TISAX®: Definition, Kosten, Ablauf und alles, was Sie zur Zertifizierung wissen müssen

TISAX: Definition, Kosten, Ablauf, etc.

Inhaltsverzeichnis

To do: TISAX® Zertifizierung

Die TISAX® Zertifizierung steht spätestens 2022 auf der To-do-Liste vieler Automobilzulieferer und -dienstleister. Sie signalisiert den Automobilherstellern, dass ein Unternehmen Wert auf hohe Informationssicherheit legt und diese den international anerkannten TISAX® Anforderungen entspricht. Das Zertifikat dient den Herstellern unter anderem als Entscheidungsgrundlage für eine zukünftige Zusammenarbeit.

Sie sind in der Automobilindustrie tätig und befinden sich noch nicht auf dem Weg zum Zertifikat? Wir informieren Sie in diesem Beitrag über alles, was Sie wissen müssen und stellen Ihnen abschließend einen zeit- und kosteneffizienten Weg zum TISAX® Assessment vor!

Definition TISAX®

TISAX® steht für Trusted Information Security Assessment Exchange. Es handelt sich um einen Prüf- und Austauschmechanismus der Automobilbranche. Das TISAX® Zertifikat gilt seit 2017 als einheitlicher Nachweis für die Informationssicherheit von Unternehmen in der Automotive-Industrie. Es wird von allen Automobilherstellern anerkannt.

TISAX® ist inhaltlich an die Norm ISO 27001 (eine internationale Norm für die Informationssicherheit) sowie die damit verbundene Einführung eines ISMS (Information Security Management System) angelehnt. Der TISAX® Prüfprozess erfolgt auf Basis eines Fragenkatalogs des Verbands der Automobilindustrie (VDA), welcher die speziellen Anforderungen an die Informationssicherheit im Automotive-Bereich umfasst.

TISAX® im Überblick

TISAX® ist eine eingetragene Marke der ENX Association. Um das TISAX® Label zu erhalten, müssen Sie sich im Portal der ENX Association registrieren und sich nach der erfolgreichen Anmeldung dem Assessment, also der Prüfung, unterziehen. Geeignete TISAX® Prüfdienstleister können Sie ebenfalls im Portal auswählen. Die Prüfergebnisse werden anschließend im ENX Portal hochgeladen. Das Portal dient also als Plattform und bietet die Möglichkeit für alle TISAX® Teilnehmer, die Ergebnisse branchenintern einzusehen und miteinander zu vergleichen.

Der VDA-ISA Fragenkatalog und TISAX®

Die Einordnung bzw. Bewertung der Prüfergebnisse erfolgt anhand des sogenannten VDA-ISA Fragenkatalogs. VDA steht hierbei für Verband der Automobilindustrie und ISA für Information Security Assessment. Der Fragenkatalog wurde vom VDA definiert und wird kontinuierlich gepflegt. Aktuell (Stand Februar 2022) befindet sich der TISAX® Fragenkatalog in Version 5.04 und ist für alle neuen Assessments verpflichtend.  

Wenn Sie sich einen Überblick über die konkreten TISAX® Anforderungen verschaffen möchten, können Sie sich den VDA-ISA Fragenkatalog auf der Website des VDA herunterladen. Dort wird Ihnen der aktuellste VDA-ISA Fragenkatalog zum Download zur Verfügung gestellt. In dem Katalog in Excel-Format können Sie die verschiedenen Module einsehen, die relevant für das TISAX® Assessment sind.

Der Prüfkatalog in der aktuellen Version 5.04 besteht aus insgesamt drei Modulen: dem Hauptmodul „Informationssicherheit“ sowie den weiteren Modulen „Datenschutz“ und „Prototypenschutz“. Das Hauptmodul der Informationssicherheit wird in jedem TISAX® Assessment geprüft. Es lassen sich im Fragenkatalog zudem verschiedene Referenzen zur Norm ISO 27001 entnehmen, an der sich der Katalog orientiert.
Die zwei weiteren Module werden hingegen nicht zwingend geprüft. Sollte ihr Kunde oder OEM Sie zur TISAX® Zertifizierung auffordern, wird er im gleichen Zuge mitteilen, ob Sie die Module Datenschutz und / oder Prototypenschutz erfüllen müssen. Sie können sich natürlich auch freiwillig und aus eigenen Ansprüchen an Ihre Informationssicherheit für die Prüfung der zusätzlichen Module entscheiden.

