TISAX® ist ein Prüfverfahren für Informationssicherheit in der Automobilindustrie, basierend auf ISO 27001. Es nutzt den ISA-Katalog zur Bewertung von ISMS. Erfolgreiche Prüfungen, etwa durch TÜV NORD, führen zur Ausstellung eines TISAX®-Labels, anerkannt von VDA-Mitgliedern und Herstellern wie Audi und BMW.
Angebot anfordern
TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Dabei geht es um den Schutz der Daten hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit im Herstellungsprozess sowie im Betrieb von Fahrzeugen.
Dies erfolgt über ein Informationssicherheits-Managementsystem (ISMS) analog zur Norm ISO 27001. Auf Basis dieser Norm hat der VDA den speziellen ISA-Anforderungs- und Prüfkatalog für den Automobilsektor entwickelt.
Die Wirksamkeit eines ISMS kann über Assessments (Prüfungen/ Audits) gegen den ISA-Katalog nachgewiesen werden. Bei erfolgreicher Prüfung, z.B. durch TÜV NORD, wird von ENX* – der Administrator des TISAX®-Programms – in dessen Datenbank ein TISAX®-Label ausgestellt. Dieses wird von allen VDA-Mitgliedern und Fahrzeugherstellern wie z.B. Audi, Volkswagen oder BMW anerkannt und gefordert.
Rechtssicherheit und Compliance: Automatische Einhaltung strenger Datenschutz- und Vertraulichkeitsvorgaben in der Lieferkette.
Die Teilnehmenden des TISAX®-Verfahrens tauschen über ein gemeinsames Online-Portal Informationen zum Status der Informationssicherheit untereinander aus. Die Registrierung auf dem Portal ist Pflicht für die Teilnahme. Neben dem Austausch von Assessment Daten (Prüfergebnissen) ermöglicht das Portal auch die direkte Kontaktaufnahme zwischen Teilnehmenden und Prüfdienstleistern. Innerhalb des Austausch-Modells gibt es zwei Rollen, die jedes Unternehmen nach Bedarf einnehmen kann.
Passiv Teilnehmende Teilnehmende (z. B. Fahrzeughersteller / OEMs): Sie fordern andere Unternehmen (wie ihre Lieferanten) dazu auf, bestimmte TISAX®-Labels nachzuweisen, ein passendes Audit durchzuführen und bitten anschließend um Zugriff auf die Ergebnisse.
Aktiv Teilnehmende/ Auditees (z. B. Lieferanten und Dienstleister): Sie lassen sich entweder auf Aufforderung eines Herstellers oder aus eigener Initiative nach dem Kriterienkatalog prüfen. Nach erfolgreichem TISAX®-Audit entscheidet das geprüfte Unternehmen selbst, wer im TISAX®-Netzwerk Einblick in die Ergebnisse erhält
Das Verfahren richtet sich im Wesentlichen an zwei Hauptgruppen der Automobilindustrie:
Das TISAX®-Verfahren besteht im Wesentlichen aus drei Phasen: Registrierung, Bewertung und Austausch. Möchten Sie im Detail erfahren, wie Sie diese drei Phasen meistern können? Unser Leitfaden „Wie funktionieren TISAX®-Bewertungen?“ hilft Ihnen, den gesamten Prozess zu verstehen.
Die ENX Association als Betreiber des TISAX®-Programms hat die Level und Umfänge der Assessments klar definiert. TISAX® differenziert drei unterschiedliche Schutzklassen und Assessment-Level nach denen ein Unternehmen geprüft werden kann. Diese Prüfziele hängen vom Schutzbedarf der Informationen ab.
Ist für normale Schutzanforderungen gedacht. Der Auditee kann das Assessment in Form einer Selbstbewertung durchführen.
Das Assessment-Level 2 richtet sich an Zulieferer und Dienstleister mit hohen Schutzanforderungen. Voraussetzung dafür ist, dass eine vollständige Selbstbewertung vorliegt. Dann erfolgen seitens des Audit-Providers folgende Prüfschritte:
Das Assessment-Level 3 hat sehr hohe Schutzanforderungen. Hier ist ebenfalls ein Auditprovider (TISAX® AP) einzubeziehen und es muss eine vollständige Selbstbewertung vorliegen. Die darauffolgenden Prüfschritte sind ähnlich wie beim Assessment nach Level 2, nur, dass hier wesentliche Aspekte bei einem Vor-Ort-Audit betrachtet werden.
