Die Automobilbranche gehört den bedeutsamsten Wirtschaftszweigen Deutschlands an. Aber der Zugang ist nicht leicht, von Jahr zu Jahr erhöhen sich die Markteintrittsbarrieren. Wer in der Automobilindustrie mitspielen möchte, muss hohen Anforderungen gerecht werden. Sowohl Automobilhersteller als auch Zulieferer wählen ihre Partner akribisch aus. Bei der Auswahl wird auch auf die Informationssicherheit geachtet.
Tisax ist der branchenweit fest etablierte Standard für Informationssicherheit. Der Nachweis über eine erfolgreich bestandene Tisax Prüfung ist Grundvoraussetzungen, um Geschäftsbeziehungen innerhalb der Automobilindustrie einzugehen. Nicht zuletzt weil Tisax anspruchsvoll ist: Das erfolgreiche Durchlaufen eines Assessments erfordert eine gründliche Vorbereitung sowie Abstimmung der Prozesse.
Tisax: Aufgaben und Herkunft
Die häufigste Basis für nachgewiesene Informationssicherheit innerhalb der deutschen Wirtschaft bilden die internationale Industrienorm ISO/IEC 27001 sowie der daran angelehnte BSI Grundschutz. Die Automobilbranche geht jedoch ihren eigenen Weg. Mit Tisax hat sie eine Lösung geschaffen, die besser auf ihre Bedürfnisse zugeschnitten ist.
TISAX steht für Trusted Information Security Assessment Exchange. Hinter der Bezeichnung steckt ein Standard der Automobilindustrie, der die Verarbeitung vertraulicher Informationen und Daten sowie den Prototypenschutz regelt.
Im Jahr 2017 wurde Tisax vom Verband der Automobilindustrien VDA erschaffen. Betreuung und Weiterentwicklung erfolgen durch die ENX Association, einem Verein nach französischem Recht mit Sitz in Frankreich und Deutschland. Mitglieder des Vereins sind Automobilhersteller, Verbände und Zulieferer.
Abgrenzung von Tisax und ISO 27001
Am einfachsten lässt sich Tisax als eine Weiterentwicklung der internationalen Norm IS0 27001 beschreiben. Einerseits bestehen große Überschneidungen, andererseits haben VDA und ENX Association die Norm um branchenspezifische Anforderungen erweitert. Die Erweiterungen betreffen insbesondere Datenschutz und Prototypenschutz. Darüber hinaus sind empfohlene Maßnahmen und Prüfprozess angepasst.
Eine weitere Besonderheit ist die Kopplung an ein Reifegradmodell. Ziel dieses Konzepts ist es, Aussagen über den Reifegrad bzw. das Niveau in der Informationssicherheit treffen zu können. Entsprechend werden Prozesse und Maßnahmen nicht nur angepasst oder eingeführt, sondern auch hinsichtlich ihrer Reife bewertet.
Prüfung und Tisax-Zertifizierung
Unternehmen, die ihre Informationssicherheit Tisax-konform ausrichten, machen dies nicht ohne Grund. Das Ziel ist eine Zertifizierung, um damit den Anforderungen von Geschäftspartnern gerecht zu werden. Die Ausstellung eines Zertifikats erfolgt jedoch nicht. Stattdessen wird eine bestandene Prüfung auf dem ENX-Portal einsehbar gemacht und kann anhand der D-U-N-S Nummer abgerufen werden.
Die Zertifizierung setzt einen erfolgreich durchlaufenden Prüfprozess, das sogenannte VDA Information Security Assessment (VDA-ISA) voraus. In diesem Rahmen wird überprüft, ob das Unternehmen die im VDA-ISA Fragenkatalog definierten Anforderungen erfüllt.
Die Tisax-Zertifizierung gibt es auf insgesamt drei verschiedenen Leveln:
- Tisax Level 1: Self-Assessment, eine Selbsteinschätzung, die als Vorbereitung für eine Prüfung dienen kann. Eine Prüfung durch einen externen Prüfdienstleister findet nicht statt.
- Tisax Level 2: Das Self-Assessment wird einer Prüfung unterzogen, insbesondere im Hinblick auf dessen Plausibilität. Es werden die angefertigten Dokumente überprüft und ergänzend findet eine Befragung des Informationssicherheitsbeauftragten statt.
- Tisax Level 3: Es findet eine vollwertige Prüfung statt. Dokumente und Nachweise werden geprüft, ebenso wird vor Ort überprüft, wie Prozesse in der Praxis durchgeführt werden. Interviews mit den Prozessverantwortlichen finden statt, ergänzend sind stichprobenartige Interviews mit Prozessbeteiligten (keine Verantwortlichen) möglich.
Tisax Assessments werden nicht direkt von der ENX durchgeführt. Stattdessen erfolgt die Umsetzung von Prüfdienstleistern, die Unternehmen frei wählen können. Für eine erfolgreiche Zertifizierung muss der Prüfdienstleister von der ENX akkreditiert sein.
Wir unterstützen Sie
Aufgrund von Ausmaß und Komplexität ist die Mehrheit der Unternehmen auf ihrem Weg zur Tisax-Zertifizierung auf externe Unterstützung angewiesen. Mit unserer Expertise können wir Sie zuverlässig unterstützen und auf die bevorstehenden Audits vorbereiten. Unser Fahrplan in Kombination mit einer pragmatischen Vorgehensweise gewährleistet, dass Sie sich weiter um Ihr Kerngeschäft kümmern können und zielsicher der erfolgreichen Zertifizierung nähern.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung, nutzen Sie unsere kostenlose Erstberatung.
Fragen & Antworten zum Thema
An welche Kosten ist eine Tisax-Zertifizierung gekoppelt?
Die genauen Kosten hängen von mehreren Faktoren ab, nämlich der Anzahl und Komplexität der Prozesse, die im Fokus stehen. Zu beachten ist außerdem, dass die eigentliche Zertifizierung nicht der größte Kostentreiber ist. Primär resultiert der Hauptteil der Kosten aus der Vorbereitung, wie z.B. der Durchführung von Analysen, der Anpassung von Prozessen sowie der Anfertigung einer Dokumentation.
Kleinunternehmen können je nach Tätigkeitsumfeld schon für etwas weniger als 20.000 Euro die Tisax-Zertifizierung erlangen. Mittlere Unternehmen starten oft bei Kosten von rund 30.000 Euro, wobei nach oben deutlich Luft bestehen kann.