TISAX – Was ist das?

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit des Verbandes der Automobilindustrie und eine eingetragene Marke der ENX Association, einem Zusammenschluss von Automobilherstellern, Zulieferern und nationalen Automobilverbänden. TISAX bildet den Rahmen für die Prüfung und Bewertung der Informationssicherheit in Lieferketten der Automobilbranche.

Inhalt

Was ist der Unterschied zwischen ISO 27001 und TISAX?

ISO 27001 definiert Anfor­derun­gen an ein Infor­mations­sicher­heits-Manage­ment­system (ISMS) für alle

Der VDA-ISA-Katalog ist der vom Ver­band der Auto­mobil­indus­trie (VDA) erarbei­tete Bran­chen­standard für Infor­mations­sicher­heits-Assess­ments auf Basis des ISO 27001.

TISAX ist ein Prüf- und Aus­tausch­mecha­nis­mus der ENX Asso­ciation, der sich aus den Anfor­de­run­gen des VDA-ISA ablei­tet. Er defi­niert Anfor­de­run­gen an die Zulie­ferer, damit die IT-Sicher­heits­maß­nah­men den bran­chen­spezi­fi­schen Erfor­der­nis­sen gerecht werden (Schutz sen­sibler Daten, Proto­typen­schutz etc.).

Ist eine TISAX-Zertifizierung Pflicht?

Nein, die Zertifizierung ist nicht gesetzlich vorgeschrieben. Ob man eine Zertifizierung benötigt oder nicht, hängt vom Vertragspartner ab. Audi, Mercedes, Porsche, VW und deren Tochterunternehmen verlangen von ihren Kooperationspartnern eine entsprechende Zertifizierung. Es steht zu vermuten, dass TISAX von zunehmend mehr Automobilherstellern gefordert werden wird.

Warum ist eine Zertifizierung sinnvoll?

Aufgrund der steigenden Relevanz von Informations- und Datensicherheit in der Automobilbranche ist es für Zulieferer essenziell, sich rechtzeitig mit den Informationssicherheitsstandards der Automobilindustrie (VDA ISA) und TISAX sowie Informationssicherheits-Managementsystemen (ISMS) auseinander zu setzen bzw. qualifizierten Rat einzuholen, um den Einstieg in eine Zertifizierung zu vereinfachen. Unternehmen, welche die TISAX-Anforderungen nicht erfüllen, haben letztlich ein höheres Risiko, dass Verträge gekündigt oder gar nicht erst geschlossen werden.

 

Was sagt das TISAX-Zertifikat / Label aus?

TISAX-Label zeigen Auto­mobil­her­stel­lern, dass Standards in den Berei­chen Infor­mations­sicher­heit, Proto­typen­schutz und Daten­schutz einen gewissen Reife­grad er­reicht haben.

Wer bereits eine ISO 27001-Zerti­fi­zie­rung erfol­greich absol­viert hat, befin­det sich in der Regel auf der 5-stufigen Reife­grad­skala im Reifegrad 1 oder 2.

Wurde zudem ein ISMS (Infor­mations­sicher­heits-Manage­ment­system) instal­liert, kann sogar schon Reife­grad 3 (etabliert) er­reicht sein.

Für eine erfolg­rei­che Zerti­fi­zie­rung muss in allen Punk­ten eines Labels mindes­tens Reife­grad 3 er­reicht werden. Der TISAX-Anfor­derungs­kata­log für die rele­vanten Prüfpunkte kann beim VDA kosten­frei herunter­geladen werden.

Gibt es unterschiedliche Stufen der TISAX?

TISAX definiert drei Assessment-Level in Abhängigkeit vom Schutzbedarf. Mit einem höheren Level steigen auch die Anforderungen, die umgesetzt werden müssen. Die Prüfmethoden passen sich den Assessment-Leveln an. Je höher das Assessment-Level, desto strenger sind die Anforderungen an Informationssicherheit, ISMS und Kontrollmechanismen.

Assessment-Level 1 (normal)
Assessment-Level 2 (hoch)
Assessment-Level 3 (sehr hoch)

Was sind die konkreten Vorteile einer TISAX Zertifizierung?

Vorteile Zertifi-
zierung

Unternehmen signali­sieren ihren Kunden, dass das Thema Infor­mations­sicher­heit und Daten­schutz ernst genommen wird.

Eine Anforderung ist die Schulung von Mitar­beitern in Punkten der Infor­mations­sicher­heit. Durch die Sensi­bili­sie­rung, das Verständ­nis und die Compliance werden Prozesse besser umge­setzt und die Sicher­heit erhöht sich.

Ein TISAX-Label ist inter­nati­onal anerkannt und hoch angesehen.

Durch die Prüfung können viele Pro­zesse ganz­heit­lich opti­miert werden, was wiede­rum Zeit und Kosten spart.

Wie lange dauert eine Zertifizierung und wie läuft diese ab?

Die Dauer der Zertifizierung ist von Unternehmen zu Unternehmen unterschiedlich. Es kommt auf die Unternehmensgröße, die Anzahl der Standorte und die Vorarbeit an. Für die Implementierungszeit muss man zwischen sechs und zwölf Monaten einplanen. Eine genaue Einschätzung sollte auf Basis eines Audits stattfinden. Das Prüfverfahren selbst dauert in der Regel zwischen zwei und drei Tagen.
Die Prüfung, in der attestiert wird, dass alle Anforderungen erfüllt werden, sollte man erst angehen, wenn alle Prüfpunkte erfüllt sind. Andernfalls besteht das Risiko, das Prüf-Audit nicht zu bestehen. Die Folge: Eine mit Mehrkosten einhergehende Nachprüfung. Eine ausreichende Vorbereitungszeit wird dringend empfohlen.

Welche Schritte müssen durchlaufen werden?

  1. Unternehmen registrieren
  2. Selbsteinschätzung bereitstellen
  3. Prüfdienstleister auswählen
  4. Vorbereitung auf die Prüfung
  5. Erstprüfung
  6. Assessment des Prüfdienstleisters durchlaufen
    (Bei Nichtbestehen Beseitigung von Schwachstellen und Nachprüfung)
  7. Zertifikat/Prüflabel bei erfolgreicher Prüfung

 

Wo findet man Beratung zum Thema TISAX?

Bei Experten für IT-Sicherheit und Informationssicherheits-Managementsystemen (ISMS). Wir beraten Sie gerne!

Wir beraten Sie umfassend und kompetent zum Thema TISAX

Kontakt
Ihr Ansprechpartner
Ulrich Alt

Risk & Compliance Manager

ulrich.alt@viridicon.de

Häufige Fragen zu TISAX

Wer hat TISAX entwickelt?
Welche TISAX-Label gibt es?
Wie lange ist ein TISAX Zertifikat gültig?
Mit welchen TISAX-Kosten muss man rechnen?