TISAX® Anforderungen zur Zertifizierung verstehen und umsetzen

Mai 22, 2024 / Von
Mit dem TISAX Fragenkatalog

Alles über TISAX® Anforderungen: Einhaltung und Umsetzung der Zertifizierungsstandards.

TISAX® steht für Trusted Information Security Assessment Exchange und ist eine eingetragene Marke der ENX Association. TISAX® ist ein Prüf- und Austauschverfahren für Informationssicherheit in der Automotive Industrie.

Es wurde vom Verband der Automobilindustrie entwickelt und wird heute von der ENX Association verwaltet. Es bietet einen standardisierten Ansatz zur Überprüfung und Zertifizierung der Informationssicherheit von Unternehmen, die in der Automobilindustrie tätig sind.

TISAX® basiert auf dem internationalen Standard ISO/IEC 27001 und beinhaltet auch spezifische Anforderungen der Automobilhersteller. Aus der Erfahrung von 50 Projekten haben wir diesen Artikel für Sie erarbeitet.

Die Kosten für die Implementierung und Zertifizierung nach ISO 27001 variieren je nach Größe und Komplexität des Unternehmens und sind von diversen Faktoren abhängig, auf die wir nachfolgend eingehen werden.

Inhaltsverzeichnis:

Was ist TISAX® und warum ist die Zertifizierung wichtig?
Welche Anforderungen sind bei einer TISAX® Zertifizierung zu erfüllen?
Wie kann man die TISAX® Anforderungen erfolgreich umsetzen?
Welche Schritte sind notwendig, um eine TISAX® Zertifizierung zu erhalten?

Was ist TISAX® und warum ist die Zertifizierung wichtig?

Diese Zertifizierung ist entscheidend für Unternehmen in der Automobilindustrie, da Informationssicherheit in diesem Bereich besonders sensibel ist. Durch die Erfüllung der Anforderungen an TISAX® können Zulieferer und Dienstleister nachweisen, dass sie die erforderlichen Standards für den Schutz von Informationen erfüllen. Die Zertifizierung erfolgt auf verschiedenen Assessment Levels (Level 2 und Level 3), je nach den Anforderungen für eine Zertifizierung. Unternehmen, die eine Zertifizierung nach TISAX® erhalten, tragen dazu bei, die Informationssicherheit in der gesamten Lieferkette zu stärken.

Die ENX Association ist eine unabhängige Organisation, welche die Prüfdienstleister zulässt.  Sie bietet keine Beratung oder Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die Realisierung einer TISAX®-Zertifizierung ist mit erheblichen Ressourcen und finanziellen Mitteln verbunden. Die Prüfziele müssen klar definiert und erreicht werden, um die Anforderungen für TISAX® zu erfüllen.

Grundlagen und Bedeutung von TISAX®

Die Zertifizierung ist in 3 Level unterteilt, wobei Level 1 die geringsten Anforderungen hat und Level 3 die höchsten. Unternehmen der Automobilindustrie und deren Zulieferer müssen die Anforderungen für eine TISAX® Zertifizierung erfüllen, um ihre Informationssicherheit nachzuweisen. Dieser Aspekt ist von besonderer Bedeutung, da der Schutz sensibler Daten und Prototypen in der Automotive Branche von erheblicher Relevanz ist.

Um eine Zertifizierung nach TISAX® zu erhalten, müssen die Unternehmen die Anforderungen an TISAX® erfüllen, welche dazu beitragen, Vertrauen bei Kunden und Partnern aufzubauen. Prüfdienstleister bieten Beratung und Unterstützung bei der Vorbereitung auf das TISAX® Assessment, um sicherzustellen, dass die Unternehmen die gesteckten Ziele erreichen.