Zusammengefasst: In der Automobilindustrie gilt die TISAX® Zertifizierung seit 2017 als Nachweis für die Informationssicherheit von Unternehmen. Sie wird von allen Branchenpartnern anerkannt und von den Automobilherstellern (OEMs) sowie größeren Zulieferern sogar als Bedingung für eine Zusammenarbeit gefordert.

Sie möchten sich nicht alleine der „Herausforderung TISAX® stellen? Wir erklären Ihnen gerne in einem unverbindlichen Gespräch, wie wir Sie auf Ihrem Weg zur Zertifizierung unterstützen können.

Wer braucht TISAX® und welcher OEM fordert TISAX®?

Noch ist die TISAX® Zertifizierung keine Pflicht. Viele OEMs (Original Equipment Manufacturer) / Erstausrüster /Automobilhersteller) stellen die Zertifizierung jedoch als Bedingung für eine Zusammenarbeit. Hierunter fallen beispielsweise Audi, BMW, Mercedes-Benz, Porsche, VW oder deren Tochterunternehmen. Es ist jedoch ebenso zu beobachten, dass mittlerweile auch die die Tier-1 und Tier-2 Zulieferer das TISAX® Zertifikat als Bedingung an ihre Zulieferer stellen.

Welche Unternehmen sind bereits TISAX® zertifiziert?

2021 waren weltweit bereits rund 2.500 Unternehmen zertifiziert – Tendenz steigend. Immer mehr Zulieferer springen auf den Trend auf und kümmern sich sogar proaktiv um ein TISAX® Label.

Brauche ich zwingend eine TISAX® Zertifizierung?

Ob Sie die TISAX® Zertifizierung benötigen, hängt von ihren bestehenden oder potentiellen Vertragspartnern ab. Sollten Sie noch von keinem OEM aufgefordert worden sein, können Sie auch abwarten, bis Sie aktiv auf das Thema TISAX® angesprochen werden. Aufgrund der steigenden Relevanz empfehlen unsere Experten für Informationssicherheit Alex Fürst und Michael Kirsch jedoch, sich freiwillig bzw. proaktiv auf den Weg zum TISAX® Label zu begeben. So sind Sie bereits vorbereitet, wenn das Thema früher oder später auch auf Ihre To-do-Liste rutscht. Denn oft gehen mit dem Zertifizierungsprozess viele Monate und hohe Kosten einher. Da ist es besser, sich frühzeitig zu kümmern.

Wenn Sie sich nun dafür entscheiden, eine TISAX® Zertifizierung zu erlangen, müssen Sie ebenfalls festlegen, welches Assessment Level Sie anstreben möchten. In manchen Fällen gibt Ihnen auch Ihr Vertragspartner vor, ob Sie das Assessment Level 2 oder 3 benötigen.

FAQ: Welche Assessment Level und TISAX® Label gibt es?

Es wird zwischen den Assessment Leveln 1, 2 und 3 unterschieden. Mit steigendem Level, steigen die Anforderungen an den Schutzbedarf Ihrer Informationssicherheit.  

Die Assessment Level im Vergleich

Level 1 fordert ein normales Maß an Schutzbedarf. Bei Level 2 wird Ihr Unternehmen auf Informationssicherheit nach hohem Schutzbedarf geprüft und bei Level 3 nach sehr hohem Schutzbedarf.

Normal: Der potenzielle Schaden für die Organisation ist begrenzt und überschaubar.
Hoch: Der potenzielle Schaden für die Organisation kann beträchtlich sein.
Sehr hoch: Der potenzielle Schaden kann ein für die Organisation existenziell bedrohlich katastrophales Ausmaß erreichen.

