Sie sind hier: / / TISAX
Tisax Consulting

TISAX

Nachweis gelebter
Informationssicherheit
in der Automobilbranche

TISAX®-Assessment-Beratung:
Ihr Weg zum erfolgreichen Audit

TISAX® steht für Trusted Information Security Assessment Exchange und ist der führende Standard für Informationssicherheit in der deutschen Automobilbranche, der sicherstellen soll, dass die zwischen Zulieferern und Automobilherstellern ausgetauschten Daten festgelegten Sicherheitsanforderungen entsprechen.

Basierend auf den Anforderungen der ISO 27001, wurde TISAX® speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten. Im Kern geht es darum, ein effektives Informationssicherheits-Managementsystem (ISMS) zu etablieren, und so sensible Daten und Informationen zu schützen. Dies umfasst nicht nur IT-Sicherheit, sondern auch den Schutz von Prototypen und die Einhaltung von Datenschutzbestimmungen. Unternehmen, die mit deutschen Automobilherstellern zusammenarbeiten möchten, müssen in der Regel eine TISAX-Bewertung durchlaufen.

Dabei handelt es sich nicht um einen Zertifizierungsprozess im klassischen Sinne, sondern eher um eine Bewertung des Sicherheitsniveaus. Die Ergebnisse werden über eine zentrale Plattform der ENX-Association mit anderen teilnehmenden Unternehmen geteilt. Dadurch wird die Einheitlichkeit der Anforderungen zwischen allen Teilnehmern gewährleistet und ein erteiltes TISAX®-Label kann bei verschiedenen Geschäftspartnern in der Branche als Nachweis verwendet werden. Die Pflicht zur individuellen Zertifizierung für jeden einzelnen Geschäftspartner entfällt dadurch. Mit Erhalt des TISAX®-Labels hat das Unternehmen nachgewiesen, dass sein überprüftes ISMS einen klar definierten Anforderungskatalog erfüllt und die Daten seiner Kunden und Partner bestmöglich geschützt sind.

Je nach Anforderungen der Geschäftspartner können verschiedene Bewertungsziele und Schutzniveaus vom Unternehmen gewählt und angestrebt werden. Diese reichen von grundlegenden Sicherheitsanforderungen bis hin zu sehr hohen Schutzbedarfen für besonders sensible Informationen. Stets beginnt der TISAX®-Bewertungsprozess mit einer Selbsteinschätzung des Unternehmens anhand des VDA ISA-Katalogs. Anschließend führt ein unabhängiger, akkreditierter Prüfdienstleister eine Bewertung durch. Je nach angestrebtem Schutzniveau kann dies eine Dokumentenprüfung oder auch eine Vor-Ort-Prüfung beinhalten.

Anwendbarkeit von Prüfmethoden auf unterschiedliche Assessment-Level
PrüfmethodeAssessment-Level 2Assessment-Level 3
Selbsteinschätzung gemäß ISA KatalogJaJa
NachweisePlausibilitätsprüfungEingehende Prüfung
InterviewsAls WebkonferenzPersönlich, vor Ort
Vor Ort PrüfungAuf Ihren WunschJa

TISAX® unterscheidet zwischen drei Schutzklassen und Bewertungsstufen. Level 1 (normaler Schutzbedarf), Level 2 (hoher Schutzbedarf), Level 3  (sehr hoher Schutzbedarf). Level 1 erfordert lediglich eine Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs und hat aufgrund der reinen Selbst-Auditierung keine wirkliche Aussagekraft und daher kaum praktische Relevanz. Für Level 2 und 3 ist ein aktives Informationssicherheits-Managementsystem (ISMS) erforderlich. Der Hauptunterschied zwischen diesen beiden Stufen liegt in der Prüfungsintensität, wobei Level 3 deutlich strengere und umfangreichere Vor-Ort-Kontrollen vorsieht.

Ein wesentlicher Vorteil von TISAX® ist die Standardisierung und Vereinfachung von Sicherheitsbewertungen in der Automobilbranche. Statt für jeden Kunden separate Audits durchführen zu müssen, können Unternehmen ihre TISAX®-Bewertungsergebnisse mit mehreren Partnern teilen. Dies spart Zeit und Kosten und schafft ein einheitliches Verständnis von Informationssicherheit in der Branche.

Die Implementierung von TISAX® kann für Unternehmen durchaus herausfordernd sein. Es erfordert oft umfangreiche Anpassungen in Prozessen und IT-Systemen sowie Schulungen für Mitarbeiter. Der Aufwand lohnt sich jedoch, da TISAX® nicht nur die Zusammenarbeit mit Automobilherstellern ermöglicht, sondern auch generell zu einer Verbesserung der Informationssicherheit im Unternehmen führt.