Die Anforderungen an TISAX®-Level 1 bis 3 können wie folgt beschrieben werden:

TISAX®-Level 1:

Die Durchführung des TISAX® Assessment Level 1 kann über ein Self-Assessment  vom Unternehmen selbst durchgeführt werden. Für das TISAX Level 1 ist eine Einschätzung des Unternehmens anhand des ISA-Fragenkatalogs erforderlich, die jedoch nicht überprüft wird. Da die Maßnahmen nicht objektiv geprüft werden und das Unternehmen allein für die Ergebnisse verantwortlich ist, hat dieses Level in der Praxis kaum Bedeutung.

TISAX®-Level 2:

Die Sicherheitsanforderungen eines Unternehmens werden auf Level 2 als hoch eingestuft. Bei einem Level 2 Assessment wird die Selbsteinschätzung des Unternehmens durch ein von ENX zugelassenes TISAX Prüfungsunternehmen bestätigt. Die Prüfung erfolgt auf der Grundlage der Unternehmensdokumentation.

TISAX®-Level 3:

Das Level 3 gemäß TISAX® bedeutet, dass der Schutzbedarf als “sehr hoch” eingestuft wird. Es ist das höchste Sicherheitslevel für Unternehmen in der Automobilindustrie. Auf Level 3 werden Vor-Ort-Inspektionen und Live-Interviews von einem Auditor durchgeführt. Dabei werden Dokumente und Nachweise überprüft, die lokalen Gegebenheiten berücksichtigt, die Prozessdurchführung beobachtet und ungeplante Interviews mit Prozessbeteiligten durchgeführt. Ein akkreditierter Prüfer bewertet vor Ort den Reifegrad des Informationssicherheitsmanagementsystems (ISMS) an allen Standorten des Unternehmens.

Diese Beschreibungen bieten einen Überblick über die jeweiligen Erwartungen und den Grad der Sicherheit, den Organisationen auf den verschiedenen TISAX®-Levels erreichen müssen.

Vorteile der Zertifizierung nach TISAX®

Indem sie die Anforderungen an die Informationssicherheit in der Automobilindustrie erfüllen, können Automobilhersteller sicherstellen, dass ihr ISMS gemanagt und überwacht wird.

Der VDA-ISA Fragenkatalog dient als zentrale Plattform, um die Vorgaben zu definieren und den gesamten Prozess zu überwachen. Durch die Vorbereitung auf das Assessment nach TISAX® können Lieferanten und Dienstleister sicherstellen, dass sie alle Prüfziele erreichen und kontinuierliche Verbesserung in ihrem System implementieren. Die Zertifizierung nach TISAX® trägt somit dazu bei, dass der Prozess standardisiert und dokumentiert wird.

Welche Unterschiede gibt es zwischen TISAX® und ISO 27001

Die Unterschiede zwischen TISAX® und ISO 27001 liegen hauptsächlich in den spezifischen Zielen, die erfüllt werden müssen. Während die ISO 27001 allgemeine Vorgaben an Informationssicherheitsmanagementsysteme definiert, sind die TISAX® Anforderungen speziell auf die Automobilindustrie zugeschnitten.

Für die Anforderungen an TISAX® existieren Nachweise, welche erfüllt werden müssen, während es keinen standardisierten Prozess für die ISO 27001 Zertifizierung gibt. Unternehmen müssen eine Reihe von Anforderungen erfüllen, um die TISAX® Zertifizierung zu erhalten, während die ISO 27001 einen etablierten Prozess vorgibt, dem gefolgt werden muss.

Welche Gemeinsamkeiten gibt es zwischen TISAX® und ISO27001?

Die Zertifizierungen nach ISO 27001 und TISAX® weisen signifikante Gemeinsamkeiten auf. Das macht es möglich, beide Zertifizierungsprojekte parallel zu bearbeiten und gemeinsam zu verwalten, obwohl dies sicherlich einen zusätzlichen Aufwand bedeutet.

Wir haben einen ausführlichen Artikel zu den Unterschieden und Gemeinsamkeiten von ISO 27001 und TISAX® geschrieben.

Eine TISAX®-Zertifizierung deckt bereits bis zu 70% der Anforderungen der neuen NIS2-Richtlinie ab, welche ab Herbst 2024 eingeführt werden soll.