Wie sich vermuten lässt, unterscheiden sich auch die Prüfmethode und der damit verbundene Aufwand je nach Assessment Level.

Das Level 1 Assessment erfolgt mithilfe einer Selbsteinschätzung, die nicht durch einen Dienstleister geprüft wird. Es wird daher i.d.R. nur für interne Zwecke gebraucht. Diese Prüfergebnisse haben nur eine geringe Aussagekraft und stellen kein geltendes TISAX® Label dar. Daher fordern die meisten Hersteller mindestens das Assessment Level 2.

In diesem Fall erfolgt die Prüfung der Selbsteinschätzung durch einen anerkannten Prüfdienstleister. Diese Prüfungen werden oft telefonisch durchgeführt. Eine vor-Ort-Prüfung erfolgt lediglich, wenn Sie das Modul „Prototypenschutz“ prüfen lassen oder die vor-Ort-Prüfung ausdrücklich wünschen.

In diesem Assessment Level erfolgt eine umfassende Vor-Ort-Prüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister. Diese dauert im Durchschnitt 2-3 Tage.

Was ist das TISAX® Label und wer kann es einsehen?

Nachdem Sie das Assessment erfolgreich absolviert haben, erhalten Sie ein Label, welches Ihre Prüfungsergebnisse zusammenfasst. Das Label ist dann samt den Informationen über Ihr Assessment im ENX Portal für zugelassene OEMs einsehbar. Sie können im Gegenzug natürlich auch die TISAX® Label und Ergebnisse der anderen Teilnehmer einsehen.

Ist für TISAX® eine Zertifizierung gemäß ISO 27001 notwendig?

Ein bereits etabliertes und zertifiziertes ISMS (Informationssicherheitsmanagementsystem) gemäß der Norm ISO 27001 ist keine Voraussetzung für das TISAX® Assessment. Für das Assessment muss lediglich nachgewiesen werden, dass Sie mit einem Informationssicherheitsmanagement arbeiten und die entsprechenden Prozesse und Verfahren im Unternehmen umgesetzt werden. Eine bereits bestehende Zertifizierung nach ISO 27001 wird Ihnen allerdings eine gute Grundlage für die TISAX® Zertifizierung bieten.

Vorteile TISAX® Zertifizierung

Für ein TISAX® zertifiziertes Unternehmen ergeben sich viele Vorteile:

Ablauf und Dauer TISAX® Zertifizierung

Die Dauer der Assessments kann stark variieren und ist von verschiedenen Faktoren, wie beispielsweise der Größe Ihres Unternehmens und der Anzahl der Unternehmensstandorte, abhängig. Bei durchschnittlicher Unternehmensgröße reichen für das Prüfverfahren selbst 2-3 Tage vor Ort aus. Was hingegen mit höherem Zeitaufwand verbunden sein kann, ist die Vorbereitung auf das Assessment. Die Prüfung bzw. das Audit sollte erst durchgeführt werden, wenn Sie die TISAX® Anforderungen aus dem VDA-ISA Fragenkatalog auch erfüllen. Andernfalls werden Sie das Audit nicht bestehen und erhalten auch kein Zertifikat. Es besteht die Gefahr, dass Sie eine Nachprüfung absolvieren müssen, was wiederum mit Mehrkosten verbunden ist.

Die Vorbereitung und der Prüfungsprozess können bis zu 8 – 12 Monate dauern. Der reine Prüfungsprozess darf ab Anmeldung nicht länger als 9 Monate dauern, ansonsten erhalten Sie kein Label. Eine ausreichende Vorbereitung auf das Assessment ist also ausschlaggebend!

