Skip to main content

TISAX®

 

PROMIND — Ihr Berater für ein erfolgreich bestandenes Audit

Ihr Kunde hat Ihnen schon eine Frist zum Nachweis eines TISAX® Labels gesetzt oder sie wollen sich vom Wettbewerb abheben?
Wir führen Sie sicher und schnell zum TISAX® Label.

1. GAP Analyse

  • Dauer 4-6 Tage
  • Sichten Ihrer Prozesse und Dokumente
  • Feststellen des Reifegrads Ihres Infomationssicherheits-Managementsystems
  • Detaillierter Bericht mit allen erforderlichen Maßnahmen
  • Zeit- und Kostenschätzung

2. TISAX® Scope Anmelden

  • Festlegen des erforderlichen TISAX® Labels
  • Auswahl des Auditors und Prüftermin

3. Umsetzung

  • Gegebenenfalls Begleitung als externer ISB (Informationsicherheitsbeauftragter)
  • Checklisten, Fragebögen, Dokumentenvorlagen
  • Schnelle und gezielte Umsetzung durch erprobtes Vorgehen
  • Sensibilisierung und Schulung ihrer Mitarbeiter

4. TISAX® Assessment

  • Begleitung bei der TISAX® Auditierung
  • Auf Wunsch weitere Begleitung als externer ISB

Bei Start-ups und Kleinunternehmen führen wir die GAP Analyse kostenlos durch.
Wir sind nicht nur TISAX® Berater aus Erfahrung, wir sind auch selbst TISAX® zertifiziert.

Werden Sie „Audit ready“ mit PROMIND.

Was ist TISAX®?

TISAX® (Trusted Information Security Assessment Exchange) ist ein seit 2017 bestehender globaler Branchenstandard der Automobilindustrie für die Verarbeitung und den Austausch vertraulicher Informationen. TISAX® orientierte sich ursprünglich an der ISO 27001, der internationalen Norm für Informationssicherheits- Managementsysteme (ISMS). Die TISAX®Anforderungen gehen jedoch darüber hinaus, insbesondere zu den Themen Prototypenschutz und dem Schutz Personenbezogener Daten gemäß DSVGO (Datenschutzgrundverordnung). Der sichere Erhalt des notwendigen TISAX® Labels ist Voraussetzung damit ihr Unternehmen auch in Zukunft seine Marktposition in der Automotive Branche behaupten kann.

Wer braucht eine TISAX® Zertifizierung?

Aufgrund der unternehmensübergreifenden Vernetzung entlang der Lieferkette in der Automobilindustrie ist ein vergleichbares Sicherheitsniveau aller Beteiligten Unternehmen entscheidend. Um dies zu erreichen, wird die Anforderung an den Nachweis eines TISAX®Labels vom Tier 1 bis zum untersten Glied in der Lieferkette ausgedehnt. Das bedeutet konkret, dass insbesondere KMUs für ähnliche Aufträge wie sie sie in der Vergangenheit ausgeführt haben nun ein TISAX®Label vorweisen müssen. TISAX® wird zukünftig in Einkaufsbedingungen und Rahmenverträgen verbindlich gefordert werden. Somit ist ein entsprechendes TISAX® Label die Voraussetzung, um auch in Zukunft bei der Vergabe von Aufträgen berücksichtigt zu werden und die Wettbewerbsfähigkeit zu sichern.

Was ist ein TISAX® Label?

Nach bestandener TISAX® Prüfung wird nicht ein Zertifikat, sonder ein Label, auch Assessment Label genannt, verliehen. Das Label zeigt somit, dass ein Unternehmen alle erforderlichen Sicherheitsstandards des abgeprüften Sicherheitslevels erfüllt.

Welche TISAX® Labels gibt es?

Grundsätzlich gibt es das Label Info high und Info very high. Zusätzlich gibt es vier Labels zum Prototypenschutz und 2 Labels zum Datenschutz. Welches Label in der Prüfung angestrebt werden sollte hängt in der Regel von den Vorgaben des Kunden ab.

