Überarbeitung von Datenschutzanforderungen und Entwicklung von neuen Prototypen erfordert höchste Informationssicherheitsstandards in Unternehmen.
Oft sind Hundertschaften von Ingenieuren und Zulieferbetrieben an Neu- und Weiterentwicklungen beteiligt. Doch damit die großen OEMs ihren Zulieferern vertrauen können, müssen gewisse Anforderungen erfüllt werden, die durch Informationssicherheitsstandards erfüllt werden. In der Automobilbranche ist die Zertifizierung nach TISAX® dabei der Goldstandard, mit dem Sie sich von Konkurrenten absetzen und einen Wettbewerbsvorteil erzielen können
Wer braucht eine Zertifizierung, welche Vorteile hat es, sich zertifizieren zu lassen und was brauchen Unternehmen für einen erfolgreichen Abschluss Ihrer Zertifizierung nach TISAX®? In unserem Leitfaden erfahren Sie die wichtigsten Infos und Schritte auf dem Weg zur erfolgreichen Zertifizierung nach TISAX®.
VOLKSWAGEN, BMW, ZF Friedrichshafen: Wer eine Zusammenarbeit mit den großen OEMs in der Automobilindustrie anstrebt, kommt um die Zertifizierung nach TISAX® nicht herum. Zwar wird die Zertifizierung nach TISAX® nicht gesetzlich vorgeschrieben, zahlreiche OEMs verlangen von Ihren Lieferanten jedoch, mit der Umsetzung der Zertifizierung bis Herbst 2023 begonnen zu haben.
Insbesondere bei KMUs steigt der Druck im Kampf um die lukrativen Aufträge der großen OEMs. Um weiterhin wettbewerbsfähig zu bleiben ist es wichtig, sich mit dem Thema Cyber- und Informationssicherheit auseinander zu setzen.
Wir erklären Ihnen, was eine Zertifizierung nach TISAX® eigentlich ist, was Unternehmen auf dem Weg zum Assessment beachten sollten und wie Sie am besten ans Ziel kommen.
Seit 2017 ist TISAX® der Standard für Informationssicherheit in der Automobilbranche. Deswegen sollten Unternehmen aus der Industrie verstehen, worum es geht, ganz egal, ob Sie sich am Anfang Ihrer TISAX®-Reise befinden oder mittendrin sind. Erfahren im Folgenden mehr über die Grundzüge, Anforderungen und den Zweck von TISAX®.
TISAX® (Trusted Information Security Assessment Exchange) definiert die Pflichtanforderungen an ein Informationssicherheits-Managementsystem (ISMS) und die datenschutzrechtlichen Anforderungen an Zulieferer in der Automobilindustrie: Die Zertifizierung nach TISAX® ist ein Prüf- und Austauschverfahren für Informationssicherheit und definiert Anforderungen, die speziell für die Automobilindustrie definiert wurden.
Initiiert wurde TISAX® vom Verband der Deutschen Automobilindustrie (VDA). Seitdem hat sich der Standard in ganz Europa etabliert. Seit dem Jahr 2000 ist TISAX® eine eingetragene Marke der ENX Association, dem Zusammenschluss der europäischen Automobilhersteller, -zulieferer und -verbände.
Die Prüfung, nach der Unternehmen eine Zertifizierung nach TISAX® erhalten können, nennt sich Assessment nach TISAX®. Inoffiziell spricht man auch vom Audit nach TISAX®. Bei einem Assessment nach TISAX® werden Informationssicherheits- und Managementsysteme nach dem standardisierten Fragenkatalog, dem VDA ISA geprüft. ISA steht dabei für Information Security Assessment.
Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.
Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.
Warum soll es gerade TISAX® sein? TISAX® ist der Standard für Informationssicherheit in der Automobilbranche – und ermöglicht damit eine sichere Zusammenarbeit zwischen Auftraggeber und Zulieferer.
Komplexe Lieferketten und strikte Anforderungen haben in der Vergangenheit dazu geführt, dass Hersteller (Original Equipment Manufacturers, OEMs) die Audits Ihrer Lieferanten einzeln und unabhängig voneinander durchgeführt haben. Mehrere Kunden bedeuten so mehrere Prüfungen - und damit Arbeits-, Zeit- und Geldaufwand sowohl für Lieferanten als auch für OEMs.
TISAX® wurde entwickelt, um Mehrfachprüfungen zu vermeiden, Aufwand und Kosten zu reduzieren und die Effizienz der Branchenakteure zu steigern. Individuelle Anforderungen werden durch normierte Standards ersetzt, die einen einheitlichen Maßstab für Informationssicherheit bieten und nachvollziehbar geprüft werden können.