Welche Anforderungen sind bei einer TISAX® Zertifizierung zu erfüllen?

Die Anforderungen TISAX® sind im Anforderungskatalog des Verband der Automobilindustrie definiert. Es muss ein Assessment nach TISAX® durchgeführt werden, bei dem die gesetzlichen Anforderungen sowie die zugehörigen Anforderungen geprüft werden. Der ISA Fragenkatalog dient dabei als Prüf- und Austauschmechanismus.

Das Reifegradmodell unterscheidet 6 Reifegrade:

ReifegradFormulierungBeschreibung
0UnvollständigEs gibt keine dokumentierten Sicherheitsmaßnahmen oder -richtlinien. Die Informationssicherheit wird nicht berücksichtigt oder vernachlässigt.
1DurchgeführtEs gibt einige dokumentierte Sicherheitsmaßnahmen, jedoch fehlen klare Richtlinien und Prozesse. Die Informationssicherheit wird unzureichend verwaltet und ist inkonsistent.
2GesteuertEs gibt dokumentierte Sicherheitsrichtlinien und Prozesse, aber ihre Umsetzung ist unvollständig oder unzureichend. Die Informationssicherheit wird sporadisch berücksichtigt.
3EtabliertDie Sicherheitsmaßnahmen sind weitgehend dokumentiert und implementiert, aber es fehlen regelmäßige Überprüfungen und Verbesserungen. Die Informationssicherheit ist konsistent.
4VorhersagbarDie Sicherheitsmaßnahmen sind dokumentiert, implementiert und regelmäßig überprüft. Es gibt einen formalen Prozess zur Sicherheitsbewertung und -verbesserung. Die Informationssicherheit wird proaktiv verwaltet.
5OptimierendDie Sicherheitsmaßnahmen sind dokumentiert, implementiert und kontinuierlich verbessert. Es gibt einen formalen Prozess zur fortlaufenden Überwachung, Messung und Optimierung der Informationssicherheit.

Anforderungen an die Informationssicherheit nach TISAX®

Damit Sie eine Zertifizierung nach TISAX® erhalten, müssen Unternehmen bestimmte Erwartungen an den Aufbau und die Informationssicherheit erfüllen. Dazu gehören die definierten Ziele, welche einem standardisierten Prozess folgen.

Unternehmen müssen die Anforderungen gemäß ISA-Fragebogen des VDA erfüllen, wenn sie eine Zertifizierung nach TISAX® anstreben.

Die Zertifizierung bestätigt, dass das Unternehmen die notwendigen Maßnahmen ergriffen hat, um die Informationssicherheit zu gewährleisten und dass es den Anforderungen gemäß dem TISAX® Fragekatalog ausdrücklich folgt. Dies ermöglicht es dem Unternehmen, sich einen Wettbewerbsvorteil zu verschaffen und Vertrauen bei Kunden und Partnern zu schaffen.

Einblick in den VDA ISA Fragenkatalog und ihre Bedeutung für die Automobilindustrie

Die Anforderungen zur Informationssicherheit sind im ISA Fragenkatalog definiert. Der ISA Fragenkatalog ist ein Instrument, das von der Automobilindustrie verwendet wird, um die Informationssicherheit in Unternehmen zu bewerten und zu verbessern.

Er bietet einen strukturierten Ansatz zur Identifizierung von Sicherheitsrisiken und zur Implementierung geeigneter Maßnahmen zum Schutz sensibler Informationen. Die Bedeutung dieses Katalogs für die Automobilindustrie liegt in seiner Fähigkeit, Unternehmen dabei zu unterstützen, die steigenden Anforderungen an Datenschutz und Informationssicherheit zu erfüllen.

Prüfziele und Schutzbedarf im TISAX® Audit

Es gibt acht TISAX® Audit Prüfziele, die jeweils spezifische Anforderungen für die Zertifizierung nach TISAX® festlegen: Zwei für die Sicherheit der Informationen, vier für den Schutz von Prototypen und Testfahrzeugen sowie weitere zwei für den Datenschutz.

