TISAX®: 10 Fakten

TISAX 10 Fakten
Welche Vorteile bietet Ihnen TISAX (Trusted Information Security Assessment Exchange)?

1. Was ist TISAX®?

TISAX® steht für Trusted Information Security Assessment Exchange . Dabei handelt es sich um einen Prüf- und Austauschmechanismus, der von der VDA (Verband der Automobilindustrie) in Zusammenarbeit mit der ENX (European Network Exchange Association) Anfang 2017 etabliert wurde. Eine eigens entwickelte Online-Plattform dient dem unternehmensübergreifenden Austausch von Prüfergebnissen in der Informationssicherheit im Automotive-Sektor . Mit der Freischaltung der Ergebnisse auf der Plattform können Unternehmen ihren direkten Geschäftspartnern oder allen teilnehmenden Unternehmen mitteilen, dass ihre Informationssicherheit TISAX®-konform ist.

2. Wie wichtig ist TISAX® für Lieferanten?

Lieferanten und Dienstleister in der Automobilbranche verarbeiten häufig äußerst sensible Informationen ihrer Auftraggeber und sind daher verpflichtet, regelmäßige Nachweise zu erbringen, dass sie die Anforderungen in Bezug auf Informationssicherheit erfüllen. Die Prüfung erfolgte bislang meist über die Hersteller selbst auf Basis des Anforderungskatalogs Information Security Assessment (ISA). Dies führte häufig dazu, dass sich zahlreiche Unternehmen derselben Prüfung mehrmals – für jeden Auftraggeber – unterziehen mussten. Mit TISAX® lässt sich dieser Mehraufwand reduzieren, denn durch die Freischaltung der Ergebnisse auf der Plattform können Unternehmen signalisieren, dass ihre Informationssicherheit TISAX®-konform ist. Für Lieferanten stellt ein TISAX®-Label die Eintrittskarte in die Automobilindustrie dar und ist verpflichtend für eine Zusammenarbeit mit OEMs .

3. Welche Vorteile ergeben sich durch TISAX®?

  • TISAX® bietet ein einheitliches Informationssicherheitsniveau in der Automobil-Branche.
  • TISAX® zählt als anerkannter Standard in der Automobil-Branche.
  • Unnötige Doppel- und Mehrfachüberprüfungen entfallen .
  • Das Assessment zur TISAX®-Zertifizierung ist nur alle drei Jahre erforderlich. Somit werden Zeit und Kosten gespart .

Aber: Für die Einführung eines solchen Systems benötigt man die volle Unterstützung der Geschäftsführung. Für die Beratung und Unterstützung gibt es ein externes Netzwerk an kompetenten Partnern. Die Beratung ist separat von der Zertifizierung zu sehen und muss von getrennten Organisationen durchgeführt werden.

4. Welche Assessment-Levels gibt es?

TISAX® unterscheidet drei Assessment-Levels (Schutzbedarfe). Diese Level unterscheiden sich in Prüfverfahren und Intensität. Grundlage der TISAX-Assessments ist der Anforderungskatalog VDA-ISA:

  • Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung, i.d.R. nur für interne Zwecke. Diese Prüfergebnisse haben nur eine geringe Aussagekraft und werden in TISAX® nicht verwendet.
  • Level 2: Plausibilitätsprüfung der Selbsteinschätzung durch einen Prüfdienstleister (meist telefonisch).
  • Level 3: Plausibilitätsprüfung der Selbsteinschätzung durch einen Prüfdienstleister (intensive und umfassende Vor-Ort-Prüfung).

5. Wie lange dauert die TISAX® Einführung?

Dies ist abhängig von mehreren Faktoren:

  • Komplexität des Unternehmens (Produktion, Dienstleistung, National, International, etc.)
  • Größe des Unternehmens (Anzahl Mitarbeiter, Anzahl Standorte)
  • Reifegrad des Informationssicherheitsmanagementsystems (ISMS)

Im Durchschnitt dauert dies ca. 6-9 Monate , kann aber fallweise (z. B. internationale Standorte) auch länger dauern.

Bleiben Sie mit TISAX® nicht nur weiterhin ein wertvoller Partner und Lieferant für die OEMs, sondern sichern und optimieren Sie gleichzeitig Ihre Systeme und Prozesse im Sinne der Informationssicherheit. Mit TISAX® gehen Sie sicher durch die Automobilwelt!

Bastian Härzer Geschäftsführer Syngenity GmbH https://www.bayern-innovativ.de/seite/clusterpartner-im-fokus-syngenity


6. Wie lange dauert es, bis ein Unternehmen zertifiziert ist?

Der TISAX®-Prüfprozess muss innerhalb von neun Monaten ab Anmeldung abgeschlossen sein, sonst beginnt der Prozess von vorne. Sind alle Kriterien erfüllt bzw. nur geringfügige Abweichungen erkennbar, wird der Prüfbericht bei der ENX eingereicht. Sobald dieser akzeptiert wurde, wird ein (temporäres) TISAX®-Label übergeben. Bei größeren Abweichungen gilt das Label erst ab dem Tag, an dem die Abweichungen behoben wurden. Diese müssen innerhalb von spätestens 8 Monaten behoben sein.

7. Was sind TISAX® Labels?

Die Labels fassen das Prüfergebnis zusammen und sind hierarchisch miteinander verknüpft. Die Labels sind nur im ENX-Portal für Zugelassene OEMs einsehbar. Sie sind drei Jahre gültig.

8. Sollte man auch ohne Kundenanforderung eine TISAX® Zertifizierung anstreben?

Grundsätzlich ist eine Zertifizierung nach TISAX® für Lieferanten immer empfehlenswert . Zum einen reduziert sich der interne Prüfungsaufwand, sollte eine OEM Nachweise fordern, zum anderen ist Ihre interne Organisation im Sinne der Informationssicherheit so weit fortgeschritten, dass auch andere Standards, z. B. die ISO 27001, für andere Branchen problemlos umgesetzt werden können.

9. Welche Änderungen beinhaltet der neue VDA ISA Katalog?

Die neue Version des ISA Anforderungskatalogs ist noch übersichtlicher aufgebaut und verringert den Aufwand für Unternehmen und Prüfer. Zudem wurden Anpassungen an dem Modul „Informationssicherheit“ vorgenommen und Redundanzen beseitigt . Seit Juli 2020 ist der Fragenkatalog VDA ISA in der Version 5.0 verfügbar. Seit 1. Oktober 2020 ist er für alle neuen TISAX®-Assessments verpflichtend.

10. Wer ist Ansprechpartner für ein TISAX®-Audit?

Ansprechpartner für ein TISAX®-Audit sind ausschließlich durch die ENX zugelassene Prüfdienstleister mit spezieller Akkreditierung für TISAX® und großem Branchen-Know-how, wie z. B. TÜV SÜD, um ein hohes, durchgängiges Produktniveau und eine breite Anerkennung des Standards zu gewährleisten. Über die Plattform lassen sich akkreditierte und in Akkreditierung befindliche Prüfdienstleister ersehen.

Veranstaltungshinweis



Infografik Syngenity TISAX

Ihr Kontakt

Matthias Mederer

Haben Sie auch ein spannendes Thema, das Sie mit uns näher beleuchten möchten oder sind Sie an einer tieferen Zusammenarbeit mit uns interessiert? Dann werden Sie Partner im Cluster Automotive und profitieren Sie von unseren zahlreichen Angeboten!