Von der Analyse bis zum Label:
TISAX®-Beratung durch DASEQ

Als erfahrene Berater namhafter Unternehmen in der Automobilindustrie kennen wir die Anforderungen aus der Praxis – nicht nur aus dem Lehrbuch. Wir begleiten Sie strukturiert und ohne Umwege durch den gesamten Prozess.

  • ISMS-Aufbau

    1

    Fundament & Strategie schaffen

    Wir schaffen die Grundlage für Ihre Informationssicherheit. Existiert noch kein ISMS, begleiten wir Sie von der ersten Risikoanalyse über die Implementierung passgenauer Sicherheitsmaßnahmen bis zur Zertifizierungsreife – strukturiert, erprobt und auf Ihr Unternehmen zugeschnitten. Das Ergebnis: ein System, das nicht nur die Norm erfüllt, sondern im Tagesgeschäft zuverlässig trägt.

  • GAP-Analyse

    2

    Schwachstellen gezielt identifizieren

    Wir gleichen Ihr ISMS präzise mit dem aktuellen VDA ISA-Katalog ab und identifizieren konkrete Lücken und Abweichungen – bevor es der Auditor tut. Gemeinsam entwickeln wir pragmatische Maßnahmen, die Sie schnell und gezielt in die volle Audit-Bereitschaft führen.

  • Scope-Definition

    3

    Prüfbereich präzise abgrenzen

    Ein klar definierter Scope ist die Basis für ein effizientes und kostenoptimiertes Audit. Wir helfen Ihnen, Standorte, Prozesse und Informationsflüsse exakt abzugrenzen – so dass die relevante Wertschöpfungskette vollständig erfasst ist, ohne den Prüfbereich unnötig auszuweiten. Das spart Zeit, Kosten und schafft Klarheit für alle Beteiligten.

  • Audit-Begleitung

    4

    Abweichungen sicher beheben

    Wir unterstützen Sie bei der Auswahl des richtigen ENX-akkreditierten Auditors und stehen Ihnen während des gesamten Prüfprozesses zur Seite. Werden Abweichungen festgestellt, handeln wir schnell: Wir begleiten Sie bei der fristgerechten Behebung von Haupt- und Nebenabweichungen – damit Sie Ihr TISAX®-Label sicher und ohne Verzögerung erhalten.

  • Re-Audit

    5

    Label dauerhaft sichern

    Nach drei Jahren steht die TISAX®-Verlängerung an – mit gestiegenen Anforderungen an die Weiterentwicklung Ihres Systems. Wir halten Ihr ISMS kontinuierlich auf aktuellem Stand und begleiten Sie durch den gesamten Re-Audit-Prozess. So bleibt Ihr Label lückenlos gültig und Ihre Informationssicherheit dauerhaft auf dem nötigen Niveau.

ZurückWeiter

Häufig gestellte Fragen zu TISAX®

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme, der branchenübergreifend gilt.

TISAX® baut inhaltlich auf ISO 27001 auf, ist aber speziell auf die Anforderungen der Automobilindustrie zugeschnitten – mit zusätzlichen Themen wie Prototypenschutz und der Weitergabe von Bewertungsergebnissen über die ENX-Plattform. Wer bereits ISO 27001 zertifiziert ist, hat einen deutlichen Vorsprung bei der TISAX®-Vorbereitung, muss aber dennoch ein eigenständiges TISAX®-Assessment durchlaufen.

Das entscheiden Ihre Geschäftspartner.

Viele OEMs und Tier-1-Zulieferer akzeptieren ausschließlich das TISAX®-Label als Nachweis – ISO 27001 allein genügt in diesen Fällen nicht. Wenn ein Auftraggeber TISAX® fordert, ist es kein optionales Gütesiegel, sondern eine Voraussetzung für die Zusammenarbeit.

Das bestimmt in aller Regel Ihr Auftraggeber.

  • Für die meisten mittelständischen Zulieferer ist Assessment Level 2 (AL2) Standard – mit Webinterview und Dokumentenprüfung.
  • Level 3 kommt zum Einsatz, wenn Sie besonders sensible Daten oder Prototypen handhaben.

Wir analysieren mit Ihnen gemeinsam, was in Ihrem Fall erforderlich ist.

Das hängt stark vom Ausgangszustand und der Göße Ihres Unternehmens ab.

