Erfolgreich zum TISAX Assessment
Zufriedene Kunden der activeMind AG
Für welche Unternehmen lohnt sich ein TISAX Assessment?
TISAX steht für Trusted Information Security Assessment Exchange – und ist ein vom Verband der Automobilindustrie (VDA) entwickelter Prüfmechanismus. Er basiert auf der bekannten Informationssicherheits-Norm ISO 27001, ergänzt um spezifische Anforderungen für die Automobilbranche.
TISAX hat sich zu dem Branchenstandard im Bereich Mobility entwickelt. Viele Auftraggeber bestehen mittlerweile auf einem entsprechenden Nachweis.
Ein erfolgreich bestandenes TISAX Assessment ist deshalb allen Unternehmen in Lieferketten von Automobilherstellen dringend anzuraten.
Was müssen Unternehmen für ein TISAX Assessment tun?
Um ein TISAX Assessment erfolgreich durchlaufen zu können, müssen Unternehmen sich rechtzeitig mit dem Information-Security-Assessment-Katalog (ISA-Katalog) auseinandersetzen.
Auf Basis dessen gilt es ein funktionierendes Informationssicherheits- Managementsystem (ISMS) zu etablieren und alle relevanten Sicherheitsanforderungen umsetzten. Eine gründliche Vorbereitung, interne Audits und die Auswahl eines geeigneten Prüfdienstleisters sind hierbei entscheidend.
Welche Reifegrade der Informationssicherheit erreicht werden müssen, hängt vom durch Ihre Auftraggeber geforderten TISAX-Assessment-Level ab (siehe unsere FAQ zu TISAX).
Wie kann activeMind auf dem Weg zum TISAX Assessment unterstützen?
Die Anforderungen des TISAX Katalogs sind sehr komplex sind und erfordern eine koordinierte Umsetzung von technischen Maßnahmen, Risikomanagement und internen Governance-Strukturen erfordern.
Unsere Experten begleiten Sie auf diesem Weg von der Analyse bestehender Sicherheitsmaßnahmen über die Implementierung bzw. Optimierung eines ISMS bis hin zur erfolgreichen Auditvorbereitung. Mit praxisnaher Beratung und individuellen Lösungen helfen wir Ihnen, die TISAX Anforderungen effizient zu erfüllen und Ihre Informationssicherheit nachhaltig zu optimieren.
Unserer Erfahrung nach hat sich dabei folgendes Vorgehen bewiesen:
Analyse der TISAX Anforderungen
Wir führen eine Analyse Ihres Unternehmens im Hinblick auf die für TISAX relevanten Anforderungen durch und bewerten danach die bereits umgesetzten Sicherheitsmaßnahmen entsprechend.
Internes TISAX Audit
Wir auditieren Ihr bestehendes ISMS und führen eine GAP-Analyse durch, um Bereiche aufzudecken, in denen Ihr Unternehmen den TISAX Anforderungen noch nicht in vollem Umfang entspricht.
Entwicklung eines TISAX Aktionsplans
Wir erstellen einen maßgeschneiderten Aktionsplan mit konkreten und priorisierten Schritten zur Schließung identifizierter Lücken hinsichtlich des TISAX Assessments.
Implementierungsunterstützung
Bei Bedarf unterstützen unsere Experten bei der Implementierung und Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen.
Risikomanagement
Wir helfen Ihnen ein Risiko-Managementsystem in Ihrem Unternehmen zu etablieren bzw. ein vorhandenes Risikomanagement zu optimieren. Dies umfasst bspw. die Durchführung von Risikoanalysen und deren Behandlung.
Drei gute Gründe für activeMind als Ihren TISAX-Partner
Erfahrung mit Standards
Macher-Mentalität
Echte Befähigung
Ausgewählte Experten
Kostenlose Erstberatung
Lassen Sie uns gemeinsam herausfinden, welche Anforderungen Ihr Unternehmen erfüllen muss, um ein TISAX Assessment erfolgreich zu bestehen.
Schreiben Sie uns jetzt und wir melden uns innerhalb von zwei Werktagen mit einem Terminvorschlag für eine erste Auftragsklärung bei Ihnen!
Wir leben Qualität,
die überzeugt
Häufig gestellte Fragen zu TISAX
Was ist TISAX und wofür wird es benötigt?
TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilbranche. Unternehmen, die mit Automobilherstellern (sogenannten OEMs) wie bspw. Audi, BMW oder deren Zulieferern zusammenarbeiten und sensible Informationen wie Entwicklungsdaten oder Prototypen verwalten, müssen in der Regel den Nachweis erbringen, dass sie alle Anforderungen des ISA-Katalogs erfüllen.
Dieser Nachweis über ein TISAX Assessment wird in einem Portal – dem sogenannten ENX Portal – hinterlegt. Dafür wird ein Assessment nötig, also eine Überprüfung der Informationssicherheit durch einen unabhängigen Prüfdienstleister. OEM können im ENX Portal einsehen, ob das jeweilige Unternehmen das gewünschte Niveau an Informationssicherheit erfüllt und als Dienstleister eingesetzt werden kann.