Nach den Assessments werden die Ergebnisse sowie ggf. die Erfordernisse von Korrekturmaßnahmen in einem Bericht zusammengefasst. In diesem Fall erfolgen noch zwei weitere Prüfschritte, um ein TISAX®-Label zu erhalten:
Um den Schutz der automobilen Lieferkette noch gezielter zu steuern, differenziert das TISAX®-System die Anforderungen über zwei eigenständige, inhaltlich voneinander abgekoppelte (neue) Labels:
Aktueller Status für Unternehmen: Unternehmen, die bereits am TISAX®-Verfahren teilnehmen, erhalten das Label „Verfügbarkeit“ bei bestehender Konformität in der Regel ohne gesonderte Zusatzprüfung.
TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt ein Prüf- und Austauschverfahren für die Informationssicherheit in der Automobilindustrie.
Die Kosten eines TISAX® Audits hängen von diversen Faktoren ab, wie der Anzahl der Standorte, dem Assessment Level und den internen Kosten für Personalaufwand oder technischen Maßnahmen. Gerne beraten wir Sie in einem unverbindlichen Gespräch über reale Kosten für Ihr Unternehmen.
Das TISAX®-Verfahren ist an feste und strikte Zeiträume gebunden. Die drei wichtigsten Fristen, die Sie kennen müssen:
3 Jahre Gültigkeit: Ein erfolgreich erteiltes TISAX®-Label ist exakt drei Jahre gültig. Danach ist ein komplettes Re-Assessment (Neuprüfung) erforderlich. Da hierfür keine Verlängerung möglich ist, sollte die Folgeprüfung rechtzeitig (ca. 4 bis 6 Monate vor Ablauf des erteilten TISAX®-Label) gestartet werden.
9 Monate für Korrekturen: Werden bei der Hauptprüfung Sicherheitsmängel festgestellt, haben Sie ab dem letzten Prüfungstag maximal 9 Monate Zeit, diese zu beheben und über eine Nachprüfung (Follow-up-Assessment) das Label zu sichern. Wird diese Frist überschritten, verfällt die bisherige Prüfung und das Verfahren muss komplett von vorne begonnen werden. Die tatsächlich gewährte Zeit für die Behebung der Sicherheitsmängel wird auf die jeweiligen Sicherheitsmängel bezogen risikobasiert festgelegt, kann aber maximal nur die o.g. 9 Monate betragen.
Projektdauer: Die eigentliche Dauer bis zur Prüfung hängt stark von der Größe Ihres Unternehmens und der Reife Ihres ISMS ab. In der Regel sollten Sie für die Vorbereitung, Registrierung und Durchführung der Prüfung mehrere Monate einplanen.
Hier ist die Übersicht der drei Stufen:
Assessment Level 1 (Niedriger Schutzbedarf):
Hier findet lediglich eine Selbsteinschätzung des Unternehmens statt. Der ausgefüllte Fragenkatalog wird in der Regel nur auf Plausibilität geprüft. Dieses Level reicht für die Zusammenarbeit mit OEMs meistens nicht aus und erhält kein offizielles TISAX®-Label im Portal.
Assessment Level 2 (Hoher Schutzbedarf):
Die Prüfung erfolgt durch einen offiziellen, unabhängigen Prüfdienstleister (wie z. B. TÜV NORD). Sie wird primär als Dokumentenprüfung (Plausibilitätsprüfung) durchgeführt, meist ergänzt durch Telefonate oder Videointerviews. Ein Vor-Ort-Besuch im Unternehmen ist hier nicht zwingend vorgeschrieben.
Assessment Level 3 (Sehr hoher Schutzbedarf):
Die anspruchsvollste Stufe. Der Prüfdienstleister kontrolliert die Dokumente intensiv und führt zwingend eine Prüfung vor Ort (On-Site-Assessment) in Ihren Geschäftsräumen durch. Diese Stufe ist Pflicht, wenn Sie mit hochsensiblen Daten arbeiten, beispielsweise in der Prototypenentwicklung oder bei extrem kritischen Just-in-time-Prozessen.
Zusammenfassend gilt: Für eine gültige Zertifizierung sind für Dienstleister und Zulieferer eigentlich nur Level 2 und Level 3 relevant.
