Wer ein Label nach TISAX® will, muss als Unternehmen die Anforderungen an TISAX® erfüllen. Aber was sind die Anforderungen eigentlich? Und welche sind für Unternehmen relevant? Antworten auf diese und weitere Fragen rund um die Anforderungen an TISAX® geben wir Ihnen im folgenden Beitrag.

Was ist TISAX®?

Wichtig zu wissen: Was ist TISAX® eigentlich?

TISAX® (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Mit einer Zertifizierung nach TISAX® weisen Unternehmen nach, dass sie entsprechenden Anforderungen an Informationssicherheit, Prototypen- und Datenschutz nachkommen, die für die Automobilindustrie wichtig sind.

Das Label sorgt auf diese Weise für Vertrauen bei den Herstellern und erleichtert die Zusammenarbeit. Zulieferer, die mit deutschen Automobilherstellern zusammenarbeiten wollen, sollten in der Lage sein, ihre Informationssicherheit durch eine Zertifizierung nach TISAX® nachweisen.

Entwickelt wurde TISAX® ursprünglich vom VDA, dem Verband der Deutschen Automobilindustrie. Inzwischen gilt der Standard längst europaweit. Seit dem Jahr 2000 ist TISAX® eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie.

Das Prüfverfahren basiert auf einem ISA-Fragebogen des VDA (VDA-ISA), der eine Reihe von Anforderungen an die Informationssicherheit in der Automobilindustrie definiert. ISA steht für Information Security Assessment.

Wie läuft der Zertifizierungsprozess nach TISAX® ab?

1. Registrierung: Der erste Schritt zur Zertifizierung nach TISAX® ist die Registrierung bei der ENX. Die ENX Association ist die zentrale Plattform für die Durchführung und Verwaltung von Assessments nach TISAX®. Nach der Registrierung erhalten Unternehmen den Fragenkatalog nach TISAX®. Dieser enthält alle Anforderungen, die ein Unternehmen erfüllen muss, um eine Zertifizierung nach TISAX® zu erhalten.
   
   
2. Selbstbewertung: Im nächsten Schritt führen Unternehmen ein Selbstbewertungsverfahren durch. Dabei überprüfen sie, ob sie die Anforderungen des Fragenkatalogs erfüllen.
   
   
3. Auswahl des Prüfers: Nach Abschluss des Selbstbewertungsverfahrens wählen Unternehmen einen akkreditierten Prüfdienstleister aus. Der Prüfdienstleister führt eine Prüfung der Informationssicherheits-Maßnahmen des Unternehmens durch. Die Prüfung erfolgt je nach angestrebtem Level entweder vor Ort oder auf remote Basis von Dokumenten.
   
   
4. Vorbereitung: Der Prozess dauert in der Regel 6 Monate bis zu einem Jahr. Am Ende der Prüfung erstellt der Prüfdienstleister einen Bericht über die Ergebnisse. Wenn das Unternehmen die Anforderungen erfüllt, vergibt der Prüfdienstleister ein Label nach TISAX. Das Label bestätigt das Informationssicherheitsniveau des Unternehmens.

Anforderungen für eine Zertifizierung nach TISAX®

Die TISAX® Anforderungen sind vergleichbar mit denen der ISO 27001. Teilnehmende Unternehmen müssen nachweisen, dass sie über ein etabliertes und zuverlässig funktionierendes Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen.

Der für TISAX® relevante VDA ISA Fragenkatalog, der von der ENX Association herausgegeben wird, gibt keine weiteren Hinweise darauf, wie das ISMS aufgebaut sein muss – das wird vorausgesetzt.

Dennoch gibt es im Hinblick auf die TISAX® Anforderungen durchaus Unterschiede zur ISO 27001. Diese hängen von den angestrebten Prüfzielen und den damit verbundenen Assessment nach TISAX® Leveln ab.

Kriterien für die Anforderungen

Maßgeblich für das Assessment ist der VDA ISA Fragenkatalog. Er wird sowohl für das Self-Assessment herangezogen als auch für Überprüfungen durch den Auditor.

Beim VDA ISA Fragenkatalog handelt es sich um ein strukturiertes Excel-Dokument mit 300 Fragen. Für jeden Prüfbereich sind darin sämtliche Teilziele sowie die zugehörigen Kontrollfragen definiert.

