TISAX Zertifizierung

Was ist TISAX?

Beginnen wir mit dem Akronym. TISAX steht für Trusted Information Security Assessment Exchange. Oder wie es in der Branche heißt ISO 27001 für Automotive. Im Jahr 2017 hat der Verband der Automobilindustrie (VDA) seinen Kriterienkatalog zur Informationssicherheit in der Automobilbranche veröffentlicht.

TISAX Logo from ENX

Quelle: https://portal.enx.com/en-US/enxassociation/

Welche Parteien sind an der TISAX-Zertifizierung beteiligt?

Vor der TISAX-Zertifizierung führten die Mitglieder des VDA neben ihren internen Assessments auch Assessments für ihre Lieferanten, Partner und Dienstleister durch. Diese individuelle Bewertung pro Anbieter erforderte jedoch, dass die Partner Zeit und Geld für die Bewertung jedes ihrer Kunden aufwenden mussten. Nehmen wir an, Sie sind ein Hersteller aus Bayern und müssen MINDESTENS 3 verschiedene Assessments durchlaufen, wenn Sie Waren für Daimler, BMW und VW liefern.

Um den doppelten Aufwand für ähnliche Bewertungen für verschiedene Unternehmen zu reduzieren, hat der VDA seinen Kriterienkatalog TISAX entwickelt. Dieser enthält einen Katalog von Kriterien, Audits, Prozessen und KPIs, also im Ergebnis eine TISAX-Zertifizierung. Ist ein Anbieter TISAX-zertifiziert, garantiert er den kontrollierten Austausch und die Sicherheit der Daten, die er besitzt.

Der VDA hat sich für einen neutralen Dritten entschieden, die ENX Association, die Auditoren akkreditiert, die Bewertungsanforderungen aufrechterhält, die Auditqualität überwacht und schließlich die Auditergebnisse aufbewahrt. Daher gibt es neben ENX auch neutrale Wirtschaftsprüfungsgesellschaften wie TÜV, Dekra, PWC, KPMG, Bureau Veritas, Deloitte usw.

ENX Logo association for TISAX Certification
Quelle: https://portal.enx.com/en-US/enxassociation/

Wer muss TISAX-zertifiziert sein?

Wenn Sie Zulieferer, Dienstleister oder Partner eines VDA-Mitglieds sind (z.B. VW, Daimler, AUDI, BMW, Porsche, Continental, MAGNA, Škoda, etc.), stellt eine TISAX-Zertifizierung sicher, dass Sie Ihre Dienstleistungen weiterhin nachweisen können und/oder sich an Ausschreibungen beteiligen können. Da immer mehr Unternehmen eine TISAX-Zertifizierung erhalten, wird es für Unternehmen ohne diese Zertifizierung schwierig, Teil der Lieferkette großer Automobilhersteller zu sein. Das gilt sowohl für Tier-2- und Tier-3-Zulieferer als auch für andere Dienstleister.

Was sind die wichtigsten Vorteile von TISAX-Zertifizierung?

Zuallererst ist TISAX dazu da, ein Grundniveau an Informationssicherheit in der Automobilindustrie zu schaffen. Und wenn wir an Patente, Prototypen und F&E-Anstrengungen denken und daran, wie viele verschiedene Interessengruppen daran beteiligt sind, dann ist die Informationssicherheit entscheidend für eine reibungslose und sichere Lieferkette.

Lassen Sie uns mit der Lieferkette fortfahren: Jeder Hersteller möchte sicherstellen, dass seine Lieferketten sicher und mit starken Verbindungen aufgebaut sind, was zuverlässige Lieferanten bedeutet. TISAX-Zertifizierungen können eine Vergleichsgrundlage und eine Vertrauensbasis bieten. Dadurch wird auch sichergestellt, dass die Lieferanten an der Verbesserung ihrer internen Sicherheitsmaßnahmen und -prozesse arbeiten.

Wie bereits erwähnt, wird durch einen gemeinsamen Bewertungsleitfaden Doppelarbeit vermieden. Daher können sowohl Lieferanten als auch Hersteller viel Zeit und Geld sparen.

Welche Stufen der TISAX-Zertifizierung sind erforderlich?

Es gibt 3 Stufen der Bewertung der TISAX-Zertifizierung:

Level 1: Auf dieser Stufe sollten die Lieferanten den Fragebogen zur Bewertung der Informationssicherheit (ISA) erfüllen und einen bestimmten Reifegrad aufweisen, um vom TISAX-Auditor zugelassen zu werden

Level 2: Wenn der Lieferant eine Zertifizierung der Stufe 2 anstrebt, folgt auf einen Fragebogen zur Selbsteinschätzung eine Fernprüfung der Einhaltung der Vorschriften durch den Auditanbieter

Level 3: Lieferanten, die mit vertraulichen Daten arbeiten, müssen sich einer Vor-Ort-Inspektion durch den Auditanbieter unterziehen

Welche Schritte sind in der TISAX-Zertifizierung enthalten?

Zunächst sollte sich das Unternehmen auf der ENX-Plattform registrieren. Dies ist der erste Schritt der TISAX-Zertifizierung, unabhängig von der Zertifizierungsstufe. Dann sollten die Unternehmen entscheiden, welche Zertifizierungsstufe sie benötigen und den Auditor auswählen. Bitte beachten Sie, dass das Unternehmen durch die Auswahl eines Auditanbieters während der Zertifizierung automatisch von jeglicher TISAX-Beratung ausgeschlossen ist.

