TISAX®

TISAX® (Trusted Information Security Assessment Exchange) ist ein seit 2017 bestehender globaler Branchenstandard der Automobilindustrie für die Verarbeitung und den Austausch vertraulicher Informationen. TISAX® orientierte sich ursprünglich an der ISO 27001, der internationalen Norm für Informationssicherheits- Managementsysteme (ISMS). Die TISAX®Anforderungen gehen jedoch darüber hinaus, insbesondere zu den Themen Prototypenschutz und dem Schutz Personenbezogener Daten gemäß DSVGO (Datenschutzgrundverordnung). Der sichere Erhalt des notwendigen TISAX® Labels ist Voraussetzung damit ihr Unternehmen auch in Zukunft seine Marktposition in der Automotive Branche behaupten kann.

Aufgrund der unternehmensübergreifenden Vernetzung entlang der Lieferkette in der Automobilindustrie ist ein vergleichbares Sicherheitsniveau aller Beteiligten Unternehmen entscheidend. Um dies zu erreichen, wird die Anforderung an den Nachweis eines TISAX®Labels vom Tier 1 bis zum untersten Glied in der Lieferkette ausgedehnt. Das bedeutet konkret, dass insbesondere KMUs für ähnliche Aufträge wie sie sie in der Vergangenheit ausgeführt haben nun ein TISAX®Label vorweisen müssen. TISAX® wird zukünftig in Einkaufsbedingungen und Rahmenverträgen verbindlich gefordert werden. Somit ist ein entsprechendes TISAX® Label die Voraussetzung, um auch in Zukunft bei der Vergabe von Aufträgen berücksichtigt zu werden und die Wettbewerbsfähigkeit zu sichern.

Nach bestandener TISAX® Prüfung wird nicht ein Zertifikat, sonder ein Label, auch Assessment Label genannt, verliehen. Das Label zeigt somit, dass ein Unternehmen alle erforderlichen Sicherheitsstandards des abgeprüften Sicherheitslevels erfüllt.

Unternehmen, die sich bis 31.3.2024 für das TISAX®Assessment auf dem ENX Protal anmelden werden noch nach der jetzt gültigen Version 5 des VDA ISA Katalogs geprüft. Bei einer Anmeldung ab dem 1.4.2024 erfolgt die Prüfung nach dem neu überarbeiteten VDA ISA Katalog Version 6.

Alle nach der alten Version des VDA ISA Katalogs abgeschlossenen TISAX® Prüfungen behalten ihre Gültigkeit bis zu ihrem regulären Ablauf nach drei Jahren.

Da TISAX® eine eingetragene Marke der neutralen ENX Association (European Network Exchange Association) ist, macht diese im TISAX Handbuch sehr detaillierte Vorgaben für den restriktiven Umgang mit dem TISAX Label. Das Label ist nur für registrierte Teilnehmer auf der Online Platform TISAX Exchange sichtbar, die von der ENX Association betrieben wird. Jedoch können Sie mit „TISAX Resultat available“ öffentlich hinweisen, dass Sie das TISAX Assessment absolviert haben.

Der sogenannte Exchange, der Austausch der Prüfergebnisse, erfolgt ausschließlich über das ENX Portal. Die Ergebnisse sind nur für auf dem Portal registrierte Teilnehmer sichtbar. Dort können Sie ihre Ergebnisse mit einzelnen Unternehmen teilen oder für alle sichtbar stellen.

TISAX definiert verschiedene Sicherheitsstufen, die von Level 1 bis Level 3 reichen. Je höher das Level, desto anspruchsvoller sind die Sicherheitsanforderungen.

Als Vorbereitung auf das TISAX® Assessment dient die Selbsteinschätzung (Selbstassesssment) anhand des VDA ISA Fragenkatalogs. Damit können Sie feststellen welchen Reifegrad ihr Informationssicherheits-Managementsystem aufweist. Ihr externer Berater kann sie durch den Katalog durchführen und in Abhängigkeit vom Ergebnis die erforderlichen Maßnahmen bis zum Assessment, durch den externen Auditor des Prüfinstituts, mit ihnen besprechen.

Sie müssen für Ihr Unternehmen auf dem ENX-Portal einen Assessment Scope inklusive angestrebter Labels erstellen. Sie erhalten dann eine Scope ID. Erst dann können Sie einen externen TISAX Prüfdienstleister auswählen und beauftragen. Dieser führt später gemäß des von Ihnen gewählten Scopes und Labels das TISAX Assessment durch.

Die Kosten für die Registrierung sind abhängig von der Anzahl der ausgewählten Scopes sowie der Anzahl der Standorte innerhalb eines Scopes. Eine entsprechende Tabelle ist auf dem ENX Portal ohne Registrierung sichtbar.

https://enx.com/pricelist.pdf

Die Vorbereitung und Umsetzung der anstehenden Maßnahmen bis zum erfolgreich bestandenem TISAX® Assessment löst häufig selbst bei den Verantwortlichen für Informationssicherheit im Unternehmen einen hohen Beratungsbedarf aus. Es ist sinnvoll, sich bereits vor der Registrierung von einem externen Berater unterstützen zu lassen. Dieser kann Sie bereits bei der Auswahl des Scopes und des Labels beraten und die Registrierung für Sie vornehmen. Die Zertifizierung muss durch eine getrennte Organisation erfolgen, da Zertifizierer nicht beraten dürfen.