Für einen erfolgreichen Zertifizierungsprozess ist es nicht nur wichtig, zu verstehen, was TISAX® ist, sondern auch, wer eine Zertifizierung braucht - abhängig von Branche, Funktion und Kunden.
Grundsätzlich gilt: Jedes Unternehmen, das von seinen Kunden in der Automobilbranche Informationen mit Schutzbedarf erhält, sollte sich in der Praxis zertifizieren lassen.
Zertifizierung, Assessment, Audit – setzen Sie sich mit TISAX® auseinander, stolpern Sie wahrscheinlich über einige dieser Begriffe. Um einen erfolgreichen Zertifizierungsprozess zu durchlaufen, sollten Sie zunächst Ihre Ziele klar definieren und die Inhalte der Begriffe kennen.
Gut zu wissen: Genau genommen, gibt es keine Zertifizierung nach TISAX®. Während Sie für Informationssicherheits-Managementsystem (ISMS) ein ISO 27001-Zertifikat erhalten können, handelt es sich bei TISAX® um ein sogenanntes Label.
Der Unterschied liegt allerdings vor allem im Wording und nicht im Inhalt. Denn in beiden Fällen wird geprüft, ob Ihr ISMS den jeweiligen Anforderungen an TISAX® bzw. ISO 27001 entspricht oder nicht.
Im Fall von TISAX® wird in einem Audit bzw. Assessment am Ende Ihrer Vorbereitungen überprüft, inwiefern Ihr Unternehmen, Ihre Prozesse und Ihr ISMS die definierten Vorgaben erfüllt.
Es handelt sich um einen Prüf- und Austauschmechanismus, das heißt, wurde das Assessment erfolgreich absolviert, reicht der Prüfer die entsprechenden Ergebnisse bei der ENX Association ein. Die Prüfergebnisse werden im TISAX®-Portal veröffentlicht und können von Kunden abgerufen werden.
Die Listung im TISAX®-Portal ist anschließend das Äquivalent zum Zertifikat.
TISAX® orientiert sich an den Vorgaben, die in der ISO 27001 festgehalten sind. Sowohl die Zertifizierung nach TISAX® als auch eine ISO 27001 Zertifizierung bestätigen Ihrem Unternehmen, dass Sie die Anforderungen an den Aufbau, die Umsetzung und den Betrieb von Informationssicherheits-Managementsystemen (ISMS) zum Schutz von Informationsbeständen einhalten. Dabei ist die ISO 27001 jedoch branchenübergreifend relevant, TISAX® „nur“ in der Automobilindustrie. Das heißt, die Anforderungen nach TISAX® sind speziell auf diese Branche zugeschnitten.
Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.
Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.
Für eine Zertifizierung nach TISAX® gilt neben dem Schutz der Informationssicherheit zusätzlich der Schutz von Prototypen und Daten. Ein ISMS nach TISAX® erfüllt einige Anforderungen der ISO 27001, aber möglicherweise nicht alle, kann aber auch je nach erfülltem Assessment Level nach TISAX® – darüber hinaus gehen. Es ist wichtig anzumerken, dass eine Zertifizierung nach TISAX® das Bestehen eines ISO 27001 Audit nicht automatisch garantiert.
Daher gilt: Vor allem wenn Sie im Automobil-Sektor tätig sind und als Zulieferer operieren, ist eine Zertifizierung nach TISAX® sehr zu empfehlen. Denn gerade die großen OEMs verlangen von Ihren Partnern die Einhaltung hoher Sicherheitsstandards.
TISAX® bringt einen Informationssicherheitsstandard – aber wer benötigt den?
TISAX® betrifft vor allem die Zulieferer in der Automobilbranche, die auch in Zukunft lukrative Aufträge erhalten wollen. OEMs vertrauen der Zertifizierung nach TISAX® bei der Wahl Ihrer Partner und machen TISAX® so zu einer Voraussetzung für die Auftragsvergabe.
Möchten Unternehmen also in der Automobilbranche als Zulieferer tätig sein, wird die Zertifizierung für sie zur Notwendigkeit. Ohne Nachweis nach TISAX® kommt heutzutage kaum noch eine Zusammenarbeit mit den großen OEMs zustande. Für Partnerschaften in der Automobilindustrie und insbesondere die Zusicherung von Aufträgen ist die Zertifizierung nach TISAX® damit unverzichtbar.