ZielsetzungErläuterung
Handhabung von Informationen mit unterschiedlichem SchutzbedarfEs müssen angemessene Sicherheitsmaßnahmen implementiert werden, um sicherzustellen, dass Informationen entsprechend ihres Schutzbedarfs klassifiziert, verarbeitet und gespeichert werden. Dies kann durch Verschlüsselung, Zugriffskontrollen und Richtlinien für die Informationsklassifizierung erreicht werden.
Schutz von Prototypen-BauteilenPrototypen-Bauteile sind so zu schützen, dass unbefugten Zugriff und Diebstahl verhindert wird. Dies kann durch physische Sicherheitsmaßnahmen wie sichere Lagerung und Zugangsbeschränkungen erfolgen.
Umgang mit Prototypen-FahrzeugenPrototypen-Fahrzeuge müssen vor unbefugtem Zugriff geschützt werden, um die Vertraulichkeit von Entwicklungsprojekten zu gewährleisten. Zugangskontrollen und Überwachungssysteme sind hierbei entscheidend.
Umgang mit ErprobungsfahrzeugenErprobungsfahrzeuge sind gemäß ihrer Sensibilität zu schützen, damit potenzielle Sicherheitsrisiken während der Testphase minimiert werden. Zugangskontrollen und Überwachungssysteme sind notwendig.
Durchführung von Veranstaltungen mit Prototypen-FahrzeugenBei Veranstaltungen, auf denen Prototypen-Fahrzeuge präsentiert werden, sind Sicherheitsmaßnahmen wie Zugangskontrollen und Überwachungssysteme zu implementieren, um Diebstahl oder Beschädigung zu verhindern.
DatenschutzEs müssen Datenschutzbestimmungen eingehalten werden, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Dazu gehören Maßnahmen wie Datenschutzrichtlinien, Zugangskontrollen und Datenschutzschulungen. Basis ist die DSGVO.
Datenschutz personenbezogenPersonenbezogene Daten müssen gemäß den geltenden Datenschutzbestimmungen geschützt werden. Dies umfasst die Einhaltung von Datenschutzgesetzen wie der DSGVO und die Implementierung angemessener technischer und organisatorischer Maßnahmen zum Schutz dieser Daten.

Der Prozess der TISAX®-Zertifizierung ist komplex und erfordert eine regelmäßige 3 jöhrige Erneuerung über eine Rezertifizierung.

Wie kann man die TISAX® Anforderungen erfolgreich umsetzen?

Tipps zur Dokumentation und Nachweisführung

Damit Sie die TISAX® Anforderungen erfolgreich umsetzen, ist eine sorgfältige Dokumentation und Nachweisführung unerlässlich. Zunächst sollte eine genaue Analyse aller Anforderungen durchgeführt werden, um sicherzustellen, dass alle relevanten Aspekte abgedeckt sind.

  1. Eine klare Dokumentation aller durchgeführten Maßnahmen ist entscheidend, um den Zertifizierungsprozess erfolgreich abzuschließen. Es ist ratsam, alle relevanten Nachweise in einem gut organisierten System zu speichern, um sie bei Bedarf schnell vorlegen zu können.
  2. Zudem sollten regelmäßige Überprüfungen der umgesetzten Maßnahmen durchgeführt werden, um die Einhaltung der vorgegebenen Ziele langfristig sicherzustellen. Unternehmen, die einem etablierten Prozess gefolgt sind, können sich gegenüber Unternehmen ohne Zertifizierung behaupten. 
  3. Es gibt keinen Prozess, der vorgegeben ist, um die Vorgaben zu erfüllen. Aber Sie sollten einem dokumentierten Prozess gefolgt sein. Der Information Security Assessment Katalog unterstützt Unternehmen dabei, die TISAX® Anforderungen zu erfüllen, ein sicheres System aufzubauen und im täglichen Betrieb beizubehalten.