Warum sollen die TISAX® Labels verändert werden?

Grundsätzlich kennt die Informationssicherheit drei Schutzziele:
Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Die Entwicklung zeigt, dass die Verfügbarkeit von Informationen immer wichtiger wird. Große Schäden entstehen zunehmend, wenn ein Zulieferer aufgrund eines Hackerangriffs mehrere Tage auf Daten nicht zugreifen kann und somit seinen Kunden nicht beliefern kann.
Der stärkeren Fokussierung auch auf die Verfügbarkeit von Daten wird mit einem Update der TISAX Labels Rechnung getragen. Das bisherige Label „Info High“ wird in „Confidential“ und „High Availability“ unterteilt. Das bisherige Label „Info Very High“ wird in „Strictly Confidential“ und „Very High Availability“ unterteilt.

Grafik zur Aktualisierung der TISAX-Labels mit Balken für Info High und Info Very High mit einem Pfeil, der auf eine ALT-Text-Annotation zeigt

Ab wann treten die neuen TISAX® Labels in Kraft?

Unternehmen, die sich bis 31.3.2024 für das TISAX®Assessment auf dem ENX Protal anmelden werden noch nach der jetzt gültigen Version 5 des VDA ISA Katalogs geprüft. Bei einer Anmeldung ab dem 1.4.2024 erfolgt die Prüfung nach dem neu überarbeiteten VDA ISA Katalog Version 6.

Alle nach der alten Version des VDA ISA Katalogs abgeschlossenen TISAX® Prüfungen behalten ihre Gültigkeit bis zu ihrem regulären Ablauf nach drei Jahren.

Darf mit dem TISAX® Label geworben werden?

Da TISAX® eine eingetragene Marke der neutralen ENX Association (European Network Exchange Association) ist, macht diese im TISAX Handbuch sehr detaillierte Vorgaben für den restriktiven Umgang mit dem TISAX Label. Das Label ist nur für registrierte Teilnehmer auf der Online Platform TISAX Exchange sichtbar, die von der ENX Association betrieben wird. Jedoch können Sie mit „TISAX Resultat available“ öffentlich hinweisen, dass Sie das TISAX Assessment absolviert haben.

Wie kann man TISAX® Prüfergebnisse mit anderen austauschen?

Der sogenannte Exchange, der Austausch der Prüfergebnisse, erfolgt ausschließlich über das ENX Portal. Die Ergebnisse sind nur für auf dem Portal registrierte Teilnehmer sichtbar. Dort können Sie ihre Ergebnisse mit einzelnen Unternehmen teilen oder für alle sichtbar stellen.

Was ist ein TISAX® Level?

TISAX definiert verschiedene Sicherheitsstufen, die von Level 1 bis Level 3 reichen. Je höher das Level, desto anspruchsvoller sind die Sicherheitsanforderungen.

Welche TISAX® Levels gibt es?

Level 1 ist ein Selbstassessment (Selbsteinschätzung) ohne externe Überprüfung. Damit ist keine Eintragung auf dem ENX- Portal verbunden. Bei Level 2 werden neben dem Selbstassessment in der Regel nur Dokumente eingereicht und es findet eine Online Prüfung statt. Level 3 besteht neben dem Selbstsassessment und Einreichen der Dokumente, aus einer Begehung vor Ort sowie Interviews von Mitarbeitern. Welches TISAX LEVEL ein Unternehmen benötigt orientiert sich an den Anforderungen der Kunden.

Alt-Text: "Diagramm der TISAX-Assessment-Level mit Kategorien Info High, Info Very High, Daten, Special Data, Proto Parts, Proto Vehicles, Test Vehicles und Proto Events.

Was ist die TISAX® Selbsteinschätzung?