Reduzieren Sie die Vorbereitungszeit bei Re-Audits bis zu um bis zu 30%
Sparen Sie bis zu 75% des manuellen Arbeitsaufwandes
Neben der Frage, welche Unternehmen TISAX® brauchen, stellt sich auch die Frage, was Unternehmen brauchen, um eine Zertifizierung nach TISAX® zu erhalten. Die erste Voraussetzung für eine Zertifizierung nach TISAX® ist vor allem ein aktives Informationssicherheits-Managementsystem (ISMS).
Um ein Label nach TISAX® zu erhalten, wird geprüft, ob Sie die Anforderungen an TISAX® und die darüber hinaus geforderten Standards an Daten- und Prototypenschutz erfüllen.
Auch unternehmensinterne Prozessabläufe und Dokumentationen müssen für eine erfolgreiche Zertifizierung standardisiert sein. Die wichtigsten Anforderungen sollten am besten schon vor Anmeldung zur Zertifizierung im eigenen Unternehmen gegeben sein.
Ein Überblick über die wichtigsten Anforderungen:
Erfahren Sie mehr über die wichtigsten Anforderungen an Ihr Unternehmen und machen Sie sich Ihren Weg zu TISAX® leicht mit unserer Checkliste für das Assessment nach TISAX®.
TISAX® - aber wie? Bei jedem Projekt stellt sich die Frage: Wo fange ich an und wie geht es dann weiter? Das gilt auch für die Zertifizierung nach TISAX®. Deswegen veranschaulichen wir hier den Prozess zur Zertifizierung und erklären, was und wie geprüft wird.
Für eine Zertifizierung nach TISAX® wird evaluiert, ob Ihr Unternehmen die von der ENX Association festgelegten Informationssicherheits- und Prototypenschutzanforderungen erfüllt. Um festzustellen, ob Ihr Unternehmen alle geforderten Sicherheitsstandards erfüllt, orientieren Prüfdienstleister sich an dem VDA ISA Fragenkatalog.
Die Anforderungen und die Durchführung des Assessments unterscheiden sich allerdings je nach definiertem Prüfziel. Bei einem Assessment für Level 1 nach TISAX® reicht eine Selbsteinschätzung der Maßnahmen aus.
Für das Assessement nach Level 2 nach TISAX® führt der Prüfdienstleister eine Plausibilitätsprüfung Ihrer Selbsteinschätzung durch (für alle Standorte im Prüf-Scope). Er sichert dies ab, indem er Nachweise prüft und ein Interview mit dem Gesamtverantwortlichen für Informationssicherheit durchführt.
Zudem gibt es eine alternative Methode zur Durchführung einer Prüfung im Assessment-Level 2. Anstelle der Plausibilitätsprüfung führt der Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment-Level 2,5" bezeichnet.
Für ein Assessement für Level 3 nach TISAX® führt der Auditor eine Prüfung des Sicherheitsstandards vor Ort durch.
| Erfüllung dieses Prüfziels... | ...möglich mit diesem AL |
| Informationen mit hohem Schutzbedarf | AL 2 |
| Informationen mit sehr hohem Schutzbedarf | AL 3 |
| Prototypenschutz - Bauteile | AL 3 |
| Prototypenschutz - Fahrzeuge | AL 3 |
| Prototypenschutz - Veranstaltungen | AL 3 |
| Datenschutz | AL 2 |
| Datenschutz bei besonderen Kategorien | AL 3 |
Das Informationssicherheits-Managementsystem (ISMS) ist ein umfassender Rahmen von Richtlinien, Prozessen und Kontrollmechanismen zur Verbesserung der Informationssicherheit in Ihrem Unternehmen.
Damit Sie ein funktionierendes ISMS aufbauen, das den Anforderungen nach TISAX® entspricht, machen Sie sich zunächst mit diesen Anforderungen vertraut.
Suchen Sie rechtzeitig Schwachstellen und analysieren Sie Ihr Sicherheitssystem. So identifizieren Sie Bereiche, in denen Optimierungen notwendig sind. Mit unseren zertifizierten Experten erstellen Sie anschließend einen Implementierungsplan, der individuell auf Ihr Unternehmen zugeschnitten ist.
Mit diesem Leitfaden erhalten Sie eine umfassende Checkliste für den Weg zur Zertifizierung nach TISAX®
Menschen, Infrastruktur, physische Sicherheit und die Beziehung zu Dritten – Ermitteln Sie die Informationssicherheitsrisiken für Ihr Unternehmen. Auf dieser Grundlage und unter Einbezug hypothetischer Szenarien führen Sie technische und prozessorientierte Maßnahmen ein, mit denen Sie die ermittelten Risiken mindern und verwalten.
