BEDEUTUNG VON TISAX

Die Bedeutung von TISAX in ein paar Worten zusammen zu fassen ist schier unmöglich. Hier finden Sie eine Übersicht über die häufigsten Fragen rund um das Thema. Sollten Sie darüber hinaus Fragen haben, melden Sie sich einfach bei uns. Wir unterstützen Sie gerne.

Was ist TISAX?

Was ist der Unterschied zwischen VDA ISA und TISAX?

Wer oder was ist die ENX?

Was sind die TISAX Anforderungen an Informationssicherheit?

Welche Vorteile hat TISAX für Sie?

Was ist ein ISMS?

Wer definiert das Sicherheitsniveau?

Was sind die TISAX Prüfstufen?

Gilt die DS-GVO auch für TISAX?

Wer auditiert und zertifiziert nach TISAX?


Was ist TISAX?

TISAX ist die Lösung der Automobilindustrie (VDA) auf das wachsende Sicherheitsbedürfnis zwischen OEMs und Lieferanten im Umgang mit vertraulichen Informationen.

TISAX steht für Trusted Information Security Assessment Exchange. Es handelt sich hierbei um einen Prüf- und Austauschmechanismus zur unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilbranche. Sowohl Zulieferer als auch Dienstleister der Automobilindustrie müssen sich seit Anfang 2018 nach TISAX zertifizieren lassen.


Was ist der Unterschied zwischen VDA ISA und TISAX?

Das Information Security Assessment ist ein Prüfkatalog der von den Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) erstellt wurde. Dieser enthält wesentliche Merkmale des ISMS (Managementsystems für Informationssicherheit) abgeleitet aus der internationalen Norm ISO/IEC 27001 für Informationssicherheit. Zusätzlich wurde der VDA ISA Prüfkatalog um Themen wie Prototypenschutz und Anbindung Dritter, d.h. ernstzunehmende Marktmechanismen in der Automobilbranche, angereichert.

TISAX ist der dazugehörige Standard an dessen Ende das TISAX Testat bzw. die TISAX Labels stehen. Um diesen Standard / diese Zertifizierung zu erlangen, wird eine Prüfung von einem akkreditierten Zertifizierungsdienstleister im Auftrag des jeweiligen Unternehmens durchgeführt. Diese Prüfung nennt sich bei TISAX ein Assessment oder Audit. Das TISAX Label gilt immer für 3 Jahre, danach muss das Prüfergebnis erneuert werden.


Wer oder was ist die ENX?

Die ENX Association agiert in dem neuen System als Governance-Organisation. Sie akkreditiert die Prüfdienstleister und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden.

Das gleichnamige ENX Plattform der europäischen Automobilindustrie basiert auf den von der ENX Association gesetzten Standards in Bezug auf Sicherheit, Verfügbarkeit und Interoperabilität. Die Plattform gewährleistet den sicheren Austausch von Entwicklungs-, Produktionssteuerungs- und Logistikdaten in der europäischen Automobilindustrie. Darüber hinaus sind die TISAX-Labels für alle Mitglieder auf der Austauschplattform des ENX einsehbar. (https://portal.enx.com)


Was sind die TISAX Anforderungen an Informationssicherheit?

Inhaltlich basiert das TISAX Modell auf bekannten und bewährten Sicherheitsstandards wie der Norm ISO 27001. Dieser ist der Standard für Informationssicherheit und hat als wesentlichen Bestandteil das sogenannte ISMS (Managementsystems für Informationssicherheit). Die Implementierung von ISO 27001 ermöglicht eine Lösung nach dem Stand der Technik für den sicheren Umgang mit vertraulichen Informationen. Der Standard stellt für zwei Unternehmen, die Daten austauschen müssen, eine sichere Basis dar.

Darüber hinaus wird TISAX um branchenspezifische Module ergänzt. Diese erweitern den universalen Sicherheitsstandard um spezifische Anforderungen wie z.B. den Prototypenschutz oder die Anbindung Dritter.


Welche Vorteile hat TISAX für Sie?

Lieferanten und Dienstleister der Automobilindustrie, die Informationen der Kunden verarbeiten, müssen die jeweiligen Kundenanforderungen an die Informationssicherheit einhalten. Dies beutetet dementsprechend, dass jeder Kunde ein Interesse daran hat, dies durch sog. Lieferantenaudits zu überprüfen. Somit müssen sich die Lieferanten und Dienstleister mehreren externen Prüfungen unterziehen.

TISAX hilft Ihnen kosten- und zeitintensive Mehrfachprüfungen zu vermeiden, da der Leistungsumfang der Assessments standardisiert ist. Daneben stellen Sie sicher, dass Sie wirtschaftliche Schäden bzw. strafrechtliche Folgen Aufgrund von Nichteinhaltung rechtlicher Vorschriften vermeiden. Die Qualität und Objektivität der Audits werden von Zulieferern und OEMs gleichermaßen anerkannt. Darüber hin können die Prüfinformationen über die ENX Plattform an all Ihre Kunden aus der Automobilbranche weitergegeben werden. Somit müssen Sie sich trotz unterschiedlicher Kunden nur einem regelmäßigen Audit unterziehen und sparen folglich Zeit und Geld.