Die Teilnahme an TISAX® ist für Lieferanten und Dienstleister in der Automobilbranche unverzichtbar, um die strengen Sicherheitsanforderungen der Hersteller zu erfüllen und überhaupt für Aufträge zugelassen zu werden. Da das Prüfverfahren branchenweit einheitlich anerkannt wird, sparen Sie zudem wertvolle Zeit und Kosten: Einmal bestanden, erübrigen sich aufwendige und sich ständig wiederholende Sicherheitsprüfungen durch einzelne Kund:innen.
Um ein Angebot für eine TISAX®-Prüfung zu erhalten, müssen sich Interessenten zunächst auf dem ENX-Portal registrieren und entsprechende Informationen hinterlegen. Nehmen Sie Kontakt mit uns auf, falls wir Ihnen im Prozess der Angebotsanfrage behilflich sein dürfen.
Zugang zum TISAX®-Portal, das den Austausch der Assessment-Daten erleichtert, erhalten Unternehmen durch eine Teilnehmer-Registrierung. Diese gilt als Voraussetzung, um einen Prüfdienstleister (TISAX® AP) wie TÜV NORD mit einem Assessment zu beauftragen.
Ja, zu einem sehr großen Teil. Ein nach TISAX® aufgebautes und geprüftes Informationssicherheits-Managementsystem (ISMS) deckt die technischen und organisatorischen Kernforderungen der EU-Richtlinie NIS-2 bereits standardmäßig ab. Wer TISAX®-zertifiziert ist, hat das Fundament für NIS-2 quasi schon in der Tasche. Ein Selbstläufer ist die gesetzliche Compliance jedoch nicht, da rein nationale Pflichten (wie behördliche Meldewege) separat ergänzt werden müssen.
Eine detaillierte Stellungnahme bzw. Analyse der ENX finden Sie unter: TISAX als Beitrag zur Cybersicherheit in der Industrie – Analyse zur NIS-2-Richtlinie · ENX Portal
Nur die von der ENX dafür zugelassenen Prüfdienstleister (TISAX® AP) dürfen TISAX® Assessments durchführen. TÜV NORD CERT ist dafür Vertragspartner der ENX.
Vom Verband der Automobilindustrie e.V. (VDA) entwickelt, wird TISAX® von der ENX Association gemanagt, die die Qualität der Durchführung und der Ergebnisse der Assessments überwacht.
Ausführliche Informationen zu TISAX® hat die ENX in einem Teilnehmerhandbuch auf ihrer Webseite zusammengefasst.
Während beide Standards auf einem Informationssicherheits-Managementsystem (ISMS) basieren, unterscheiden sie sich fundamental in ihrer Zielsetzung und Tiefe. Man kann sagen: ISO/IEC 27001 ist das Fundament, TISAX® ist die fachspezifische Ausbaustufe für die Automobilindustrie.
Während sich TISAX® auf den Schutz von Daten und Unternehmensprozessen konzentriert (IT-Sicherheit), befasst sich die ISO/SAE 21434 ausschließlich mit der Cybersicherheit im Fahrzeug selbst. Man kann sagen: TISAX® schützt die Daten und die Infrastruktur des Unternehmens, während die ISO/SAE 21434 dafür sorgt, dass das Auto auf der Straße nicht gehackt werden kann.
TÜV NORD ist der Partner an Ihrer Seite, wenn es um die Qualität Ihres Informationssicherheits-Managementsystems (ISMS) geht. Seit vielen Jahren sind wir für die Auditierung und Zertifizierung von ISMS bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert. Speziell für den Automobilbereich ist TÜV NORD von der ENX Association als TISAX® Audit Provider (TISAX® AP) zugelassen und kann weltweit Assessments durchführen.
*Hinweis: Die TÜV NORD CERT GmbH ist durch ENX autorisiert, TISAX®-Prüfdienstleistungen anzubieten. Die mit dem TISAX®-Programm verknüpften Marken und Warenzeichen sowie das damit verbundene geistige Eigentum gehören der ENX Association.
TÜV NORD CERT ist ein international anerkannter und zuverlässiger Partner für Prüf- und Zertifizierungsdienstleistungen. Unsere Sachverständigen und Auditoren verfügen über fundiertes Wissen und haben grundsätzlich eine Festanstellung bei TÜV NORD. Hierdurch sind Unabhängigkeit und Neutralität sowie Kontinuität bei der Betreuung unserer Kunden gewährleistet. Der Vorteil für Sie liegt auf der Hand: Unsere Auditoren begleiten und unterstützen die Entwicklung Ihres Unternehmens und geben Ihnen ein objektives Feedback.