Für den Aufbau des ISMS für eine Zertifizierung nach TISAX® identifizieren und dokumentieren Sie außerdem alle Informationswerte (Assets) in Ihrem Unternehmen und ermitteln die dazugehörigen Informationsträger. Dazu gehören Hardware, Daten und Personal. In Ihrem ISMS halten Sie Verantwortlichkeiten für die Verwaltung und den Schutz der Assets fest.
Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und orientiert sich an einem standardisierten Fragebogen der VDA. Auf dieser Grundlage werden Maßnahmen entworfen und Prozesse iterativ optimiert, bis die Konformität nach TISAX® von einem akkreditierten Prüfer abgenommen wird.
Die Verantwortung für die Durchführung des Assessments nach TISAX® liegt bei der ENX Association. Das Assessment wird auf der Grundlage des VDA-ISA-Fragebogens vorgenommen und ist zunächst ein Self-Assessment.
Der Prozess läuft in folgenden Schritten ab:
Unternehmen registrieren sich auf der TISAX®-Plattform und beauftragen einen Auditor
Initiales Assessment auf Grundlage des VDA-ISA-Fragebogens
Es wird ein Maßnahmenplan erstellt und geprüft, wo Verbesserungen notwendig sind
Die Maßnahmen werden umgesetzt
Die Nachweise werden durch den Auditor geprüft
Ist der letzte Schritt erfolgreich und alle Nachweise liegen geprüft vor, wird das Label für eine Zertifizierung nach TISAX® durch den Auditor vergeben. Das geprüfte Unternehmen wird an die TISAX®-Plattform gemeldet und dort registriert. Wen Sie über die Vergabe des Labels informieren, entscheiden Sie entsprechend selbst.
Die Gesamtdauer des Ablaufs von der Vorbereitung bis zum erfolgreichen Audit liegt zwischen 6 Monaten und einem Jahr. Abhängig von Größe, Komplexität und Infrastruktur des jeweiligen Unternehmens variiert auch der Aufwand für die Implementierung von notwendigen Prozessen.
Plan-Do-Check-Act: Um das TISAX®-Projekt im Unternehmen erfolgreich zu implementieren, hilft das strukturierte Vier-Schritte-Modell. Als zyklisches Modell hat es kein Ende – genau wie die Zertifizierung nach TISAX®, die regelmäßig erneuert und an aktuelle Regularien angepasst werden muss.
Fortlaufende Optimierungen sind der Schlüssel zur effizienten Pflege des Informationssicherheits-Managementsystems, das konform nach TISAX® alle Risiken bewertet und verwaltet.
Plan: In diesem Schritt werden die Ziele für das angestrebte TISAX®-Projekt definiert und festgehalten. Welches Label soll erreicht werden? Was ist die Ist-Situation im Unternehmen? Was ist die Soll-Situation? Und notwendige Maßnahmen werden bestimmt und bereits geplant, um das angestrebte Sicherheits-Level zu erreichen. Als Unternehmen erstellen Sie mit der Unterstützung von Informationssicherheitsexperten einen Implementierungsplan, der Ihr ISMS individuell an die Anforderungen nach TISAX® anpasst.
Do: In dieser Phase werden die Maßnahmen umgesetzt. Alle notwendigen Optimierungen und Verbesserungen des Sicherheitssystems werden in der Do-Phase implementiert und Prozesse an die Anforderungen nach TISAX® angepasst.
Check: Nach der Implementierung der Maßnahmen ist es in diesem Schritt Zeit, die Ergebnisse der Optimierungen zu prüfen und die Performance der verbesserten Bereiche zu messen. Wurden die zu Beginn festgelegten Ziele erreicht? Muss iterativ verbessert werden?
Act: Je nach Ergebnis der ersten Zyklusphase werden in diesem Schritt alle Maßnahmen, die sich als effizient erweisen, stabilisiert und standardisiert. So werden fortlaufend Prozesse optimiert und der Standard nach TISAX® gepflegt und erhalten. Waren die zu Beginn gewählten Maßnahmen nicht zielführend, beginnt der Prozess erneut und es werden weitere Optimierungen vorgenommen.
Sind alle Rahmenbedingungen bekannt, gilt es, die eigentliche Vorbereitung zu starten. Dazu gehören die richtigen Ressourcen, ein motiviertes Team und das Wissen darüber, wie genau das Assessment nach TISAX® aussieht.