Berater können helfen die Anforderungen für eine Zertifizierung nach TISAX® im Audit zu erfüllen

  • Berater unterstützen Unternehmen bei der Vorbereitung auf die TISAX®-Zertifizierung mit einer Gap-Analyse, um die strengen Prüfziele zu erfüllen.
  • Sie können bei der Entwicklung und Implementierung von Sicherheitsmaßnahmen und Datenschutzstandards helfen, um die Anforderungen von TISAX® zu erfüllen.
  • Berater bieten in der Regel auch Schulungen und Workshops an, um Mitarbeiter über die Anforderungen von TISAX® zu informieren und sie auf das Audit vorzubereiten.
  • Sie können Unternehmen dabei unterstützen, interne Prozesse zu optimieren, um den TISAX®-Anforderungen gerecht zu werden und bei der Erstellung der erforderlichen Dokumentation zu helfen.
  • Während Berater Unternehmen auf das Audit vorbereiten, führen sie keine formellen Prüfungen durch oder erstellen offizielle Prüfberichte.

Die Rolle von Prüfdienstleistern im TISAX® Zertifizierungsprozess

  • Prüfdienstleister sind für die Durchführung der eigentlichen TISAX-Prüfungen verantwortlich, auch Assessments genannt.
  • Sie müssen von der ENX Association offiziell zugelassen und qualifiziert sein, um diese Aufgabe auszuführen.
  • Beachten Sie, dass die ENX Association keine Verantwortung für die Vorgaben übernimmt, die in einem TISAX® Handbuch ausdrücklich definiert sind.
  • Ihre Hauptaufgabe besteht darin, die TISAX®-Anforderungen zu prüfen und zu bewerten, ob ein Unternehmen diesen Anforderungen entspricht.
  • Dabei wird einem Standardprozess gefolgt, der sicherstellt, dass dabei das Gesamtsystem integriert ist.
  • Assessoren führen Audits durch, um sicherzustellen, dass das Unternehmen die erforderlichen Sicherheitsmaßnahmen implementiert hat und die Datenschutzstandards erfüllt.
  • Nach Abschluss des Audits erstellen Assessoren einen Bericht, der die Ergebnisse ihrer Prüfung und etwaige Empfehlungen für Verbesserungen enthält.

Insgesamt arbeiten Assessoren und Berater oft Hand in Hand, wobei die Berater Unternehmen bei der Vorbereitung auf die TISAX-Zertifizierung unterstützen, während Assessoren die formellen Prüfungen durchführen und die Konformität bewerten.

Welche Schritte sind notwendig, um eine TISAX® Zertifizierung zu erhalten?

TISAX® Anforderungen
TISAX® Anforderungen zur Zertifizierung verstehen und umsetzen

Wie sieht der Prozess von der Gap-Analyse bis zur erfolgreichen TISAX® Zertifizierung aus?

  1. GAP-Analyse: In dieser Phase wird eine umfassende Analyse durchgeführt, um die Lücken (Gaps) zwischen den aktuellen Prozessen und den Anforderungen der TISAX®-Standards zu identifizieren. Dies hilft dabei, einen detaillierten Aktionsplan 
  2. ENX Anmeldung: Nach der GAP-Analyse erfolgt die Registrierung bei ENX. Dies ist ein notwendiger Schritt, um den Zertifizierungsprozess zu starten. Gerne helfen wir Ihnen beim Anmeldungsprozess.
  3. Prüfer-Auswahl: Hier wählen Sie einen von der ENX zugelassenen Prüfer aus, der die TISAX®-Prüfung durchführt. Die Auswahl sollte auf der Grundlage von Faktoren wie Erfahrung, Fachwissen und Kosten getroffen werden. Mit unserer Erfahrung können wir Sie gerne bei der Auswahl unterstützen.
  4. Prüfungsvorbereitung: In dieser Phase bereiten Sie Ihr Unternehmen auf die bevorstehende Prüfung vor. Dies umfasst die Schulung des Personals, die Überprüfung der Sicherheitsrichtlinien und -verfahren und die Sicherstellung, dass alle Anforderungen erfüllt sind.
  5. Aufbau und Umsetzung ISMS: Sie implementieren das Informationssicherheitsmanagementsystem (ISMS) in Ihrem Unternehmen. Dies beinhaltet die Einrichtung von Sicherheitsrichtlinien, -verfahren und -kontrollen.
  6. Workshops: Wir führen mit Ihnen Workshops durch, um das Bewusstsein und das Verständnis für die Anforderungen der TISAX®-Standards zu erhöhen. Sie dienen auch dazu, das Personal in den relevanten Sicherheitspraktiken zu schulen.
  7. Self-Assessment: Vor der eigentlichen Prüfung führen Sie ein Self-Assessment durch. Dies gibt Ihnen die Möglichkeit, Ihren Reifegrad für das Audit zu bewerten und eventuell vorhandene Lücken zu schließen.
  8. TISAX® Prüfung: Schließlich erfolgt die TISAX®-Prüfung. Der ausgewählte Prüfer wird die Einhaltung der TISAX®-Standards bewerten. Nach erfolgreicher Prüfung erhalten Sie das angestrebte TISAX®-Label.

