tisax-zertifizierung-dqs-blick aus planungsbuero auf automotive produktion

TISAX® Zertifizierung

Ihre Anfrage


TISAX® Assessment - Informationssicherheit in der Automobilindustrie

Sie sind Zulieferer oder Dienstleister für die Automobilindustrie? Dann müssen Sie einen Nachweis über die Verfügbarkeit ihrer Dienste oder die Sicherheit der Ihnen überlassenen sensiblen Informationen erbringen. Auch für den korrekten Umgang mit Prototypen werden von Ihnen Nachweise erwartet. Als Teilnehmer am TISAX®-Verfahren ist das über ein entsprechendes Assessment möglich, welches nur noch alle 3 Jahre erfolgen muss. Die TISAX®-Zertifizierung ist über alle Branchen anwendbar und definiert Anforderungen zur Informationssicherheit in Ihrem Unternehmen.

Gegenseitige Anerkennung unter allen TISAX®-Teilnehmern

Lieferanten und Dienstleister gewinnen mehr Vertrauen in Ihr geprüftes Unternehmen

Die Prüfung zur TISAX® Zertifizierung erfolgt nur alle 3 Jahre

Einsparung von Zeit und Kosten als Mitglied im TISAX®-Netzwerk

Beschreibung Standard/Regelwerk

Grundlegende Informationen zur TISAX® Zertifizierung

TISAX® ist ein gemeinsames Prüf- und Austauschverfahren für Unternehmen in der Automobilindustrie. Es basiert auf dem vom VDA-Arbeitskreis „Informationssicherheit“ entwickelten Fragenkatalog ISA (Information Security Assessment). Dieser basiert auf wesentlichen Aspekten der internationalen Norm ISO/IEC 27001 für Informationssicherheits-Management Systeme (ISMS) und wurde um ein Reifegradmodell erweitert.

Darüber hinaus verweist der ISA auf die ISO/SAE 62443-2-1 als Referenz für den Umgang mit industriellen Steuerungssystemen zur Automatisierung und Überwachung industrieller Produktionsanlagen (IACS) und operativen Technologien (OT).

Zudem haben die zuständigen Gremien beim Verband der Automobilindustrie (VDA) die Voraussetzungen geschaffen, um den gemeinsamen Prüf- und Austauschmechanismus unter der Bezeichnung TISAX® (Trusted Information Security Assessment eXchange) zu etablieren. TISAX® ist eine eingetragene Marke der ENX Association. Ein Zusammenschluss europäischer Automobilhersteller, Automobilzulieferer und Automobilverbände überwacht die Qualität der TISAX® Assessments und steuert die Zulassung der TISAX®-Prüfdienstleister.

Mehr als 10.000 Standorte sind, mittlerweile nach TISAX® bewertet. Damit ist dieser Standard nach ISO 27001 das am zweithäufigsten implementierte Regelwerk für Informationssicherheit weltweit. VDA und ENX haben internationale Arbeitsgruppen für TISAX® und den ISA-Katalog gebildet, um den Standard gemeinsam weiterzuentwickeln. Gleichzeitig wird damit eine engere Zusammenarbeit mit der globalen Automobilindustrie gefördert. Mit TISAX 6.0 ist im Herbst 2023 die aktualisierte Form des Prüf- und Austauschverfahrens veröffentlicht worden.

mehr anzeigen
weniger anzeigen
Mehrwert

TISAX® 2.2 – verbindlich seit dem 1.4.2024 - Hinweise zum Übergang

TISAX®-Assessments, die bis zum 31. März 2024 beauftragt wurden, können nach der alten ISA-Version 5.1 durchgeführt werden. Seit dem 1. April 2024 beauftragte Erst- oder Rezertifizierungen werden ausschließlich nach dem neuen TISAX®-Verfahren gemäß des ISA-Katalogs 6.0 durchgeführt. Prüfungsaktivitäten, die von bestehenden Prüfungen abhängen, wie Corrective-Action-Plan-Assessments, Follow-Up-Assessments, Scope-Extension-Assessments oder fortgeführte Simplified Group Assessments, werden weiterhin gemäß der Version durchgeführt, nach der die ursprüngliche Prüfung erfolgt ist.