Zeit, Know-how und Geld: Die Zertifizierung nach TISAX® erfordert in der Vorbereitung und Umsetzung einige Ressourcen. Projektplaner, IT-Manager und CEOs, die eine Zertifizierung nach TISAX® erreichen wollen, sollten daher Ihre Ressourcen genau planen und die Infrastruktur vorbereiten.
Erfahren Sie in unserem On-Demand Webinar alles zu Ressourcen, Kosten und ROI einer Zertifizierung nach TISAX® aus Kundenperspektive.
Der Umfang und Ablauf von Assessments nach TISAX® kommt immer auf das geforderte Ziel an. Als Erstes registrieren sich interessierte Unternehmen bei der ENX Association für das Assessment nach TISAX®.
Sie erhalten daraufhin den Fragenkatalog nach TISAX®, der auch ohne Anmeldung herunterladbar ist und führen ein Self-Assessment durch. Dabei schätzen die Unternehmen selbstständig ein, inwiefern sie den Standard nach TISAX® bereits erfüllen und welche Maßnahmen sie zum Schutz der Informationssicherheit umsetzen.
Die Unterstützung durch DataGuard als kompetenter Ansprechpartner und externem Informationssicherheitsbeauftragten vor und während unseres Assessments nach TISAX® war extrem hilfreich, gerade bei den Anforderungen, die beim Level 3 nach TISAX® gestellt werden.
Erfolgsquote von 100 % beim ersten Versuch: bestehen Sie das externe ISO 27001-Audit gleich beim ersten Mal.
Um Level 2 und 3 nach TISAX® zu erreichen, wählen Sie als Unternehmen einen akkreditierten Prüfdienstleister aus, der die Selbstauskunft auf Plausibilität prüft und gegebenenfalls vor Ort oder remote kontrolliert. Werden Schwachstellen festgestellt, werden diese anschließend iterativ optimiert.
Am Ende des Prozesses steht die Zertifizierung nach TISAX® und Ihr Unternehmen erhält einen Eintrag in der Datenbank der ENX.
Ablauf des Assessment nach TISAX®:
TISAX® ist nicht gleich TISAX® - je nach Art und Intensität der Zusammenarbeit zwischen OEM und Zulieferer können verschiedene Prüfziele definiert werden. Ob ein Unternehmen diese erfüllt, wird anhand von drei Leveln nach TISAX® geprüft. Dabei gilt: Je höher der Schutzbedarf, desto höher das Level.
Das Handbuch nach TISAX® spricht von Assessment Level 1, Assessment Level 2 und Assessment Level 3.
Level 1 nach TISAX® bedeutet ein “normales” Schutzlevel. Dieses Level erfordert nur eine Selbsteinschätzung anhand des VDA-ISA-Fragenkatalogs durch das Unternehmen. Die Konsequenz: Eine objektive Bewertung des Prüfergebnisses ist nicht möglich und das Level damit praktisch irrelevant.
Level 2 nach TISAX® bedeutet, der Schutzbedarf ist “hoch”. Auch hier erfolgt eine Selbsteinschätzung des Unternehmens. Im Unterschied zu Level 1 wird die Selbsteinschätzung jedoch durch einen externen Prüfer kontrolliert und verifiziert. In der Regel erfolgt die Überprüfung remote.
Level 3 nach TISAX® geht mit dem Schutzbedarf “sehr hoch” einher und ist die häufigste Prüfvariante. Die erste Bewertung des Standards erfolgt ähnlich wie bei Level 2 durch eine Selbsteinschätzung. In diesem Fall überprüft ein akkreditierter Prüfer die Ergebnisse jedoch nicht ausschließlich remote, sondern führt zusätzlich Vor-Ort-Begehungen und Live-Interviews an allen Standorten des Unternehmens durch.
Erfahren Sie die wichtigsten Schritte auf dem Weg zur erfolgreichen Zertifizierung nach TISAX® in unserem Guide.
Die Label nach TISAX® ermöglichen Unternehmen den Einstieg in den Automobilmarkt – aber was ist ein Label nach TISAX® und welche gibt es?
TISAX® kennt unterschiedliche Prüfziele und Label. Die Informationssicherheits-Managementsysteme aller teilnehmenden Unternehmen werden nach einem einheitlichen Standard bewertet. Die Prüfergebnisse werden dann zwischen den Mitgliedunternehmen zentral über eine Plattform ausgetauscht. Damit das einheitlich funktioniert, werden die zu prüfenden Ziele in Level kategorisiert. Unternehmen, die entsprechende Level bzw. Prüfziele erfüllen erhalten im Anschluss das passende Label.