Zu jedem Teilziel finden sich im Excel-Dokument vier Anforderungsspalten, um die Anforderungen gemäß der unterschiedlich hohen Schutzbedarfe abzubilden.

Welche Anforderungen an TISAX® gibt es?

Die Anforderungen an TISAX® werden neben allen Prüfzielen und Reifegraden im Anforderungskatalog VDA ISA in einem Excel Dokument in vier Spalten zusammengefasst. Nach der Wahl des entsprechenden Prüfziels werden die zugehörigen Anforderungen aufgelistet. Ihre Umsetzung im Unternehmen kann mithilfe der Kontrollfragen nach Reifegraden bewertet werden.

Die Anforderungen für jedes Prüfziel werden in vier Spalten eingeteilt:

• Muss-Anforderungen
  
  
• Sollte-Anforderungen
  
  
• Zusatzanforderungen bei hohem Schutzbedarf
  
  
• Zusatzanforderungen bei sehr hohem Schutzbedarf

Für jede Kategorie werden Anforderungen vermerkt, die für das Erfüllen des zugehörigen Prüfziels umzusetzen sind.

Erforderliche und empfohlene Anforderungen an die Zertifizierung nach TISAX®

Aktuell gibt es 12 Prüfziele (ab April 2024 werden es 10 sein), für die spezielle Anforderungen definiert sind. Sechs für die Informationssicherheit, vier für den Prototypenschutz und zwei zum Thema Datenschutz.

Aber welche Anforderungen gelten für welches Prüfziel? Wir haben Ihnen alle Anforderungen und Kriterienkataloge in einer Übersicht zusammengefasst:

Anforderungen an TISAX®: Reifegrade

Ob Ihr ISMS die Anforderungen erfüllt oder nicht, hängt auch davon ab, mit welchem Reifegrad der Auditor die Umsetzung für ein Teilziel bewertet.

Es gibt sechs Reifegrade. Die Skala reicht von 0 für „unvollständig“ bis 5 für „optimierend“ im Sinne von „wird fortlaufend weiter verbessert“. Der Durchschnitt aller Teilergebnisse ergibt am Ende den Reifegrad des ISMS. Für die Zertifizierung nach TISAX® muss mindestens Reifegrad 3 erreicht werden. Allerdings wird für die Berechnung maximal der Wert 3 genommen. Das heißst, eine 1 kann nicht mit einer 5 ausgeglichen werden. Unternehmen brauchen mindestens eine 2,7, um zu bestehen.

Erfüllen der Anforderungen an TISAX®

Wenn Sie ein Prüfziel gewählt haben, steht auch fest, welche Anforderungen Sie für das Prüfziel erfüllen müssen. Um eine Zertifizierung nach TISAX® zu erhalten, müssen Unternehmen nachweisen, dass sie über ein geeignetes ISMS verfügen und die geforderten Standards und Prozesse einhalten.

Um das zu erreichen, führen Unternehmen eine Selbstbewertung anhand des VDA ISA Fragebogens durch: Dabei stellen Sie fest, welche Anforderungen sie bereits erfüllen und an welchen Stellen Maßnahmen optimiert werden müssen.

Bestätigt wird die Selbsteinschätzung je nach gewähltem Prüfziel und Assessment Level anschließend von einem akkreditierten Prüfer. Je nach ausgewählten Prüfziel und entsprechendem Assessment Level erfolgt die Bestätigung auf Vorlage der Nachweise remote oder in einer Prüfung des Unternehmens vor Ort durch den ausgewählten Auditor.

Sind die TISAX® Anforderungen an einen Konzern die gleichen wie an ein Kleinunternehmen?

So wie die TISAX® Anforderungen im VDA ISA Fragenkatalog formuliert sind, gelten sie für die theoretische Umsetzung in einem fiktionalen Durchschnittsunternehmen unbekannter Größe.

Die Prüfanleitung ist hochstandardisiert – und nicht in Stein gemeißelt: Es liegt in der Hand des Auditors, die Anleitung angemessen auszulegen und Art, Größe und Struktur eines Unternehmens anzupassen.

