Die wichtigsten Fragen Rund um TISAX®
Die vordringlichen Fragen und die Bedeutung von TISAX® und allem, was damit verbunden ist, in ein paar Worten zusammen zu fassen ist schier unmöglich. Hier finden Sie eine Übersicht über die häufigsten Fragen rund um das Thema. Sollten Sie darüber hinaus Fragen haben, melden Sie sich einfach bei uns. Wir unterstützen Sie gerne.
Was ist der Unterschied zwischen VDA ISA und TISAX®?
Was sind die TISAX® Anforderungen an Informationssicherheit?
Welche Vorteile hat ein TISAX®-Label für Sie?
Wer definiert das Sicherheitsniveau?
Was sind die TISAX® Prüfstufen?
Gilt die DS-GVO auch bei einer TISAX-Zertifizierung?
Wer auditiert und zertifiziert nach TISAX®?
Was ist TISAX®?
TISAX® ist die Lösung der Automobilindustrie (VDA) auf das wachsende Sicherheitsbedürfnis zwischen OEMs und Lieferanten im Umgang mit vertraulichen Informationen. Gleichzeitig ist TISAX eine eingetragene Markte der ENX Association.
TISAX® steht für Trusted Information Security Assessment Exchange. Es handelt sich hierbei um einen Prüf- und Austauschmechanismus zur unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilbranche. Sowohl Zulieferer als auch Dienstleister der Automobilindustrie müssen sich seit Anfang 2018 nach TISAX® zertifizieren lassen.
Was ist der Unterschied zwischen VDA ISA und TISAX®?
Das Information Security Assessment ist ein Prüfkatalog der von den Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) erstellt wurde. Dieser enthält wesentliche Merkmale des ISMS (Managementsystems für Informationssicherheit) abgeleitet aus der internationalen Norm ISO/IEC 27001 für Informationssicherheit. Zusätzlich wurde der VDA ISA Prüfkatalog um Themen wie Prototypenschutz und Anbindung Dritter, d.h. ernstzunehmende Marktmechanismen in der Automobilbranche, angereichert.
TISAX® ist der dazugehörige Standard an dessen Ende das TISAX-Testat bzw. die TISAX-Labels stehen. Um diesen Standard / diese Zertifizierung zu erlangen, wird eine Prüfung von einem akkreditierten Zertifizierungsdienstleister im Auftrag des jeweiligen Unternehmens durchgeführt. Diese Prüfung nennt sich bei TISAX® ein Assessment oder Audit. Das TISAX-Label gilt immer für 3 Jahre, danach muss das Prüfergebnis erneuert werden.
Wer oder was ist die ENX?
Die ENX Association agiert in dem neuen System als Governance-Organisation. Gleichzeitig gehört ihr der eingetragene Markenname TISAX®. Sie akkreditiert die Prüfdienstleister und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden.
Das gleichnamige ENX Plattform der europäischen Automobilindustrie basiert auf den von der ENX Association gesetzten Standards in Bezug auf Sicherheit, Verfügbarkeit und Interoperabilität. Die Plattform gewährleistet den sicheren Austausch von Entwicklungs-, Produktionssteuerungs- und Logistikdaten in der europäischen Automobilindustrie. Darüber hinaus sind die TISAX-Labels für alle Mitglieder auf der Austauschplattform des ENX einsehbar. (https://portal.enx.com)
Was sind die TISAX® Anforderungen an Informationssicherheit?
Inhaltlich basiert das TISAX® Modell auf bekannten und bewährten Sicherheitsstandards wie der Norm ISO 27001. Dieser ist der Standard für Informationssicherheit und hat als wesentlichen Bestandteil das sogenannte ISMS (Managementsystems für Informationssicherheit). Die Implementierung von ISO 27001 ermöglicht eine Lösung nach dem Stand der Technik für den sicheren Umgang mit vertraulichen Informationen. Der Standard stellt für zwei Unternehmen, die Daten austauschen müssen, eine sichere Basis dar.
Darüber hinaus wird TISAX® um branchenspezifische Module ergänzt. Diese erweitern den universalen Sicherheitsstandard um spezifische Anforderungen wie z.B. den Prototypenschutz oder die Datenschutz als Auftragsverarbeiter.
Welche Vorteile hat ein TISAX®-Label für Sie?
Lieferanten und Dienstleister der Automobilindustrie, die Informationen der Kunden verarbeiten, müssen die jeweiligen Kundenanforderungen an die Informationssicherheit einhalten. Dies beutetet dementsprechend, dass jeder Kunde ein Interesse daran hat, dies durch sog. Lieferantenaudits zu überprüfen. Somit müssen sich die Lieferanten und Dienstleister mehreren externen Prüfungen unterziehen.
Der Nachweis eines TISAX®-Labels / TISAX-Zertifikates hilft Ihnen kosten- und zeitintensive Mehrfachprüfungen zu vermeiden, da der Leistungsumfang der Assessments standardisiert ist. Daneben stellen Sie sicher, dass Sie wirtschaftliche Schäden bzw. strafrechtliche Folgen Aufgrund von Nichteinhaltung rechtlicher Vorschriften vermeiden. Die Qualität und Objektivität der Audits werden von Zulieferern und OEMs gleichermaßen anerkannt. Darüber hin können die Prüfinformationen über die ENX Plattform an all Ihre Kunden aus der Automobilbranche weitergegeben werden. Somit müssen Sie sich trotz unterschiedlicher Kunden nur einem regelmäßigen Audit unterziehen und sparen folglich Zeit und Geld.