Bisher gibt es acht TISAX®-Label, die sich an acht unterschiedlichen Prüfzielen orientieren: Zwei für den Bereich Informationssicherheit, vier für den Prototypenschutz und zwei weitere Label für den Bereich Datenschutz. Ab Anfang 2024 sollen es zehn Prüfzielen und –labels werden.
Bis zum 31.03.2024 können noch Anmeldungen nach der alten Version erfolgen, wobei das Assessment dann innerhalb der drei darauffolgenden Monate passieren muss, wenn noch der VDA ISA 5.1 relevant wäre. Andernfalls würde man ab dem 01.04.2024 nach dem VDA ISA 6 Katalog gehen.
Die Änderungen betreffen die Prüfziele und Label für den Kriterienkatalog „Informationssicherheit“. TISAX® unterschiedet hier bisher in zwei Schutzniveaus: nämlich den „Umgang mit Informationen mit hohem“ bzw. „sehr hohem Schutzbedarf“.
Aus den zwei Labels gemäß der aktuellen Version 5 des ISA werden in der bereits veröffentlichten Version 6 bald vier Labels werden. Die Unterscheidung in die Schutzniveaus „hoch“ und „sehr hoch“ wird beibehalten. Beide Niveaus gibt es dann künftig jedoch einmal für den Aspekt „Vertraulichkeit“ und zusätzlich für den Aspekt „Verfügbarkeit“.
Je nach Anforderung ist es also möglich, dass ein Unternehmen mehrere Label hat – maximal auch alle acht. Je mehr Anforderungen das Unternehmen erfüllt, desto mehr Label deckt es ab.
| Nr. TISAX®-Prüfungsziel | Abkürzung |
| 1. Umgang mit Informationen mit hohem Schutzbedarf | High Availability |
| 2. Umgang mit Informationen mit sehr hohem Schutzbedarf | Very High Availability |
| 3. Anbindung Dritter mit hohem Schutzbedarf | Confidential |
| 4. Anbindung Dritter mit sehr hohem Schutzbedarf | Strictly Confidential |
| 5. Schutz von Prototypenbauteilen und -komponenten | Proto parts |
| 6. Schutz von Prototypenfahrzeugen | Proto vehicles |
| 7. Umgang mit Erprobungsfahrzeugen | Test vehicles |
| 8. Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings | Proto events |
|
9. Datenschutz Gemäß Art. 28 DSGVO (Auftragsverarbeiter) |
Data |
|
10. Datenschutz mit besonderen Kategorien personenbezogener Daten Gemäß Art. 28 DSGVO (*Auftragsverarbeiter) mit besonderem Kategorien personenbezogener Daten wie in Artikel 9 der DSGVO angegeben. |
Special data |
Das Label nach TISAX® ist das Ergebnis Ihres Prüfprozesses. Mit dem Label wird festgehalten, dass Ihr ISMS die entsprechenden Anforderungen erfüllt. Welches Label ein Unternehmen braucht wird in den meisten Fällen vom Kunden vorgegeben.
Die Kostenfrage zur Zertifizierung nach TISAX® lässt sich nicht pauschal beantworten. Es gilt: Je komplexer die Anforderungen, desto aufwendiger ist die Vorbereitung. Die Kosten variieren also, je nach Bedarf und Grad der Umsetzung. Sowohl die Projektdauer, der Einsatz eigener Ressourcen, der Umfang der bestehenden Infrastruktur als auch die Größe des eigenen Unternehmens beeinflussen die Kostenschätzung.
Einfluss auf den Umfang der Kosten haben vor allem die Höhe des Schutzziels, aber auch die vorhandene Infrastruktur des Unternehmens.
Einen groben Einblick in die einzuplanenden Kostenblöcke geben die folgenden Faktoren:
Damit Sie die Kosten für eine Zertifizierung nach TISAX® ermitteln können, müssen Sie verschiedene Faktoren beachten: Welches Level nach TISAX® soll erreicht werden? Ist bereits ein ISMS aktiv und inwiefern erfüllt es die Anforderungen gemäß TISAX®? Wie viele Ressourcen können Sie in die Umsetzung des Projekts investieren? Damit Sie die Kosten für Ihr Unternehmen kalkulieren können, finden Sie auf diese Weise heraus, wie viel Grundlagenarbeit Sie noch leisten, bevor Sie mit der Implementierung beginnen können.
