Was ist TISAX?
TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilindustrie. Entwickelt wurde TISAX vom Verband der Automobilindustrie (VDA) und wird durch die ENX Association betrieben. Lieferanten weisen damit gegenüber Herstellern wie BMW, Volkswagen oder Mercedes-Benz nach, dass sie definierte Sicherheitsanforderungen erfüllen.
Grundlage ist der VDA Information Security Assessment Katalog (VDA ISA), der inhaltlich an ISO 27001 angelehnt ist und um automobilspezifische Anforderungen ergänzt wurde.
Aufbau und Prüfziele
TISAX-Assessments adressieren verschiedene Prüfziele, je nach Sensibilität der verarbeiteten Daten. Typische Ziele sind der Schutz von Informationen mit hohem oder sehr hohem Schutzbedarf, der Umgang mit Prototypenschutz oder die Anbindung an externe Datenverarbeiter.
Das Assessment unterscheidet drei Stufen. AL1 basiert auf einer Selbstauskunft, AL2 verlangt eine externe Plausibilitätsprüfung mit Remote-Audit, AL3 erfordert ein Vor-Ort-Audit durch einen akkreditierten Prüfdienstleister. Die Wahl der Stufe richtet sich nach dem zugewiesenen Schutzbedarf.
Ablauf einer TISAX-Zertifizierung
Der Prozess startet mit der Registrierung im ENX-Portal und der Festlegung des Scopes. Anschließend führt das Unternehmen eine Selbsteinschätzung anhand des VDA ISA durch, identifiziert Lücken und setzt geeignete Maßnahmen um.
Im nächsten Schritt prüft ein akkreditierter Auditor die Umsetzung. Bei festgestellten Abweichungen folgt eine Korrekturphase. Nach erfolgreichem Abschluss wird das Ergebnis im ENX-Portal hinterlegt und kann dort gezielt mit Geschäftspartnern geteilt werden. Ein Label gilt drei Jahre.
Bedeutung für Lieferanten
Ohne gültiges TISAX-Label scheiden Unternehmen häufig aus Lieferantenausschreibungen aus. Das gilt zunehmend für Tier-1-Zulieferer ebenso wie für IT-Dienstleister, Engineering-Partner und Logistikunternehmen.
TISAX erleichtert zudem die parallele Erfüllung weiterer Standards. Wer bereits ISO 27001 zertifiziert ist, deckt einen Großteil der Anforderungen ab. Auch Anforderungen aus der NIS2 Richtlinie überlappen sich teilweise mit TISAX.
TISAX-Vorbereitung mit W+W
Die Berater der W+W Consulting begleiten Sie bei der Scope-Festlegung, der Gap-Analyse gegen den VDA ISA und der Umsetzung notwendiger Maßnahmen. Besonderen Fokus legen wir auf die Verzahnung mit bestehenden Managementsystemen, sodass kein paralleles Dokumentationssystem entsteht.
Im SAP-Umfeld unterstützen wir bei Themen wie Berechtigungskonzept, Protokollierung und Datenklassifizierung. So entsteht ein integriertes Sicherheitskonzept, das sowohl TISAX als auch interne Compliance-Anforderungen erfüllt.
Sie stehen vor einem TISAX-Assessment? Sprechen Sie mit der W+W Consulting über Ihre konkrete Ausgangslage.