Informationen über die wichtigsten Änderungen im neuen ISA 6.0-Katalog lesen Sie in unserem Blogbeitrag Neuer ISA Katalog 6.0 

Der neue ISA-Katalog 6.0 markiert einen bedeutenden Meilenstein für TISAX®. Der Prüfkatalog führt zu Anpassungen in den Anforderungen für Audit Provider, die im Rahmen der TISAX® ACAR 2.2-Verordnungen festgelegt wurden. Die Umstellung des Anforderungskatalogs auf Englisch als Hauptsprache unterstreicht die globale Perspektive und die gemeinsamen Bemühungen für eine weltweite Weiterentwicklung. Weitere Übersetzungen von TISAX VDA 6.0 sind in Planung. 

Die wesentlichen Änderungen im neuen ISA-Katalog 6.0: 

Änderungen bei den Sicherheitslabels:

  • Das Label Informationssicherheit wird durch die Label Verfügbarkeit (Availability) und Vertraulichkeit (Confidentiality) abgelöst. Je nachdem welche Rolle Sie in der Lieferkette einnehmen, kann Verfügbarkeit oder Vertraulichkeit oder beides für Sie relevant sein.
  • Ein bestehendes Label "Informationssicherheit hoch" wird durch die kombinierten Label "Verfügbarkeit hoch" und "Vertraulichkeit hoch" ersetzt. Gleiches gilt für ein bestehendes Label "Informationssicherheit sehr hoch". Dieses wird ersetzt durch "Verfügbarkeit sehr hoch" und "Vertraulichkeit strikt" ersetzt.
  • Für beide Label gilt, dass die gleiche Menge von Basisanforderungen zu erfüllen sind. Zusätzlich existieren pro Label spezifische Anforderungen für hohen und sehr hohen Schutzbedarf. Es findet eine, von den Labeln abhängige Steuerung des Assessment-Prozesses statt, die Ihre Rolle in der Lieferkette berücksichtigt. Deshalb lohnt es sich mit Ihren Kunden genau abzuklären welche Label für Ihre Rolle relevant sind.

Größerer Fokus auf Informationssicherheit und OT-Systeme in der Lieferkette

  • Relevante Unternehmen in der Lieferkette müssen "Verfügbarkeit hoch" oder "Verfügbarkeit sehr hoch" erfüllen.
  • Betonung auf Operational Technology (OT)-Systeme in Produktion und anderen Bereichen im TISAX® Assessment.
  • Verweise auf IEC 62443-2-1 und neue ISA-Katalog-Anforderungen fördern OT-Fokus.
  • Einbeziehung von industriellen Kommunikationsnetzen und Kontrollsystemen (IACS).
  • Unternehmen in dieser Kategorie müssen angemessenen Schutz für sensible Daten in Entwicklung und Produktion nachweisen.
  • Viele Anforderungen überlappen sich mit "Vertraulichkeit hoch" oder "Vertraulichkeit sehr hoch".
  • Unternehmen in der Lieferkette ohne hohe Relevanz, die dennoch mit sensiblen Informationen betraut sind, müssen den Nachweis erbringen, dass es diese Informationen angemessen geschützt werden können. 
  • Mit den Labeln "Vertraulichkeit hoch" oder "Vertraulichkeit strikt" erfolgt eine Selektion der TISAX® Anforderungen, die auf dieses Schutzziel einzahlen.
  • Die beschriebene selektive Durchführung des Assessments dient hauptsächlich dazu, dass Unternehmen nur die für ihre Rolle relevanten Anforderungen des ISA-Katalogs erfüllen müssen.