Reduzieren Sie die Vorbereitungszeit bei Re-Audits bis zu um bis zu 30%
Sparen Sie bis zu 75% des manuellen Arbeitsaufwandes
Ebenfalls relevant für die Kostenkalkulation – der Erhalt des Labels durch erneute Audits. Denn einmal geschafft, muss die Prüfung nach TISAX® alle drei Jahre wiederholt werden, wenn das Label erhalten werden soll. Deswegen sollten auch Kosten für die Pflege und die Aktualisierung des ISMS einkalkuliert werden. Nicht nur die Zertifizierung, sondern vor allem die Pflege des ISMS ist ein fortlaufender Prozess.
Während der dreijährigen Gültigkeitsdauer erfolgen keine externen Audits. Allerdings müssen Unternehmen für eine Erneuerung der Zertifizierung nach TISAX® ein erneutes Assessment absolvieren.
Außerdem werden Unternehmen angehalten, während der Gültigkeitsdauer Self-Assessments im Rahmen interner Audits durchzuführen und eventuelle Mängel und Optimierungen zu dokumentieren. Nachweise über solche Self-Assessments sollten im nächsten Audit vorliegen. Tun sie das nicht, wird der Prüfer das Fehlen beim nächsten Assessment bemängeln und eine erneute Vergabe eventuell überdenken.
Die Unternehmen der Automobilindustrie und vor allem die großen OEMs vertrauen der Zertifizierung nach TISAX®. Denn der Standard nach TISAX® legt eine branchenweit verbindliche Norm für Informationssicherheit fest. Das verhindert teure und aufwendige Mehrfachprüfungen und erleichtert die Zusammenarbeit in der Branche.
TISAX® bietet in der Automobilindustrie gleich mehrere Vorteile: Nicht nur für OEMs ist eine einheitliche Zertifizierung eine Erleichterung. Auch Zulieferer und potenzielle Partner, die für OEMs tätig sein wollen, profitieren von der Standardisierung der Informationssicherheit in der Automobilindustrie.
Eine Zertifizierung nach TISAX® ist für geprüfte Unternehmen ein klarer Wettbewerbsvorteil: Denn wer als Zulieferer seine Konformität nach TISAX® offiziell nachgewiesen hat, erhöht seine Chancen langfristig als Partner anerkannt und konkurrenzfähig zu bleiben. Wasserdichte Prozesse in Bezug auf Datenschutz und Informationssicherheit sorgen so für Vertrauen bei Kunden und für langfristigen Erfolg Ihres Unternehmens.
Durch die aktive Pflege Ihres ISMS und einer Zertifizierung nach TISAX® ergeben sich folgende Vorteile im Überblick:
Eine Zertifizierung nach TISAX® ist so nicht mehr nur noch nice-to-have, sondern wird zur Voraussetzung, um mit großen OEMs ins Geschäft zu kommen. Das Label schafft nicht nur erhöhte Sicherheit, sondern wirkt sich langfristig auch auf den Umsatz und die Partnerschaften Ihres Unternehmens aus. Verlieren Sie daher keine Zeit mehr und starten Sie Ihre TISAX® Journey.
Die Zertifizierung nach TISAX® ist nicht gesetzlich vorgeschrieben. Das heißt, es ist theoretisch nicht verpflichtend, sich nach TISAX® zertifizieren zu lassen. Allerdings ist der Nachweis über das Einhalten des Informationssicherheitsstandards in der Automobilindustrie eine Voraussetzung, um Aufträge von den wichtigen OEMs zu erhalten.
Besserer Marktzugang, starke Positionierung und Schutz sensibler Daten – die Vorteile der Zertifizierung nach TISAX® liegen bereits auf der Hand. Ohne die Zertifizierung nach TISAX® steigt das Risiko, Informationen und Daten nicht nach dem Branchenstandard zu schützen und das ISMS entsprechend zu pflegen.
Gerade bei den schnelllebigen regulatorischen Veränderungen der Automobilindustrie hilft der fortlaufende Abgleich mit den Anforderungen nach TISAX®, um auf dem neusten Stand und wettbewerbsfähig zu bleiben.
Und nicht nur der Wettbewerb ist ein Risikofaktor: Ohne eine Zertifizierung steigt auch das Risiko von Cyberangriffen und Datenlecks. Ein Rückblick auf das Jahr 2022 zeigt einen Anstieg der Cyberangriffe von 27 Prozent im Vergleich zum Vorjahr. Höchste Zeit, dass Informationssicherheit zur obersten Priorität in Unternehmen wird.