Nach der Anmeldung durchlaufen Sie die folgenden Schritte auf Ihrem Weg zum TISAX® Zertifikat:

Ansprechpartner für Assessment und Zertifizierung

Wenn Sie ein TISAX®-Audit durchführen lassen möchten, können Sie dies ausschließlich durch die ENX zugelassenen Prüfdienstleister mit spezieller Akkreditierung für TISAX® tun. Um den hohen Standard gewährleisten zu können, müssen die Prüfer über ausreichend Know-how verfügen. Ein Prüfungsdienstleister wäre zum Beispiel der TÜV SÜD. Über das ENX Portal lassen sich weitere Prüfdienstleister einsehen, an die Sie sich wenden können.

Wie lange ist das TISAX® Label gültig?

Sobald Sie Ihr Label erhalten haben, ist dieses für 3 Jahre gültig. Anschließend muss es erneuert werden. Für die Erneuerung fallen in der Regel geringere Kosten an, als für die Erst-Zertifizierung. Sie bringen in diesem Fall bereits Erfahrung sowie bestimmte etablierte Prozesse auf dem Gebiet der Informationssicherheit mit.

Kosten TISAX® Zertifizierung

Die Kosten für TISAX® variieren ebenso stark wie die Dauer des Prozesses. Auch hier spielen viele Faktoren hinein. Bestimmte Fixkosten für den Auditor, die Prüfung selbst sowie ggf. eine Nachprüfung sind jedoch für alle Unternehmen gegeben. Durchschnittlich kann es zu Kosten zwischen 50.000 – 200.000 Euro bis zum Assessment kommen.

Durch eine effiziente Vorbereitung auf das TISAX® Assessment lässt sich jedoch einiges an Kosten einsparen. Für unvorbereitete Unternehmen fallen ansonsten Kosten für Optimierungen während des laufenden Prüfungsprozesses an.

Kosten- und zeiteffizienter Weg zum Assessment

Sie möchten als klein- oder mittelständisches Unternehmen eine TISAX® Zertifizierung erlangen, doch der hohe Kosten- und Zeitaufwand schreckt Sie ab? Dann freuen wir uns, Ihnen unsere Lösung „NORM X“ vorstellen zu dürfen.

Mit NORM X gelangen Sie auf der Überholspur zum TISAX® Assessment! Unsere Lösung basiert auf einer vollautomatisierten Software und spart Ihnen mithilfe von effektiven Prozessen und der Leitung eines Informationssicherheitsbeauftragten (ISB) bis zu 70% Zeit und Kosten auf Ihrem Weg zum TISAX® Assessment.

NORM X Vorteile Dienstleistung
TISAX® as a Service Lösung

TISAX® Gruppenprüfung

Es besteht außerdem die Möglichkeit, eine TISAX® Gruppenprüfung zu absolvieren, um Unternehmen mit vielen Standorten Kosteneinsparungen zu ermöglichen. Hierzu gibt es allerdings eine Reihe an Voraussetzungen, die erfüllt sein müssen, um an der Gruppenprüfung teilnehmen zu dürfen.

Zusammenfassung

Die OEMs und größeren Zulieferer der Automobilindustrie stellen die TISAX® Zertifizierung als Bedingung für eine weitere oder potentielle Zusammenarbeit an Zulieferer und Dienstleister der Branche. Obwohl das Zertifikat NOCH keine Pflicht ist, wird empfohlen, sich proaktiv auf die TISAX® Zertifizierung vorzubereiten. So kommen Sie zu einem späteren Zeitpunkt nicht ungewollt in zeitliche Bedrängnis. Denn dann riskieren Sie womöglich Ihre Geschäftspartnerschaften. Wir helfen Ihnen, sich mit NORM X schnell und kosteneffizient auf das Assessment vorzubereiten.

Durch eine effiziente Vorbereitung auf das TISAX® Assessment lässt sich jedoch einiges an Kosten einsparen. Für unvorbereitete Unternehmen fallen ansonsten Kosten für Optimierungen während des laufenden Prüfungsprozesses an.

Möchten auch Sie sich zum Thema TISAX® informieren oder von unserer NORM X Lösung profitieren? Wir erklären Ihnen gerne, wie wir Sie auf der Überholspur zum TISAX® Assessment bringen!