Deshalb heißt es im TISAX® Handbuch ausdrücklich: „Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.“

Anforderungen an TISAX®: Was passiert bei Nicht-Erfüllen?

Im Idealfall stellt der Auditor nach einer Überprüfung nach TISAX® die Konformität Ihres ISMS fest. Die TISAX® Anforderungen werden im geforderten Umfang erfüllt.

Es kann aber auch sein, dass Ihr Unternehmen nicht alle Anforderungen erfüllt. In diesem Fall hat der Auditor entweder eine oder mehrere Haupt- beziehungsweise Nebenabweichungen ermittelt.

Bei einem Prüfergebnis mit Nebenabweichungen kann der Prüfer ein vorläufiges Label nach TISAX® erteilen. Das gilt dann eingeschränkt so lange, bis sämtliche Nebenabweichungen beseitigt sind.

Anders sieht es aus, wenn der Prüfer eine oder mehrere Hauptabweichungen von den Anforderungen nach TISAX® feststellt: In diesen Fällen erhalten Sie das angestrebte Label nach TISAX® erst dann, wenn alle Schwachstellen und Probleme beseitigt sind.

Dafür müssen Sie geeignete Kompensations- und Abhilfemaßnahmen entwickeln und diese dem Auditor vorlegen. Genehmigt er die vorgeschlagenen Maßnahmen, müssen diese erfolgreich umgesetzt werden.

Je nach Einschätzung des Auditors kann dieser das Prüfergebnis dann von „hauptabweichend“ auf „nebenabweichend“ umdeklarieren und ein vorläufiges Label nach TISAX® erteilen. Solange dies nicht geschehen ist, kann Ihr Unternehmen im Automobilsektor keine Geschäfte mit OEMs tätigen, die ein Label verlangen.

Anforderungen an TISAX®: Was sind die größten Herausforderungen?

Organisation, Ressourcen, Kontinuität - das sind die größten Herausforderungen der Anforderungen an TISAX®. Denn ein ISMS-Projekt nach TISAX® ist nur dann erfolgreich, wenn alle involviert sind, die an den Prozessen verantwortlich mitwirken.

1. Ressourcen und Kommunikation: Ressourcen und ihre Kapazitäten müssen dauerhaft bereitgestellt und kontinuierlich neu organisiert werden. 
   
   Je nach Unternehmen sind viele Akteure und Abteilungen an einem Projekt nach TISAX® beteiligt. Um deren Teilhabe zu managen und die richtigen Entscheidungen zur richtigen Zeit treffen zu können, muss ein TISAX® Projekt sehr strukturiert ablaufen und intern gut kommuniziert werden.
   
   
2. Kontinuität: Ein ISMS nach TISAX® aufzubauen und im täglichen Betrieb zu etablieren, erfordert kontinuierliche Arbeit und in allen Bereichen entsprechende Ressourcen. Diese müssen dauerhaft bereitgestellt werden. Auch nach Abschluss des Audits muss die Arbeit an TISAX® ein kontinuierlicher Prozess bleiben und darf nicht archiviert werden.

Können kleine Unternehmen die Anforderungen an TISAX® überhaupt erfüllen?

Definitiv ja. Der VDA ISA Fragenkatalog ist so geschrieben, dass auch kleine und kleinste Unternehmen damit arbeiten können.

Die Anforderungen an TISAX® sind als Richtlinien zu verstehen, die nicht eins zu eins, sondern so umzusetzen sind, dass die angestrebten Prüfziele und der gewünschte Schutzbedarf in angemessener Wiese und hinreichendem Ausmaß erreicht werden. Ob und wann dies der Fall ist, das beurteilen die Prüfdienstleister für jedes Unternehmen individuell.

Der Aufbau eines ISMS ist aber, genau wie das Audit selbst, immer mit Aufwand und Kosten verbunden. Insbesondere Kleinstbetriebe sollten daher abwägen, ob der Aufwand und die mit einer Zertifizierung nach TISAX® verbundenen Chancen in einem wirtschaftlich sinnvollen Verhältnis stehen.

Sind die Anforderungen an TISAX® verpflichtend?

Nein, gesetzlich vorgeschrieben ist eine Zertifizierung nach TISAX® nicht.