Ein gepflegtes ISMS, das sich an den Anforderungen nach TISAX® orientiert, unterstützt Sie dabei, Risiken rechtzeitig zu identifizieren, Maßnahmen zu entwickeln und zu verwalten – branchen- und unternehmensspezifisch.
Insbesondere als CEO, IT-Manager oder Projektmanager eines Zulieferers in der Automobilindustrie, ist es hilfreich sich rechtzeitig mit den Anforderungen der Zertifizierung nach TISAX® auseinanderzusetzen.
Denn wenn Unternehmen als Partner in der Industrie tätig sein wollen, ist der Nachweis praktisch unverzichtbar. Ein Vorweisen der Nachweise und eine Listung im TISAX® Portal der ENX Association sind damit klare Wettbewerbsvorteile zertifizierter Betriebe.
Konkrete Zahlen lassen sich aufgrund von Datenschutzbestimmungen schwer finden: Wie sehr sich die Zertifizierung nach TISAX® rechnet, ist abhängig von verschiedenen Faktoren. Allerdings bestimmen nicht ausschließlich finanzielle Aspekte, wie die Größe des Unternehmens, die Art der Geschäftstätigkeit und die Marktgegebenheiten den ROI. Der langfristige Erfolg des Unternehmens erhält sich vor allem durch das Vertrauen der Kunden. Deswegen ist die Investition in Informationssicherheit immer lohnenswert.
Die Unterstützung durch DataGuard als kompetenter Ansprechpartner und externem Informations- sicherheitsbeauftragten vor und während unseres Assessments nach TISAX® war extrem hilfreich, gerade bei den Anforderungen, die beim Level 3 nach TISAX® gestellt werden.
Christoph Herold, Chief Development Officer, CBTL
Um einen individuellen ROI einer Zertifizierung nach TISAX® zu bestimmen, führen Sie eine auf Ihr Unternehmen abgestimmte Kosten-Nutzen-Analyse durch und bewerten Sie den ROI hinsichtlich Ihrer persönlichen geschäftsziele und Anforderungen.
Ein klares ja! Denn: Wenn Sie in der heutigen Welt nachweisen können, dass Sie Ihre Informationen sorgfältig schützen, gewinnen Sie Vertrauen und heben sich von der Konkurrenz ab. Die Zertifizierung nach TISAX® schützt Sie damit nicht nur vor zukünftigen Sicherheitsrisiken und Investitionen, sondern bietet auch einen erleichterten Zugang zu Märkten.
Alle TISAX®-Mitglieder haben Zugang zur TISAX®-Plattform – so können Unternehmen einsehen, ob und welche Anforderungen nach TISAX® von Organisationen erfüllt werden.
Mit einem Blick auf die Listung erfahren Unternehmen, ob ihre potenziellen Geschäftspartner die Anforderungen an TISAX® erfüllen. So kann TISAX® zu einem echten Umsatzmotor werden.
Die Zertifizierung nach TISAX® lässt Unternehmen in den Fokus der großen OEMs rücken. Unternehmen, die konform nach TISAX® arbeiten, sind bevorzugte Partner und Zulieferer.
Wer also von vornherein die Anforderungen der Kunden erfüllt, kann mit einem Zuwachs an Aufträgen und stabilen Partnerschaften rechnen. Informationssicherheit wird zur Voraussetzung für Aufträge und der Nachweis über eine Zertifizierung nach TISAX® so zu einem deutlichen Wettbewerbsvorteil.
Damit die Zertifizierung nach TISAX® erfolgreich abläuft, sind vor allem Experten mit dem richtigen Know-how unverzichtbar. Als Spezialist für Informationssicherheit und Datenchutz bieten wir ein vollständiges Beratungs- und Serviceportfolio für die Zertifizierung nach TISAX® an.
Im ersten Schritt erhalten Sie die Vorbereitungsberatung. Dafür wird zunächst die Ist-Situation Ihres Unternehmens in den Blick genommen und etwaige Lücken identifiziert. Außerdem führen wir ein internes Audit durch und beraten Sie beim Implementieren der erforderlichen Sicherheitsstrategien und Maßnahmen.
Nutzen Sie das Wissen von 100+ in-house Experten,die direkt mit Ihnen über die DataGuard Plattform kollaborieren und Sie Schritt für Schritt begleiten
Unsere Plattform wird von KI und InfoSec-Experten unterstützt, die Ihr Team proaktiv beraten, ganz ohne Juristenjargon
P I C
Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten
Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit
Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.