Als Vorbereitung auf das TISAX® Assessment dient die Selbsteinschätzung (Selbstassesssment) anhand des VDA ISA Fragenkatalogs. Damit können Sie feststellen welchen Reifegrad ihr Informationssicherheits-Managementsystem aufweist. Ihr externer Berater kann sie durch den Katalog durchführen und in Abhängigkeit vom Ergebnis die erforderlichen Maßnahmen bis zum Assessment, durch den externen Auditor des Prüfinstituts, mit ihnen besprechen.

Wie meldet man sich zur TISAX® Prüfung an?

Sie müssen für Ihr Unternehmen auf dem ENX-Portal einen Assessment Scope inklusive angestrebter Labels erstellen. Sie erhalten dann eine Scope ID. Erst dann können Sie einen externen TISAX Prüfdienstleister auswählen und beauftragen. Dieser führt später gemäß des von Ihnen gewählten Scopes und Labels das TISAX Assessment durch.

Was kostet die TISAX® Assessment Scope Registrierung?

Die Kosten für die Registrierung sind abhängig von der Anzahl der ausgewählten Scopes sowie der Anzahl der Standorte innerhalb eines Scopes. Eine entsprechende Tabelle ist auf dem ENX Portal ohne Registrierung sichtbar.

https://enx.com/pricelist.pdf

Benötige ich für die TISAX® Einführung einen Berater?

Die Vorbereitung und Umsetzung der anstehenden Maßnahmen bis zum erfolgreich bestandenem TISAX® Assessment löst häufig selbst bei den Verantwortlichen für Informationssicherheit im Unternehmen einen hohen Beratungsbedarf aus. Es ist sinnvoll, sich bereits vor der Registrierung von einem externen Berater unterstützen zu lassen. Dieser kann Sie bereits bei der Auswahl des Scopes und des Labels beraten und die Registrierung für Sie vornehmen. Die Zertifizierung muss durch eine getrennte Organisation erfolgen, da Zertifizierer nicht beraten dürfen.

Welche Rolle hat die Geschäftsführung bei der TISAX® Implementierung?

Entscheidend für eine erfolgreiche Einführung von TISAX® ist die volle Unterstützung durch die Geschäftsführung. Nur so können erfahrungsgemäß die notwendigen Schritte und Maßnahmen zeitnah umgesetzt werden. Es sollte eine regelmäßige Abstimmung, zwischen externen Berater und der Geschäftsführung bezüglich des Umsetzungsgrades und der nächsten zu erledigenden Aufgaben stattfinden.

TISAX® Was wird geprüft?

Die TISAX Prüfung wird von zertifizierten externen Auditoren abgenommen. Ihr externer Berater steht ihnen in der Prüfung zur Seite. Grundlage für die Prüfung ist der TISAX Fragenkatalog, der auch als VDA ISA (Verband der Automobilindustrie Information Security Assessment) bezeichnet wird. Jede TISAX®Prüfung zielt entweder auf das TISAX Label Info high oder Info very high ab. Optional kann eines der vier Labels zum Prototypenschutz und/ oder eines der zwei Labels zum Datenschutz mit abgeprüft werden.

Wozu dient bei TISAX® der VDA ISA Fragenkatalog?

Der VDA ISA Fragenkatalog ist die Grundlage auf dem das TISAX® Assessment beruht. Er enthält drei Module. Das Hauptmodul ist die Informationssicherheit. Dieses Modul ist für jedes TISAX® Assessment verpflichtend. Weitere Module sind Prototypenschutz und Datenschutz. Für jedes Modul wird die Konformität mit den Anforderungen der VDA ISA überprüft. Dies geschieht mittels Kontrollfragen, den sogenannten Controls. Die Controls beziehen sich zum Beispiel auf Themen wie Human Resources, Richtlinien zur Informationssicherheit, Risikomanagement oder Sicherheitszonen im Unternehmen.

Wann hat man das TISAX® Assessment bestanden?

Das Ergebnis der Prüfung wird anhand von erreichten Reifegraden abgebildet. Der höchste zu erreichende Reifegrad ist 3,0. Der Gesamt – Reifegrad darf 2,7 nicht unterschreiten. Werden während der Prüfung nur Nebenabweichungen festgestellt, muss das Unternehmen   einen Maßnahmenkatalog erstellen. Um das Label zu erhalten, muss dieser vom Prüfer abgenommen und vom Unternehmen in einer vorgegebenen Zeit erfolgreich abgearbeitet werden.

Was ist der Gültigkeitsbereich des TISAX® Labels?

Das TISAX Label bezieht sich immer auf definierte Standorte. Wenn ein Standort umzieht erlischt damit das TISAX Label für diesen Standort. Auch Umbaumaßnahmen oder räumliche Umorganisation am Standort können diesen Effekt haben.

Wie lange behalten TISAX® Labels ihre Gültigkeit?

Die TISAX® Labels müssen alle drei Jahre erneuert werden. Nach dem Inkrafttreten der neuen TISAX® Labels (Update Winter 2023/2024) werden Ihre alten Labels automatisch auf der ENX Plattform angepasst. Sie behalten somit ihre Gültigkeit bis zum jeweiligen Ablauf der 3 Jahre.

Wie lange dauert die TISAX® Einführung?

Die Dauer der TISAX® Einführung ist neben dem Reifegrad Ihres Informationssicherheit- Managementsystems von vielerlei Faktoren abhängig. So ist neben der Anzahl der Mitarbeiter und der Standorte entscheidend, ob Sie nur national oder auch international tätig sind. Natürlich ist auch wesentlich, ob Ihr Unternehmen Dienstleistungen erbringt, in der Produktion tätig ist oder im Bereich Prototypen aktiv ist. Hinzu kommt, dass die Wartezeit auf einem Prüftermin oft mehrere Monate beträgt. Deshalb sollten Sie den Prozess rechtzeitig starten. In der Regel rechnet man für die Einführung 6 bis 9 Monate.

Benötigt man für TISAX® einen Informationssicherheits- Beauftragten?

Grundsätzlich trägt die Geschäftsführung die Verantwortung für die Informationssicherheit im Unternehmen. Zur Risikominimierung und eignen Entlastung überträgt die Geschäftsführung in der Regel diese Aufgaben an den Informationssicherheitsbeauftragten (ISB). Da für KMUs im Allgemeinen der Aufwand einen ausgebildeten und zertifizierten ISB zu beschäftigen zu groß ist, greifen viele auf einen externen ISB zurück. Ein externer Berater der Ihr Unternehmen im TISAX® Prozess begleitet, kann gleichzeitig die Rolle des ISB übernehmen.

Wie hängen TISAX® und ISO 27001 zusammen?

In Abhängigkeit von den Anforderungen ihres Kunden kann es sein, dass Sie sowohl die Zertifizierung nach ISO 27001 als auch ein TISAX® Label benötigen. Obwohl TISAX® ursprünglich auf der ISO 27001 beruht bestehen das TISAX® Label und die Zertifizierung nach ISO 27001 unabhängig voneinander. Dennoch ist es sinnvoll, falls beides gefordert ist, für beides denselben externen Berater und den selben externen Prüfungsdienstleister auszuwählen. Auf Grund der Überschneidungen können somit Zeit, Aufwand und Kosten gespart werden. Das TISAX® Label ist spezifisch auf die Anforderungen der Deutschen Automobilindustrie ausgerichtet. Es gibt den Focus der OEMs auf die Lieferkette wieder. Die ISO  27001 ist international, branchenunabhängig und richtet den Focus verstärkt auf das zu prüfende Unternehmen. Bei TISAX® wird das ganze Unternehmen oder einzelne ausgewählte Standorte geprüft. Bei der ISO 27001 können vom Unternehmen für die Prüfung dagegen auch nur Produktionseinheiten oder Abteilungen ausgewählt werden.

Zur kostenlosen Erstberatung