Was ist ein ISMS?

Ein wesentlicher Baustein im Rahmen einer TISAX-Zertifizierung ist der Aufbau eines Managementsystems für Informationssicherheit (ISMS) auf Basis des BSI-Standard 200-1.

Neben der Abbildung der IT Strukturen und Prozesse müssen auch technisches-Security-Management (TSM) sowie die Dokumentation von Verarbeitungsverzeichnissen, die laut EU-DSGVO geführt werden müssen, enthalten sein.


Wer definiert das Sicherheitsniveau?

Da es unterschiedliche Ansichten darüber gibt, was sicher bedeutet, versucht man bei diesem Thema auf bereits bestehende Standards und Normen zurückzugreifen. Die Herangehensweise der Standards basiert auf dem „Best-Practice“ Prinzip. Ein Standard ist die verdichtete Form aller bewährten Best-Practice Methoden für einen bestimmten Problembereich. Durch die Anwendung von anerkannten Standards kann das zügige Erreichen eines hohen IT-Sicherheitsniveaus gewährleistet werden.

Im Fall TISAX bzw. VDA ISA heißt der Standard, der hier zugrunde liegt ISO 27001.


Was sind die TISAX Prüfstufen?

Im Rahmen der Zertifizierung, bei TISAX Testat genannt, wird abhängig davon, welches Label sie benötigen, zwischen drei Prüfstufen/Assessments unterschieden:

TISAX Assessment-Level 1 (normal)

Es besteht in der Regel aus einer Selbstauskunft. Die Ergebnisse haben eine geringe Aussagekraft und werden daher in TISAX nicht verwendet. Es kann allerdings möglich sein, dass ein Partner eine solche Selbsteinschätzung außerhalb des TISAX-Labels auf Basis der VDA-ISA anfordert.

TISAX Assessment-Level 2 (hoch)

Dies schließt einen Plausibilitätscheck sowie ein Telefoninterview durch das akkreditierte und beauftragte Prüfunternehmen ein. Es beinhalten nur dann zwingend eine Vor-Ort-Prüfung, wenn zusätzlich als Prüfziel „Anbindung Dritter“ definiert wurde.

TISAX Assessment-Level 3 (sehr hoch)

Neben der Dokumentenprüfung findet hier immer eine Vor-Ort-Prüfung direkt im Unternehmen, durch die Experten eines beauftragten akkreditierten Prüfunternehmens, statt.


Gilt die DS-GVO auch für TISAX?

Das Ziel der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) ist es, einen für die EU übergreifenden gültigen Datenschutzstandard zu setzen. Alle Unternehmen und Behörden sind verpflichtet die gesetzlichen Anforderungen der DS-GVO umzusetzen. Die Einhaltung wird durch die Datenschutzbehörden überprüft. Bei Nichteinhaltung der DS-GVO drohen Bußgelder. Dies gilt unabhängig davon, ob Sie sich für eine TISAX Zertifizierung entscheiden oder nicht. 

Durch die Einführung der neuen DS-GVO hat sich der Datenschutz für deutsche Unternehmen nicht grundlegend geändert. Viele Aspekte werden weiterhin berücksichtigt; gleichzeitig sind aber auch völlig neue Anforderungen hinzugekommen. Hierzu zählen vor allem Themen wie:

  • Privacy by Design / Default
  • Folgenabschätzung
  • Marktortprinzip

Aber auch bereits alltägliche Dokumente wie Einwilligungserklärungen zum Datenschutz sind zum Teil betroffen und müssen ggf. angepasst werden.

Bei Nichteinhaltung drohen hohe Bußgelder

Da hohe Bußgelder drohen, sollten Sie sich laufend mit den Anforderungen der DS-GVO auseinandersetzen, die eigenen Datenschutzprozesse regelmäßig prüfen und, falls noch nicht geschehen, Ihre Datenschutzdokumente und Ihre Datenschutzprozesse entsprechend der neuen DS-GVO erweitern.


Wer auditiert und zertifiziert nach TISAX?

Für die Durchführung des Zertifizierungsaudits nach TISAX sind nur von der ENX akkreditierte Prüforganisationen zugelassen. Dazu gehört beispielsweise die DEKRA oder der TÜV Nord. Die ENX TISAX Akkreditierung basiert auf einem Framework von Akkreditierungskriterien und Auditanforderungen. Diese bestehen aus zwei Teilen.
Teil A: Allgemeine Anforderungen an Audit-Dienstleister.
Teil B: Spezifische Anforderungen für ENX TISAX Audit-Dienstleister

Voraudits bzw. Assessments, die als Selbstbeurteilung vor der Prüfung durchgeführt werden müssen, können jedoch auch von anderen Unternehmen, wie z.B. glacier advisory & coaching, durchführt werden.


Mit uns erfolgreich zum TISAX Label / TISAX Testat

Mit der TISAX GAP-Analyse schnell wissen, wo Sie im Bezug auf TISAX stehen.

TISAX Beratung – schnell und zuverlässig.

Awareness Schulungen – so sensibilisieren Sie Ihre Mitarbeiter für TISAX und Informationssicherheit.