Kein Unternehmen kann dazu verpflichtet werden, ein TISAX®-konformes ISMS einzuführen und dies im Rahmen eines Assessments nach TISAX® auch nachzuweisen.

Einerseits. Andererseits ist ein Nachweis über TISAX® praktisch Pflicht und für alle Unternehmen unverzichtbar, die in der Automobilbranche und als Zulieferer oder Partner für Automobilhersteller tätig sein wollen. Ohne TISAX®-Nachweis wird eine Zusammenarbeit mit den großen OEMs nicht zustande kommen.

Wichtigste Praxis-Tipps zum Erfüllen der TISAX® Anforderungen

Tipp 1: Das Projekt-Management

Sowohl bei der Vorbereitung auf ein Audit nach TISAX® als auch für das kontinuierliche Erfüllen der Anforderungen an TISAX® im laufenden Betrieb ist das Projektmanagement essenziell. Unternehmen sollten Aufbau, Struktur und Organisation ihres ISMS sorgsam planen und sehr systematisch angehen.

Tipp 2: Ressourcenplanung

Haben Sie ein Auge auf das Thema Ressourcen. Denn um die Anforderungen an TISAX® zu erfüllen, müssen im Unternehmen viele Parteien aus unterschiedlichen Abteilungen involviert werden – am besten frühzeitig und in vorhergeplantem Umfang auch dauerhaft. Denn ein ISMS gemäß TISAX® ist weder zeitlich begrenzt noch ein reines IT-Projekt. Dessen sollten sich Interessenten bewusst sein und sich im Projekt nach TISAX® entsprechend aufstellen.

Was sind die Vorteile einer Zertifizierung nach TISAX®?

Die Zertifizierung nach TISAX® ist ein freiwilliges Verfahren, das Unternehmen der Automobilindustrie durchführen können, um ihre Informationssicherheits-Maßnahmen nachzuweisen. Allerdings bietet die Zertifizierung nach TISAX® Unternehmen der Automobilindustrie einige Vorteile:

• Nachweis der Informationssicherheits-Maßnahmen: Die Zertifizierung nach TISAX® ist ein Nachweis dafür, dass ein Unternehmen die Anforderungen an die Informationssicherheit in der Automobilindustrie erfüllt. Dies ist für Kunden und Geschäftspartner ein wichtiges Entscheidungskriterium.
  
  
• Vertrauensbildung bei Kunden und Geschäftspartnern: Eine Zertifizierung nach TISAX® trägt dazu bei, das Vertrauen von Kunden und Geschäftspartnern in die Informationssicherheit eines Unternehmens zu stärken. Das wirkt sich positiv auf die Geschäftsbeziehungen aus.
  
  
• Verbesserung der Wettbewerbsposition: Unternehmen, die die Anforderungen an TISAX® erfüllen, sind gegenüber Unternehmen ohne Zertifizierung im Vorteil. Dies liegt daran, dass sie als vertrauenswürdiger und zuverlässiger Partner wahrgenommen werden.
  
  
• Erfüllung von Kundenanforderungen: Viele Automobilhersteller verlangen von ihren Lieferanten und Dienstleistern eine Zertifizierung nach TISAX®. In diesem Fall ist die Zertifizierung eine Voraussetzung für den Geschäftsabschluss.
  
  
• Zusätzlich gilt natürlich: Eine Zertifizierung nach TISAX® trägt auch dazu bei, das Informationssicherheitsniveau des Unternehmens zu verbessern. Das reduziert langfristig Risiken und verhindert Sicherheistvorfälle.

Meistern Sie die Anforderungen an TISAX® erfolgreich

Die Anforderungen an TISAX® sind hoch. Beschrieben werden sie im VDA ISA Fragenkatalog – nicht eins zu eins verbindlich, sondern generalisiert.

Auf diese Weise bleibt Prüfdienstleistern der nötige Spielraum in der Auslegung, sodass jedes Unternehmen unabhängig von seiner Größe oder Organisation prinzipiell die Anforderungen an TISAX® erfüllen kann.

Damit das sicher gelingt, stehen Ihnen die Experten von DataGuard mit einer Beratung zu TISAX® zur Seite.