Neue Herausforderungen für produzierende Unternehmen

  • OT-Systeme müssen in ähnlicher Weise einem Management unterzogen werden, wie es bereits allgemein für die IT-Systeme von TISAX® eingefordert wird.
  • Dadurch wird die OT im Asset-Management mit seinen speziellen Risiken erfasst, hinsichtlich möglicher Schwachstellen analysiert, von kompetenten Mitarbeitern verantwortet, ISMS-konformen Prozessen zur Fernwartung und weiteren bewährten Managementpraktiken unterzogen.
mehr anzeigen
weniger anzeigen
Anforderungen

Welche Vorteile hat ein TISAX® Assessment für Ihr Unternehmen?

Als Dienstleister oder Zulieferer in der Automobilindustrie müssen Sie Ihren Kunden nachweisen, dass Sie den Anforderungen an die Informationssicherheit nachkommen. Bisher wurden diese Prüfungen vor allem durch die Hersteller selbst durchgeführt. Registrierte Teilnehmer am TISAX®-Netzwerk können über eine gemeinsame Online-Plattform einen Prüfdienstleister auswählen und mit einem Assessment beauftragen. Die Vorteile für Unternehmen überwiegen:

  • Doppel- und Mehrfachprüfungen durch verschiedene Kunden lassen sich vermeiden, das spart Zeit und Kosten
  • Unternehmensübergreifende Anerkennung von Assessments für TISAX®-Teilnehmer
  • Zuverlässige Ergebnisse durch den harmonisierten Prüfkatalog, der einen einheitlichen Bewertungsprozess gewährleistet
  • Stärkung des Vertrauens in Ihr geprüftes Unternehmen mit einem TISAX®-Label

Nach erfolgreichem Assessment erhalten Sie auf der TISAX®-Online-Plattform ein TISAX®-Label. Dieses Label ist mit dem Erhalt von Zertifikaten vergleichbar und dient dazu, das Vertrauen in Ihr Unternehmen zu stärken und Ihr Bestreben nach Informationssicherheit zu bestätigen.

Wie funktioniert

Wie funktioniert TISAX®?

In TISAX® können Teilnehmer zwei verschiedene Rollen einnehmen: den „Information Consumer“ (passiv), zum Beispiel als Hersteller, der Informationen über einen Lieferanten erhalten möchte, und den „Information Contributor“ (aktiv), zum Beispiel als Teilezulieferer oder Dienstleister, der sich auf seine Eignung auditieren lassen möchte, um von Herstellern beauftragt werden zu können.

Ein Unternehmen kann auch beide Teilnehmer-Rollen einnehmen. Wer als Information Contributor an TISAX® teilnehmen möchte, muss folgende vier Hauptschritte gehen:

  • 1. Online-Registrierung auf www.enx.com/TISAX
  • 2. Wahl eines von ENX zugelassenen Prüfdienstleisters wie die DQS 
  • 3. TISAX® Assessment
  • 4. Austausch der Auditergebnisse auf der TISAX®-Online-Plattform

Ist ein Unternehmen an Ihren TISAX® Ergebnissen interessiert, so kann es sich bei der ENX als „Information Consumer“ registrieren lassen. Sie können für jeden „Information Consumer“ selber entscheiden, ob Sie Ihren aktuellen TISAX Status mit diesem teilen möchten.

Business28.png

Wie läuft ein TISAX® Assessment ab?

Bevor Sie mit dem TISAX®-Assessment beginnen, muss Ihr Unternehmen einen klaren Geltungsbereich festlegen. Dazu gehört auch das Assessment-Level, welches die spezifischen Bewertungsanforderungen vorgibt. Diese Anforderungen können die Sicherstellung der "Verfügbarkeit" von Produktionskapazitäten, die Gewährleistung der "Vertraulichkeit" von anvertrauten Informationen oder die Sicherung von "Prototypenteilen" und "personenbezogenen Daten" umfassen. Diese grundlegenden Kriterien gelten für alle Standorte innerhalb des Scopes.

Eine zentrale Herausforderung besteht darin, Standorte mit ähnlichen Anforderungen in einem einzigen Geltungsbereich zusammenzufassen. Die DQS kann Ihnen bei der Gestaltung wertvolle Hinweise geben, ob es sich um einen einzigen umfassenden Scope oder um mehrere handeln sollte. Grundsätzlich ergeben sich bei der Zusammenführung von Standorten unter einem Scope Vorteile in Form von möglichen Reduzierungen bei den Auditaufwänden, wenn alle Standorte unter einem zentralisierten ISMS arbeiten.