Dieser Prozess trägt dazu bei, ein einheitliches Sicherheitsniveau in der Branche zu gewährleisten und den Schutz sensibler Daten zu verbessern. Bei Bestehen des Assessments wird dem Unternehmen ein TISAX-Label ausgestellt, welches die Durchführung der Prüfung bestätigt.
Was ist der Unterschied zwischen ISO 27001 und TISAX Assessments?
Der Unterschied zwischen DIN EN ISO/IEC 27001 und TISAX liegt insbesondere im Anwendungsbereich:
- Während der Anwendungsbereich der DIN EN ISO/IEC 27001:2024 branchenübergreifend gilt,
- handelt es sich bei TISAX speziell um branchenspezifische Anforderungen, die nur für die Automobilbranche zur Anwendung kommen.
Ein weiterer Unterschied liegt in der Art der Prüfung:
- Bei der ISO 27001 erfolgt eine offizielle Zertifizierung durch akkreditierte Stellen, die international anerkannt sind. Nach erfolgreichem Abschluss erhält das Unternehmen ein Zertifikat, das es auf seiner Unternehmenswebsite bereitstellen kann.
- TISAX hingegen erfordert ein Assessment, dass von Prüfdienstleistern, die durch die ENX Association anerkannt sind, geprüft werden. Die Ergebnisse des Assessments sind in einem geschlossenen Austauschportal (ENX-Portal) ausschließlich für berechtigte Partner zugänglich.
Eine Gemeinsamkeit ist, dass beide Informationssicherheits-Standards international anerkannt sind.
Welche Assessment-Level gibt es bei TISAX?
Grundsätzliche werden im Rahmen von TISAX die Assessment-Level dafür herangezogen, um die inhaltliche Tiefe des Audits zu bestimmen. Somit gestaltet sich das Audit je nach Assessment-Level unterschiedlich:
Level 1Dieses Level ist für normale Schutzanforderungen vorgesehen, meist für interne Zwecke. Die Prüfung erfolgt durch eine Selbstbewertung. Der Prüfer stellt lediglich sicher, dass eine solche Selbsteinschätzung vorliegt, überprüft jedoch nicht deren inhaltliche Richtigkeit. Dieses Level hat in der Praxis kaum Bedeutung und wird von den Prüfern auch nicht herangezogen.
Level 2Dieses Level richtet sich an Dienstleister und Zulieferer mit hohen Schutzanforderungen. Der Prüfer führt eine Plausibilitätsprüfung der Selbsteinschätzung durch. Dabei hinterfragt er die angegebenen Informationen in einem Interview per Telefonkonferenz mit den Verantwortlichen und fordert entsprechende Nachweise an. Eine Vor-Ort-Prüfung findet nur in bestimmten Fällen statt.
Level 2.5Dieses Level liegt zwischen dem Level 2 und Level 3 und stellt eine alternative Vorgehensweise für die Prüfung nach Level 2 dar. Bei diesem Assessment erfolgt die Prüfung – wie in Level 2 – per Telefonkonferenz. Der Auditor überprüft dabei, ob das implementierte ISMS des Unternehmens den geltenden Anforderungen entspricht. Der Vorteil dieses Levels besteht darin, dass ein Upgrade von Level 2 auf Level 3 mit geringerem Aufwand möglich ist.
Level 3Dieses Level gilt für Dienstleister und Zulieferer mit sehr hohen Schutzanforderungen. Die Prüfung umfasst Überprüfungen vor Ort. Der Prüfer inspiziert die örtlichen Gegebenheiten, prüft relevante Dokumente, führt Interviews mit verschiedenen Prozessverantwortlichen und beobachtet die praktische Umsetzung der Schutzmaßnahmen.
Die Auftraggeber bzw. Automobilhersteller legen fest, nach welchem Level ein Zulieferer geprüft werden muss. Dies richtet sich nach dem Schutzbedarf der Informationen, die dem Auftragnehmer zur Verfügung gestellt werden. Die geforderten Prüfziele sollen daher sicherstellen, dass das jeweilige Level an Informationssicherheit erreicht ist.
Wie lange ist der Eintrag im ENX Portal und damit ein TISAX-Label gültig?
Welche Konsequenzen drohen bei Nichtbestehen des TISAX Assessments?
Wenn Zulieferer oder Dienstleister für Automobilhersteller tätig sind, kann das Nichtbestehen eines TISAX Assessments zum Verlust von Geschäftsbeziehungen oder Ausschluss von Projekten führen. Derzeit machen alle großen Automobilhersteller den Nachweis im ENX Portal zur Bedingung für eine Auftragsvergabe.
Ein erneutes TISAX Assessment erfordert nicht nur Zeit, sondern verursacht auch zusätzliche Kosten für Nachbesserungen und eine erneute Prüfung. Darüber hinaus kann das Nichtbestehen das Vertrauen von Geschäftspartnern beeinträchtigen und langfristig zu Reputationsverlusten führen.
Daher ist eine gründliche Vorbereitung essenziell, um Lücken frühzeitig zu identifizieren und zu beheben.