Was ist ein ISMS?
Ein wesentlicher Baustein im Rahmen einer TISAX®-Zertifizierung ist der Aufbau eines Managementsystems für Informationssicherheit (ISMS) auf Basis der ISO 27001. Wobei es zu beachten gilt, dass TISAX® kein vollständiges ISMS fordert, sondern lediglich die für den Automobilbereich definierten Bausteine.
Neben der Abbildung der IT Strukturen und Prozesse müssen auch die Vorgaben zum Lieferantenprozess, der Zutrittssteuerung (Zonenpläne der Gebäude usw.) und das Thema Personaleinstellung Vorgabenkonform umgesetzt werden. Darüber hinaus sind, wie bei jedem anderen Regelwerk auch, die Themen Einhaltung von Gesetzen und der Datenschutz nachzuweisen.
Wer definiert das Sicherheitsniveau?
Da es unterschiedliche Ansichten darüber gibt, was sicher bedeutet, versucht man bei diesem Thema auf bereits bestehende Standards und Normen zurückzugreifen. Die Herangehensweise der Standards basiert auf dem „Best-Practice“ Prinzip. Ein Standard ist die verdichtete Form aller bewährten Best-Practice Methoden für einen bestimmten Problembereich. Durch die Anwendung von anerkannten Standards kann das zügige Erreichen eines hohen IT-Sicherheitsniveaus gewährleistet werden.
Im Fall TISAX® bzw. VDA ISA heißt der Standard, der hier zugrunde liegt ISO 27001.
Was sind die TISAX® Prüfstufen?
Im Rahmen der Zertifizierung, bei TISAX® wird dies Testat genannt, wird abhängig davon, welches Label sie benötigen, zwischen drei Prüfstufen/Assessments unterschieden:
TISAX® Assessment-Level 1 (AL!)
Es besteht in der Regel aus einer Selbstauskunft. Die Ergebnisse haben eine geringe Aussagekraft und werden daher in TISAX nicht verwendet. Es kann allerdings möglich sein, dass ein Partner eine solche Selbsteinschätzung außerhalb des TISAX-Labels auf Basis der VDA-ISA anfordert.
TISAX® Assessment-Level 2 (AL2)
Dies schließt einen Plausibilitätscheck sowie ein Telefoninterview durch das akkreditierte und beauftragte Prüfunternehmen ein. Es beinhalten nur dann zwingend eine Vor-Ort-Prüfung, wenn zusätzlich als Prüfziel „Anbindung Dritter“ definiert wurde.
TISAX® Assessment-Level 3 (AL3)
Neben der Dokumentenprüfung findet hier immer eine Vor-Ort-Prüfung direkt im Unternehmen, durch die Experten eines beauftragten akkreditierten Prüfunternehmens, statt.
Gilt die DS-GVO auch bei einer TISAX-Zertifizierung?
Das Ziel der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) ist es, einen für die EU übergreifenden gültigen Datenschutzstandard zu setzen. Alle Unternehmen und Behörden sind verpflichtet die gesetzlichen Anforderungen der DS-GVO umzusetzen. Die Einhaltung wird durch die Datenschutzbehörden überprüft. Bei Nichteinhaltung der DS-GVO drohen Bußgelder. Dies gilt unabhängig davon, ob Sie sich für eine TISAX-Zertifizierung entscheiden oder nicht.
Durch die Einführung der neuen DS-GVO hat sich der Datenschutz für deutsche Unternehmen nicht grundlegend geändert. Viele Aspekte werden weiterhin berücksichtigt; gleichzeitig sind aber auch völlig neue Anforderungen hinzugekommen. Hierzu zählen vor allem Themen wie:
- Privacy by Design / Default
- Folgenabschätzung
- Marktortprinzip
Aber auch bereits alltägliche Dokumente wie Einwilligungserklärungen zum Datenschutz sind zum Teil betroffen und müssen ggf. angepasst werden.
Bei Nichteinhaltung drohen hohe Bußgelder
Da hohe Bußgelder drohen, sollten Sie sich laufend mit den Anforderungen der DS-GVO auseinandersetzen, die eigenen Datenschutzprozesse regelmäßig prüfen und, falls noch nicht geschehen, Ihre Datenschutzdokumente und Ihre Datenschutzprozesse entsprechend der neuen DS-GVO erweitern.
Wer auditiert und zertifiziert nach TISAX®?
Für die Durchführung des Zertifizierungsaudits nach TISAX® sind nur von der ENX Association akkreditierte Prüforganisationen zugelassen. Dazu gehören beispielsweise die DEKRA, der TÜV Süd oder der TÜV Nord. Die TISAX® Akkreditierung der ENX Association basiert auf einem Framework von Akkreditierungskriterien und Auditanforderungen. Diese bestehen aus zwei Teilen.
Teil A: Allgemeine Anforderungen an Audit-Dienstleister.
Teil B: Spezifische Anforderungen für TISAX® Audit-Dienstleister
Voraudits bzw. Assessments, die als Selbstbeurteilung vor der Prüfung durchgeführt werden müssen, können jedoch auch von anderen Unternehmen, wie z.B. der glacier ac GmbH, durchführt werden.
Es sind immer noch Fragen offen? Dann kontaktieren Sie uns. Gemeinsam finden wir einen Weg, auch Ihr Unternehmen für ein TISAX®-Assessment fit zu machen.
TISAX® ist eine eingetragene Markte der ENX Association.