Dann sollte der ISA-Fragebogen vom Unternehmen ausgefüllt werden. Hier ist es sehr wichtig, die Hilfe von Experten in Anspruch zu nehmen, um die Grundlage für die GAP-Analyse sorgfältig zu ermitteln. Anschließend werden die Ergebnisse mit dem Prüfer geteilt. Je nach Ebene können die nächsten Schritte variieren. Das Wesentliche ist jedoch, dass der Prüfer einen Prüfungsbericht mit den erforderlichen Vorkehrungen schickt. Diese Vorsichtsmaßnahmen müssen erfüllt werden, bevor das TISAX-Zertifikat erteilt wird.

Dann müssen die TISAX-Zertifikate alle 3 Jahre erneuert werden. Das Verfahren für die Rezertifizierung ist jedoch anders als bei der Erstzertifizierung. Bei der Rezertifizierung müssen jährliche Audits durchgeführt werden, um sicherzustellen, dass die Prozesse ausgeführt werden und den TISAX-Anforderungen entsprechen.

Was sind die Vorteile von digitalisierten und automatisierten TISAX-Prozessen?

Zunächst einmal, wenn Sie Ihre Prozesse bereits optimiert und digitalisiert haben, hat Ihr Unternehmen den Vorteil der historischen Datenverfolgung, der Überwachung und der entscheidungsbasierten Ausführung. Wenn diese Hauptkonzepte der Digitalisierung auf TISAX-Prozesse angewandt werden, sind die grundlegenden Anforderungen wie Informationssicherheits-Managementsysteme (ISMS), Dokumentenklassifizierungen, Audit- und Schulungsplanungen etc.

Außerdem helfen Ihnen automatisierte TISAX-Prozesse dabei, Ihre KPI-Dashboards zu verwalten, Ihre jährlichen internen Audits durchzuführen und die notwendigen Informationen für Ihre TISAX-Rezertifizierung bereitzustellen. Am Ende des Tages sparen Sie viel Zeit und Kosten, indem Sie erneute Audits und das Risiko des Verlusts Ihres Zertifikats vermeiden.

A Dashboard for TISAX Processes to help your TISAX Certification
Ein Beispiel für ein KPI Dashboard mit E-Flow

Brauchen nur deutsche Unternehmen TISAX-Zertifizierung?

Nein! TISAX ist eine internationale Zertifizierung. Es ist eine Anforderung der großen deutschen Automobilhersteller wie VW und Daimler Benz für alle Tier 1 (Direkt-) Lieferanten. Die TISAX-Zertifizierung wird wiederum von diesen Tier 1-Zulieferern von ihren eigenen Zulieferern (Tier 2) und so weiter in der Kette verlangt, unabhängig von ihrem geografischen Standort.

Wie hoch sind die Kosten der TISAX-Zertifizierung?

Es gibt 4 mögliche Kostenpositionen. Die Registrierungsgebühr, die an ENX zu entrichten ist, ist obligatorisch und beträgt ca. 500€. Eine weitere obligatorische Gebühr für den Auditanbieter hängt von Ihrer Wahl ab und variiert je nach Auditstufe zwischen 3.000 und 15.000 €. Darüber hinaus fallen Betriebskosten an, da Ihre Mitarbeiter Zeit für die Auditvorbereitung aufwenden müssen, die durch externe Hilfe ebenfalls erheblich reduziert werden kann. Zum Beispiel können wir als 360 Digital Transformation Ihnen von Anfang bis Ende der Zertifizierung helfen. Durch GAP-Analyse, Prozessoptimierung, Erstellung des Frameworks, Tool-Auswahl und Begleitung während des Audits. Wir bieten unseren TISAX Workshop für Ihre persönliche GAP-Analyse an. Wir haben mehr als 30 Unternehmen zu ihrer TISAX-Zertifizierung verholfen.

Wollen Sie ein kostenloses Self-Assessment durchführen?

Wir stellen Ihnen ein kostenloses Self-Assessment hier online zur Verfügung. Hier ist die Schritt für Schritt Anleitung! 

Was sind die Unterschiede zwischen der TISAX-Zertifizierung und ISO 27001?

Die TISAX-Zertifizierung und ISO 27001 sind sich recht ähnlich, da es sich bei beiden um Normen für ISMS (Information Security Management Systems) handelt. Der Unterschied zwischen der TISAX-Zertifizierung und ISO 27001 besteht darin, dass die TISAX-Zertifizierung von der Automobilindustrie gefordert wird. Wenn Sie also ein Zulieferer oder Dienstleister für die Automobilindustrie sind, dann benötigen Sie möglicherweise die TISAX-Zertifizierung. Andererseits ist ISO 27001 ein allgemeiner Standard, d. h. er kann in jeder Branche angewendet werden. In diesem Blogbeitrag werden wir jedoch nicht im Detail auf die Anwendungsunterschiede zwischen den beiden Normen eingehen.

Für Unternehmen, die beide Zertifikate erwerben möchten, empfehlen wir, mit der TISAX-Zertifizierung zu beginnen und dann mit ISO 27001 fortzufahren.

Wollen Sie mehr erfahren über TISAX-Zertifizierung?

Besuchen Sie unsere TISAX-Seite und kontaktieren Sie bitte uns, falls Sie Hilfe benötigen.

Wir haben auch ein kostenloses Webinar organisiert, um Ihnen zu zeigen, wie wir Ihre TISAX-Prozesse optimieren, digitalisieren und automatisieren, Ihre Zertifizierungszeit verkürzen und sicherstellen können, dass Ihre Prozesse reibungslos ablaufen. Sie können sich die Aufzeichnung des Webinars über diesen Link ansehen.

Can Adiguzel is the founder of 360 Digital Transformation and host of The Digital Mittelstand podcast. He is in Digital Transformation projects for more than 8 years. He is passionate about Digital Transformation for Mittelstand and helps Mittelstand to overcome their Digital Transformation challenges by optimizing and automating processes.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.