Entscheidend für eine erfolgreiche Einführung von TISAX® ist die volle Unterstützung durch die Geschäftsführung. Nur so können erfahrungsgemäß die notwendigen Schritte und Maßnahmen zeitnah umgesetzt werden. Es sollte eine regelmäßige Abstimmung, zwischen externen Berater und der Geschäftsführung bezüglich des Umsetzungsgrades und der nächsten zu erledigenden Aufgaben stattfinden.

Die TISAX Prüfung wird von zertifizierten externen Auditoren abgenommen. Ihr externer Berater steht ihnen in der Prüfung zur Seite. Grundlage für die Prüfung ist der TISAX Fragenkatalog, der auch als VDA ISA (Verband der Automobilindustrie Information Security Assessment) bezeichnet wird. Jede TISAX®Prüfung zielt entweder auf das TISAX Label Info high oder Info very high ab. Optional kann eines der vier Labels zum Prototypenschutz und/ oder eines der zwei Labels zum Datenschutz mit abgeprüft werden.

Der VDA ISA Fragenkatalog ist die Grundlage auf dem das TISAX® Assessment beruht. Er enthält drei Module. Das Hauptmodul ist die Informationssicherheit. Dieses Modul ist für jedes TISAX® Assessment verpflichtend. Weitere Module sind Prototypenschutz und Datenschutz. Für jedes Modul wird die Konformität mit den Anforderungen der VDA ISA überprüft. Dies geschieht mittels Kontrollfragen, den sogenannten Controls. Die Controls beziehen sich zum Beispiel auf Themen wie Human Resources, Richtlinien zur Informationssicherheit, Risikomanagement oder Sicherheitszonen im Unternehmen.

Das Ergebnis der Prüfung wird anhand von erreichten Reifegraden abgebildet. Der höchste zu erreichende Reifegrad ist 3,0. Der Gesamt – Reifegrad darf 2,7 nicht unterschreiten. Werden während der Prüfung nur Nebenabweichungen festgestellt, muss das Unternehmen   einen Maßnahmenkatalog erstellen. Um das Label zu erhalten, muss dieser vom Prüfer abgenommen und vom Unternehmen in einer vorgegebenen Zeit erfolgreich abgearbeitet werden.

Das TISAX Label bezieht sich immer auf definierte Standorte. Wenn ein Standort umzieht erlischt damit das TISAX Label für diesen Standort. Auch Umbaumaßnahmen oder räumliche Umorganisation am Standort können diesen Effekt haben.

Die TISAX® Labels müssen alle drei Jahre erneuert werden. Nach dem Inkrafttreten der neuen TISAX® Labels (Update Winter 2023/2024) werden Ihre alten Labels automatisch auf der ENX Plattform angepasst. Sie behalten somit ihre Gültigkeit bis zum jeweiligen Ablauf der 3 Jahre.

Die Dauer der TISAX® Einführung ist neben dem Reifegrad Ihres Informationssicherheit- Managementsystems von vielerlei Faktoren abhängig. So ist neben der Anzahl der Mitarbeiter und der Standorte entscheidend, ob Sie nur national oder auch international tätig sind. Natürlich ist auch wesentlich, ob Ihr Unternehmen Dienstleistungen erbringt, in der Produktion tätig ist oder im Bereich Prototypen aktiv ist. Hinzu kommt, dass die Wartezeit auf einem Prüftermin oft mehrere Monate beträgt. Deshalb sollten Sie den Prozess rechtzeitig starten. In der Regel rechnet man für die Einführung 6 bis 9 Monate.

Grundsätzlich trägt die Geschäftsführung die Verantwortung für die Informationssicherheit im Unternehmen. Zur Risikominimierung und eignen Entlastung überträgt die Geschäftsführung in der Regel diese Aufgaben an den Informationssicherheitsbeauftragten (ISB). Da für KMUs im Allgemeinen der Aufwand einen ausgebildeten und zertifizierten ISB zu beschäftigen zu groß ist, greifen viele auf einen externen ISB zurück. Ein externer Berater der Ihr Unternehmen im TISAX® Prozess begleitet, kann gleichzeitig die Rolle des ISB übernehmen.

In Abhängigkeit von den Anforderungen ihres Kunden kann es sein, dass Sie sowohl die Zertifizierung nach ISO 27001 als auch ein TISAX® Label benötigen. Obwohl TISAX® ursprünglich auf der ISO 27001 beruht bestehen das TISAX® Label und die Zertifizierung nach ISO 27001 unabhängig voneinander. Dennoch ist es sinnvoll, falls beides gefordert ist, für beides denselben externen Berater und den selben externen Prüfungsdienstleister auszuwählen. Auf Grund der Überschneidungen können somit Zeit, Aufwand und Kosten gespart werden. Das TISAX® Label ist spezifisch auf die Anforderungen der Deutschen Automobilindustrie ausgerichtet. Es gibt den Focus der OEMs auf die Lieferkette wieder. Die ISO  27001 ist international, branchenunabhängig und richtet den Focus verstärkt auf das zu prüfende Unternehmen. Bei TISAX® wird das ganze Unternehmen oder einzelne ausgewählte Standorte geprüft. Bei der ISO 27001 können vom Unternehmen für die Prüfung dagegen auch nur Produktionseinheiten oder Abteilungen ausgewählt werden.