Firmen, die bereits ein ISMS betreiben und ISO 27001-Erfahrung mitbringen, können in deutlisch schneller audit-bereit sein, als solche die bei null anfangen.  Eine fundierte GAP-Analyse zu Beginn gibt Ihnen schnell Klarheit darüber, wo Sie stehen.

Die Kosten setzen sich aus zwei Teilen zusammen: den internen Aufwänden für die Vorbereitung (ggf. Beratung, ISMS-Aufbau, Maßnahmenimplementierung) sowie den Gebühren des akkreditierten Prüfdienstleisters für das eigentliche Assessment. Letztere variieren je nach Unternehmensgröße, Scope und Assessment-Level.

Ein realistischer Gesamtrahmen lässt sich erst nach einer individuellen Analyse nennen – wir helfen Ihnen dabei, die Kosten von Anfang an im Blick zu behalten.

Abweichungen sind kein Grund zur Panik – sie sind ein normaler Bestandteil des Prozesses.

Sogenannte Hauptabweichungen müssen innerhalb einer gesetzten Frist behoben und nachgewiesen werden, bevor das Label erteilt wird. Nebenabweichungen können in einem definierten Zeitraum nachgearbeitet werden. Wir begleiten Sie bei der fristgerechten Behebung, damit der Prozess nicht ins Stocken gerät.

Nein.

TISAX® betrifft Unternehmen jeder Größe, sobald sie vertrauliche Informationen aus der Automobilindustrie verarbeiten. Gerade kleine und mittelständische Zulieferer unterschätzen häufig, dass auch sie im Fokus stehen – und unterschätzen den Vorbereitungsaufwand. Für kleinere Unternehmen ohne eigene IT-Sicherheitsabteilung ist eine externe Begleitung besonders wertvoll.

Ja.

TISAX® gilt für alle Unternehmensgrößen – vom Zwei-Mann-Betrieb bis zum Konzernzulieferer. Unser Ansatz passt sich an Ihre Strukturen und Ressourcen an. Gerade für kleinere Unternehmen ohne eigene IT-Security-Abteilung sind wir besonders wertvoll, weil wir als externer Experte gezielt die Lücken schließen.

Ein TISAX®-Label hat eine Gültigkeit von drei Jahren.

Danach ist ein Re-Audit erforderlich, um das Label zu verlängern. Die Anforderungen steigen dabei im Zeitverlauf – es reicht nicht, den Status quo einzufrieren. Eine kontinuierliche Weiterentwicklung des ISMS ist deshalb entscheidend, um beim Re-Audit keine bösen Überraschungen zu erleben.

Ja – das ist einer der zentralen Vorteile von TISAX®. Das Label wird über die zentrale Plattform der ENX Association geteilt und ist für alle teilnehmenden Partner sichtbar, denen Sie den Zugriff freigeben. Sie müssen also nicht für jeden Kunden ein separates Audit durchführen lassen.

Der erste Schritt ist eine ehrliche Bestandsaufnahme: Was haben wir bereits? Wo sind die größten Lücken? Auf welchem Assessment-Level werden wir bewertet?

Genau dabei unterstützen wir Sie – mit einer strukturierten GAP-Analyse als Einstieg. So bekommen Sie schnell ein klares Bild und können die nächsten Schritte gezielt planen.

Haben Sie eine Frage, die hier nicht beantwortet wird? Sprechen Sie uns direkt an – wir helfen gerne weiter.

Bereit für Ihr TISAX®-Label?
Wir zeigen Ihnen den Weg.

Sie wissen noch nicht, welches Assessment-Level für Sie relevant ist? Sie haben eine TISAX®-Anforderung von einem Geschäftspartner erhalten und fragen sich, wo Sie anfangen sollen? Oder Sie haben bereits ein ISMS und wollen wissen, wie weit Sie von der Audit-Reife entfernt sind?

Sprechen Sie mit uns. Ein erstes Orientierungsgespräch kostet Sie nichts – außer etwas Zeit. Und es kann Ihnen viel Aufwand, Unsicherheit und unnötige Kosten ersparen.

Jetzt Gespräch vereinbaren:
☎  +49 711 585 308 0
✉  info@daseq.de

NIS-2 Beratung Anfragen
Kostenloses Erstgespräch Right-open-big Right-open-big
© Copyright - DASEQ GmbH
Ihre Fragen zu TISAX

    Wir verwenden Ihre Angaben zur Beantwortung Ihrer Anfrage. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
    Ribbon
    Don't miss out. Subscribe today.
    ×
    ×