Als TISAX®-Teilnehmer müssen Sie sich zunächst online registrieren. Danach erfolgt die Zuweisung der Scope ID durch die ENX. Bitte beachten Sie, dass mit diesem Registrierungsprozess Servicegebühren verbunden sind, die für jeden Standort innerhalb Ihres Geltungsbereichs anfallen.

Im ersten Schritt wählen Sie einen zugelassenen Prüfdienstleister aus. Im zweiten Schritt findet ein Kick-Off, die Dokumentenprüfung (Self-Assessment, nicht vor Ort) und ein anschließendes Assessment (Level 2: nicht vor Ort, Level 3: vor Ort) statt.

Bitte beachten Sie: Es gibt eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. Anstelle der Plausibilitätsprüfung führt Ihr Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment Level 2,5" bezeichnet. Der Vorteil eines Assessment Levels 2,5 ist, dass der Ansatz methodisch mit dem Assessment Level 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im Assessment Level 3 aufzurüsten.

Die Feststellungen aus dem TISAX® Audit werden in einem Zwischenbericht festgehalten. Bei Abweichungen werden umzusetzende Maßnahmen vereinbart. Bei Bedarf wird die Umsetzung der Maßnahmen in einem vereinbarten Zeitraum festgelegt. Dieses Verfahren stellt sicher, dass alle festgestellten Probleme wirksam und zeitnah angegangen werden.

Nach Schließung der Abweichungen findet eine Wirksamkeitsprüfung statt, um die Behebung der Nichtkonformitäten zu validieren und die Gesamtwirksamkeit der ergriffenen Korrekturmaßnahmen zu bewerten. 

Das finale Ergebnis wird online auf dem ENX®-Portal eingestellt. Damit ist Ihr Unternehmen als Teilnehmer am TISAX®-Verfahren mit dem entsprechenden Prüflabel gelistet. Anders als bei anderen Zertifizierungen gibt es kein TISAX®-Zertifikat.

Banking13.png

Was kostet das TISAX® Assessment?

Einfluss auf den Umfang der gesamten Prüfung und damit auf die Kosten haben zwei wichtige Faktoren. TISAX® Assessments sind möglich auf der Basis eines erweiterten Scopes, eines Standardscopes und eines eingeschränkten Scopes. Ihre Entscheidung für einen Scope sollte gut vorbereitet sein und von den gewünschten Schutzzielen, aber auch der Größe Ihres Unternehmens bestimmt werden.

Bei den Schutzzielen geht es zum Beispiel um die Frage, ob Sie Themen wie Prototypenschutz oder Datenschutz in das Assessment einschließen wollen. Wenn Sie in das TISAX®-Verfahren einsteigen möchten, sprechen Sie so früh wie möglich mit der DQS, Ihrem zugelassenen Prüfdienstleister. Nur so können wir für Sie die richtige Kalkulation zum Prüfumfang ermitteln und ein verlässliches Angebot über die Kosten Ihrer TISAX® Zertifizierung erstellen.

mehr anzeigen
weniger anzeigen
Business2.png

Das können Sie von uns erwarten

  • DQS ist zugelassener Prüfdienstleiter der ENX Association
  • Wertschöpfende Einblicke zur Informationssicherheit in Ihrem Unternehmen
  • Akkreditierungen für alle maßgeblichen Regelwerke der Automobilindustrie
  • Erfahrene Auditoren und Experten aus Automobilindustrie und Informationssicherheit
  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
mehr anzeigen
weniger anzeigen
philipp tesar-dqs-contact person

Angebotsanfrage

Ihr Ansprechpartner Philipp Tesar

„Gerne erstellen wir Ihnen ein maßgeschneidertes Angebot für das TISAX®-Verfahren.“

Ihre Anfrage

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns