Was ist TISAX®?
Beginnen wir mit dem Akronym. TISAX® steht für Trusted Information Security Assessment Exchange. Oder wie es in der Branche heißt ISO 27001 für Automotive. Im Jahr 2017 hat der Verband der Automobilindustrie (VDA) seinen Kriterienkatalog zur Informationssicherheit in der Automobilbranche veröffentlicht.
Vor der TISAX®-Zertifizierung haben die VDA-Mitglieder ihre internen Bewertungen und auch Bewertungen für ihre Lieferanten, Partner und Dienstleister durchgeführt. Diese individuelle Bewertung pro Anbieter erforderte jedoch, dass die Partner Zeit und Geld für die Bewertung jedes ihrer Kunden aufwenden mussten. Nehmen wir an, Sie sind ein Hersteller aus Bayern und müssen mindestens 3 verschiedene Bewertungen durchlaufen, wenn Sie Waren für Daimler, BMW und VW liefern.
Um den doppelten Aufwand für ähnliche Bewertungen für verschiedene Unternehmen zu reduzieren, hat der VDA seinen Kriterienkatalog TISAX® entwickelt. Dieser enthält einen Katalog von Kriterien, Audits, Prozessen und KPIs und führt somit zu einer TISAX®-Zertifizierung. Wenn ein Lieferant TISAX®-zertifiziert ist, garantiert er den kontrollierten Austausch und die Sicherheit der Daten, die er besitzt.
Der VDA hat sich für einen neutralen Dritten, die ENX Association, entschieden, der die Auditoren akkreditiert, die Bewertungsanforderungen aufrechterhält, die Qualität der Audits überwacht und schließlich die Auditergebnisse aufbewahrt. Daher gibt es neben ENX auch neutrale Wirtschaftsprüfungsgesellschaften wie TÜV, Dekra, PWC, KPMG, Bureau Veritas, Deloitte, etc.
Wer muss TISAX®-zertifiziert sein?
Wenn Sie Zulieferer, Dienstleister oder Partner eines VDA-Mitglieds sind (z. B. VW, Daimler, AUDI, BMW, Porsche, Continental, MAGNA, Škoda usw.), stellt eine TISAX®-Zertifizierung sicher, dass Sie Ihre Dienstleistungen weiterhin nachweisen können und/oder an Ausschreibungen teilnehmen können. Da immer mehr Unternehmen eine TISAX®-Zertifizierung erhalten, wird es für Unternehmen ohne diese Zertifizierung schwierig, Teil der Lieferkette großer Automobilhersteller zu sein. Das gilt sowohl für Tier-2- und Tier-3-Zulieferer als auch für andere Dienstleistungsanbieter.
Was sind die Hauptvorteile von TISAX®?
In erster Linie dient TISAX® dazu, ein grundlegendes Informationssicherheitsniveau in der Automobilindustrie zu schaffen. Und wenn wir an Patente, Prototypen und F&E-Anstrengungen denken und daran, wie viele verschiedene Interessengruppen daran beteiligt sind, ist die Informationssicherheit für eine reibungslose und sichere Lieferkette von entscheidender Bedeutung.
Bleiben wir bei der Lieferkette: Jeder Hersteller möchte sicherstellen, dass seine Lieferketten sicher und mit starken Verbindungen aufgebaut sind, was zuverlässige Lieferanten bedeutet. TISAX®-Zertifizierungen können eine Vergleichsgrundlage und eine Vertrauensbasis bieten. Dadurch wird auch sichergestellt, dass die Lieferanten an der Verbesserung ihrer internen Sicherheitsmaßnahmen und -prozesse arbeiten.
Wie bereits erwähnt, wird durch einen gemeinsamen Bewertungsleitfaden Doppelarbeit vermieden. Daher können sowohl die Lieferanten als auch die Hersteller viel Zeit und Geld sparen.
Welche Zertifizierungsstufen benötige ich?
Für die TISAX®-Zertifizierung gibt es 3 Bewertungsstufen:
Stufe 1: Auf dieser Stufe sollten Lieferanten den Fragebogen zur Bewertung der Informationssicherheit (ISA) ausfüllen und einen bestimmten Reifegrad aufweisen, um vom TISAX®-Auditor zugelassen zu werden.
Stufe 2: Wenn der Lieferant die Stufe 2-Zertifizierung anstrebt, wird ein Fragebogen zur Selbsteinschätzung ausgefüllt, gefolgt von einer Fernprüfung der Einhaltung der Vorschriften durch den Auditanbieter.
Stufe 3: Lieferanten, die mit vertraulichen Daten arbeiten, müssen sich einer Vor-Ort-Inspektion durch den Audit-Dienstleister unterziehen.
Welche Schritte sind bei der TISAX®-Zertifizierung zu beachten??
Zunächst einmal sollte sich das Unternehmen auf der ENX-Plattform registrieren. Dies ist der erste Schritt der TISAX®-Zertifizierung, unabhängig von der Zertifizierungsstufe. Dann sollten die Unternehmen entscheiden, welche Zertifizierungsstufe sie benötigen und den Auditor auswählen. Bitte beachten Sie, dass mit der Auswahl eines Auditanbieters dieses Unternehmen automatisch von allen Beratungsleistungen zu TISAX® während der Zertifizierung ausgeschlossen ist.
Anschließend sollte der ISA-Fragebogen vom Unternehmen ausgefüllt werden. Hier ist es sehr wichtig, die Hilfe von Experten in Anspruch zu nehmen, um die Grundlage für die GAP-Analyse sorgfältig zu ermitteln. Die Ergebnisse werden dann mit dem Auditor geteilt. Je nach Stufe können die nächsten Schritte variieren. Das Wesentliche ist jedoch, dass der Prüfer einen Prüfungsbericht mit den erforderlichen Vorkehrungen schickt. Diese Vorsichtsmaßnahmen müssen erfüllt werden, bevor das TISAX®-Zertifikat erteilt wird.
Dann müssen die TISAX®-Zertifikate alle 3 Jahre erneuert werden. Das Verfahren für die Rezertifizierung unterscheidet sich jedoch von dem der Erstzertifizierung. Bei der Neuzertifizierung müssen jährliche Audits durchgeführt werden, um sicherzustellen, dass die Prozesse ausgeführt werden und den TISAX®-Anforderungen entsprechen.
Wie hoch sind die Kosten der TISAX®-Zertifizierung?
Es gibt 4 mögliche Kostenpositionen. Die Registrierungsgebühr, die an ENX gezahlt wird, ist obligatorisch und beträgt etwa 405 € pro Standort. Dann eine obligatorische Gebühr für den Auditanbieter, die von Ihrer Wahl abhängt und je nach Auditstufe zwischen 5.000 und 10.000 € variiert. Es gibt auch operative Kosten, die Ihre Mitarbeiter für die Vorbereitung auf das Audit aufwenden sollten, die ebenfalls durch externe Hilfe erheblich reduziert werden können.
Zur Preisgestaltung bieten wir Ihnen unser Workshop zu TISAX für Ihre persönliche GAP-Analyse an. Außerdem die Beratungskosten kann man zwischen 20.000-30.000€ berechnen.
Wir als 360 Digital Transformation können Sie zum Beispiel von Anfang bis Ende der Zertifizierung unterstützen. Durch GAP-Analyse, Prozessoptimierung, Erstellung des Frameworks und ISMS, Toolauswahl und Begleitung während des Audits. Wir haben mehr als 50 Unternehmen geholfen, ihre TISAX®-Zertifizierung zu erhalten.
TISAX® ist eine eingetragene Marke der ENX Association. Die 360 Digitale Transformation steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.
Was sind die Unterschiede zwischen TISAX® Label und ISO 27001?
Die TISAX®-Zertifizierung und die ISO 27001 sind recht ähnlich, da es sich bei beiden um Normen für ISMS (Information Security Management Systems) handelt. Der Unterschied zwischen der TISAX®-Zertifizierung und ISO 27001 besteht darin, dass die TISAX®-Zertifizierung von der Automobilindustrie gefordert wird. Wenn Sie also ein Zulieferer oder Dienstleister für die Automobilindustrie sind, dann benötigen Sie möglicherweise eine TISAX®-Zertifizierung. Andererseits ist ISO 27001 eine allgemeine Norm, d. h. sie kann in jeder Branche angewendet werden. In diesem Blogbeitrag werden wir jedoch nicht im Detail auf die Anwendungsunterschiede zwischen den beiden Normen eingehen.
Für Unternehmen, die beide Zertifikate erwerben möchten, empfehlen wir, mit der TISAX®-Zertifizierung zu beginnen und dann mit ISO 27001 fortzufahren.
Wenn Sie mehr über die Unterschiede zwischen TISAX® und ISO 27001 erfahren möchten, empfehlen wir Ihnen die Lektüre dieses Blogbeitrags.
Zwei Wege wie wir Ihnen helfen können
Wir sind für Sie da, damit Sie Ihr TISAX® Label mit weniger Kosten und schneller erhalten können.
Wollen Sie mehr über das Thema TISAX® erfahren oder haben Sie Fragen? Dann vereinbaren Sie einen kostenlosen Termin.
Wollen Sie schon mit Ihrem TISAX® Projekt starten? Dann buchen Sie unsere GAP Analyse, damit Sie Ihren Reifegrad und Ihre Roadmap zu TISAX im Zugriff haben.
Über den Autor
Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist TISAX-Berater und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.