Einführung und Zertifizierung eines Informationssicherheits- managementsystems nach TISAX

ISO 9001 ZertifizierungISO 14001 ZertifizierungSAQ 4.0 Zertifizierung

Informationssicherheit gehört zu den wichtigsten Voraussetzungen für die Zusammenarbeit von Herstellern und Zulieferern in der Automobilbranche. Mit der TISAX Zertifizierung wurden internationale Standards für den Nachweis über die Sicherheit im Umgang mit vertraulichen Informationen geschaffen. Was müssen Sie für eine erfolgreiche TISAX Zertifizierung wissen?

Zertifizierung nach TISAX: Was ist das?

TISAX, auch Trusted Information Security Assessment Exchange, ist eine für die Informationssicherheit geschaffene Zertifizierung, die den speziellen Anforderungen der Automobilbranche gerecht wird. In der Praxis handelt es sich um ein Assessment-Verfahren, das die Überprüfung eines Informationssicherheitsmanagementsystems nach dem Prüfkatalog VDA ISA des Verbandes der Automobilindustrie zum Ziel hat. Sofern die Zertifizierung erfolgreich ist, wird sie mit dem TISAX Label abgeschlossen.

Die ENX Association

Die ENX Association ist eine unabhängige Instanz, die mit der Einführung und Qualitätsüberwachung des Branchenstandards einer TISAX Zertifizierung betraut ist. Als Träger-Organisation ist die ENX Association ein Zusammenschluss mehrerer Hersteller, Zulieferer und Verbände der Automobilbranche in Europa. In ihren sogenannten ENX YELLOW PAGES, oder auch TISAX Teilnehmerhandbuch, werden alle Unternehmen, die über ein TISAX Label verfügen, mit Standort und Registrierungsnummer aufgelistet. Da inzwischen viele Automobilhersteller und Zulieferer eine erfolgreiche TISAX Zertifizierung von ihren Kunden und Geschäftspartnern einfordern, ermöglicht die ENX Association hier einen tagesaktuellen Einblick in den gültigen Informationssicherheitsstatus aller erfolgreich zertifizierten Unternehmen.

Die Anforderungen an eine TISAX Zertifizierung

Für Sie ist eine TISAX Zertifizierung von Bedeutung? Dann muss Ihr Unternehmen laut TISAX Norm bestimmte Anforderungen erfüllen. Diese werden im TISAX Fragenkatalog VDA ISA festgehalten, der sich wiederum an der internationalen Norm ISO/IEC 27001 orientiert. Gut zu wissen: Für TISAX muss nicht zwingend eine Zertifizierung gemäß ISO 27001 vorliegen. Sie müssen allerdings nachweisen können, dass Ihr Unternehmen mit einem bereits eingeführten Informationssicherheitsmanagement arbeitet.

Der Prüfkatalog einer TISAX Zertifizierung besteht aus insgesamt drei Modulen:

  • Informationssicherheit
  • Datenschutz
  • Prototypenschutz

Eine TISAX Zertifizierung erfolgt immer im Hauptmodul Informationssicherheit. Der Datenschutz und der Prototypenschutz werden als Sondermodule betrachtet und sind nur dann Gegenstand der Prüfung, wenn Bedarf besteht. Sie haben bestimmte Fragen zum TISAX Fragenkatalog und seinen Anforderungen? Wir machen Sie fit in TISAX und erklären Ihnen alles rund um die wichtigsten Anforderungen und Aspekte Ihrer TISAX Zertifizierung. Auch allgemeine Fragen zu TISAX vs. ISO 27001 oder dem Informationssicherheitsbeauftragten können Sie mit uns klären. Vereinbaren Sie jetzt ein Erstgespräch mit uns.

Wer muss TISAX zertifiziert sein?

Gemäß TISAX Definition ist eine Zertifizierung grundsätzlich freiwillig. Gesetzliche Vorgaben, deren zufolge ein Unternehmen das TISAX Label vorweisen müsste, gibt es nicht. Dennoch hat sich das Label als Branchenstandard auf dem Markt etabliert, sodass eine erfolgreich abgeschlossene TISAX Zertifizierung viele Vorteile für Ihr Unternehmen bietet.

TISAX zertifiziert: Die Vorteile

Diese Vorteile bringt eine TISAX Zertifizierung mit sich:

  • Einheitlich: Die TISAX Zertifizierung sorgt für einen einheitlichen Branchenstandard in der Informationssicherheit der Automobilindustrie.
  • Vertrauen: Ein TISAX zertifiziertes Unternehmen sorgt für ein unternehmensübergreifendes Vertrauen gegenüber seinen Geschäftspartnern und Kunden.
  • Kosten- und zeitsparend: Aufgrund der Einführung eines einheitlichen Branchenstandards werden kosten- und zeitintensive Mehrfachüberprüfungen bei der TISAX Zertifizierung vermieden.
  • Ausschreibungen: Für die Teilnahme an Ausschreibungen in der Automobilbranche wird oft der TISAX Standard vorausgesetzt. Unternehmen, die sich weiterhin für Ausschreibungen qualifizieren möchten, haben mit der TISAX Zertifizierung einen Wettbewerbsvorteil.
  • Gültigkeit: Das Assessment zur TISAX Zertifizierung muss nur alle drei Jahre wiederholt werden.

Welche Fragen haben Sie zu den Vorteilen? Sprechen Sie uns an und vereinbaren Sie eine TISAX Beratung mit uns.

Der Ablauf unserer TISAX Zertifizierung

  1. Registrierung: Für eine Zertifizierung durch TISAX müssen Sie Ihr Unternehmen bei der Governance Organisation ENX registrieren. Die ENX ist für die Registrierung und die Verwaltung der Ergebnisse der durchgeführten TISAX Zertifizierung zuständig.
  2. Auswahl eines TISAX-Prüfers: Im zweiten Schritt wählen Sie einen akkreditierten Prüfdienstleister aus, der eine TISAX Schulung absolviert hat. Wenn Sie mehr über unsere Leistungen erfahren wollen, vereinbaren Sie gerne ein Erstgespräch mit uns.
  3. Selbstauskunft ausfüllen: Geben Sie eine Selbsteinschätzung basierend auf dem Anforderungskatalog der VDA ISA ab. Anhand dieser TISAX Checkliste wird überprüft, welchen Reifegrad Ihr Unternehmen hat und ob dieser den Anforderungen einer TISAX Zertifizierung entspricht.
  4. Erstprüfung: Ihr Prüfdienstleister überprüft die Selbstauskunft und Ihre Nachweise auf Vollständigkeit.
  5. Erstoptimierung: Sollten sich erste Schwachstellen herausstellen, werden diese im Rahmen der Erstprüfung beseitigt.
  6. Assessment: Ihr Unternehmen ist bereit für das TISAX Assessment. Im Assessment Level 2 erfolgt die Prüfung remote. Im Assessment Level 3 erfolgt die Prüfung vor Ort im Unternehmen. In diesem Fall werden auch die Räumlichkeiten des Unternehmens bzw. sein Firmengelände bewertet.
  7. Optimierung und Nachprüfung: Sollten sich Schwachstellen herausstellen, werden diese im Zuge des TISAX Assessments beseitigt. In der anschließenden Nachprüfung beweisen Sie, dass alle ermittelten Schwachstellen beseitigt worden sind.
  8. Übermittlung der Ergebnisse: Die Prüfung wird mit der Übermittlung der Prüfergebnisse an die ENX Association abgeschlossen. Sollten noch Abweichungen von den Anforderungen bestehen, erhalten Sie ein vorläufiges TISAX Label, das zeitlich begrenzt gültig ist. Eine erfolgreiches TISAX Label erhalten Sie dann, wenn die Abweichungen nachweisbar behoben worden sind.

TISAX Zertifizierung: Die Assessment Level

Das Assessment-Level hängt von Ihrem Schutzbedarf ab. Hier unterscheidet man zwischen Assessment Level 1 (normal), Assessment Level 2 (hoch) und Assessment Level 3 (sehr hoch). Welches Assessment Level für Ihre individuellen Prozesse in Frage kommt, entscheiden Sie selbst. Manche Zulieferer setzen auch ein bestimmtes Level der TISAX Zertifizierung voraus.

  • Assessment Level 1 (normal): Unternehmen mit normalem Schutzbedarf führen das Assessment in Form einer Selbsteinschätzung durch. Diese gilt noch nicht als TISAX Zertifizierung, da sie nicht überprüft wird.
  • Assessment Level 2 (hoch): Unternehmen mit hohem Schutzbedarf führen das Assessment in Form einer Selbsteinschätzung durch und lassen es durch einen Prüfdienstleister auf die Plausibilität und Vollständigkeit der Nachweise überprüfen. Die Prüfung erfolgt remote. Sollten die Sondermodule Datenschutz und Prototypenschutz ebenfalls Gegenstand der TISAX Zertifizierung sein, finden diese vor Ort im Unternehmen statt.
  • Assessment Level 3 (sehr hoch): Unternehmen mit sehr hohem Schutzbedarf führen das Assessment in Form einer Selbsteinschätzung durch und lassen dieses ebenfalls durch einen Prüfdienstleister auf die Plausibilität und Vollständigkeit der Nachweise überprüfen. Der Unterschied zu Level 2: Die Überprüfung findet grundsätzlich vor Ort statt.

Mit unserer TISAX Beratung steht Ihrem TISAX Label nichts mehr im Wege. Lassen Sie sich bei der Wahl Ihres Assessment Levels qualifiziert beraten und vereinbaren Sie ein Erstgespräch mit uns.

Dauer: Wie lange dauert eine TISAX Zertifizierung?

Zwischen der Erstprüfung und der Übermittlung der Ergebnisse an die ENX Association liegen maximal neun Monate. Auch etwaige Schwachstellen oder Abweichungen müssen in diesem Zeitraum behoben werden. Kann die Prüfung nicht innerhalb der Frist abgeschlossen werden, erhält Ihr Unternehmen leider kein TISAX Label. Eine erfolgreiche TISAX Zertifizierung ist drei Jahre gültig und beinhaltet, anders als die ISO 27001 Zertifizierung, keine jährlich stattfindenden Überwachungsaudits.

Kosten: Was kostet eine TISAX Zertifizierung?

Die Kosten für eine TISAX Zertifizierung sind von Unternehmen zu Unternehmen unterschiedlich. Neben den Fixkosten für die Prüfung können Sie mit den folgenden Investitionen rechnen:

  • Aufbau oder Ausbau Ihres Informationssicherheitsmanagementsystems (ISMS)
  • Neue Server
  • Neue Räumlichkeiten
  • Neue Alarmanlagen
  • Sonstige Investitionen in die Infrastruktur Ihres Unternehmens, zum Beispiel durch sichtgeschützte Türen und Fenster

Die Kosten für eine Erneuerung der TISAX Zertifizierung nach drei Jahren fallen deutlich niedriger aus, da Sie im Regelfall nur noch Optimierungen vornehmen müssen. Ihr Vorteil mit uns: Da die TISAX Zertifizierung standardisierte Anforderungen hat, sind die Kosten vorab gut kalkulierbar. Wir bieten unsere Leistungen im Rahmen der TISAX Zertifizierung als Paket an. Vereinbaren Sie gerne einen Termin für ein Erstgespräch, damit wir Ihnen ein individuelles Angebot machen können.

TISAX Zertifizierung in der Praxis

Das TISAX Label ermöglicht der Automobilbranche, für ein einheitliches Niveau in der Informationssicherheit zu sorgen. Dank des TISAX Fragenkatalogs zeichnen sich die Anforderungen an eine TISAX Zertifizierung vor allem durch Transparenz aus, sodass sie sich leicht in die Praxis übertragen lassen. Wir begleiten Sie bei jedem Schritt Ihrer TISAX Zertifizierung und bereiten Sie optimal auf die Prüfung vor. Vereinbaren Sie jetzt das Erstgespräch für eine TISAX Beratung mit uns.

Case Study:
TISAX-Zertifizierung

Rückenfrei ist sorgenfrei, das ist das Motto unter dem Stigler & Roos erfolgreiche Kundenevents für die Automobilindustrie durchführt. Der Einsatz moderner IT-Systeme und digitaler Technik ist dabei selbstverständlich. Darin liegt auch der Grund, warum sich die Stigler & Roos GmbH als eines der ersten Unternehmen der Veranstaltungsbranche nach dem TISAX-Standard hat zertifizieren lassen. Memex überzeugte mit einem praxisnahen Einführungskonzept.

Whitepaper zur ISO 9001:
Schritt für Schritt zur Zertifizierung

*“ zeigt erforderliche Felder an