Durch klar beschriebene, dokumentierte und nachweislich gelebte Prozesse, wird es für alle Beteiligten in der Organisation einfacher, die Schritte zur erfolgreichen TISAX®-Zertifizierung zu verstehen und umzusetzen. Gerne unterstützen wir Sie dabei.

Der Prozess von der Vorbereitung bis zur erfolgreichen TISAX® Zertifizierung beginnt mit dem Verständnis von Prüfzielen und Vorgaben des Anforderungskatalog ISA. Die Vorgaben müssen sorgfältig implementiert werden, um ein solides Fundament für die Zertifizierung zu schaffen.

Erreichen Sie ein umfassendes Verständnis für das Erfüllen der TISAX® Anforderungen, sodass alle relevanten Aspekte abgedeckt werden. Unterstützende Maßnahmen wie Schulungen und interne Audits sind ebenfalls ein Muss, um TISAX® aufzubauen und im täglichen Geschäftsbetrieb aufrechtzuerhalten. Letztendlich führt die konsequente Umsetzung dieser Schritte zur erfolgreichen Zertifizierung und zeigt das Engagement eines Unternehmens für die Sicherheit und den Schutz sensibler Daten.

Aufwand und Kosten, die mit einer TISAX® Zertifizierung verbunden sind

Aufwand und Kosten für eine TISAX® Zertifizierung können je nach Unternehmen und Anforderungen variieren. Es ist wichtig, die potenziellen Kosten und den Aufwand im Vorfeld abzuschätzen und entsprechend zu planen, um einen reibungslosen Zertifizierungsprozess sicherzustellen.

Der Reifegrad Ihres Unternehmens ist entscheidend für die Kosten. Die Projektdauer und die daraus resultierenden Kosten belaufen sich auf 3-12 Monate, sowie 25.000 – 50.000€. Falls Sie weiterführende Informationen über TISAX® Kosten benötigen, ist hier unser Blog-Beitrag.

Können kleine Unternehmen die Anforderungen der TISAX® Zertifizierung erfüllen?

Ja, kleine Unternehmen können definitiv die Vorgaben von TISAX® erfüllen. Der ISA Fragenkatalog ist so konzipiert, dass selbst kleine Betriebe damit arbeiten können. Die TISAX® Anforderungen sollten als Leitlinien betrachtet werden, die flexibel umgesetzt werden können, um die gewünschten Prüfziele und den benötigten Schutz angemessen zu erreichen.

Die Entscheidung über die Angemessenheit wird von den Prüfdienstleistern individuell für jedes Unternehmen getroffen. Sowohl der Aufbau eines ISMS als auch das Audit selbst erfordern jedoch einen gewissen Aufwand und Kosten. Wir raten daher Kleinstbetrieben, abzuwägen, ob der Aufwand und die potenziellen Vorteile einer TISAX® Zertifizierung wirtschaftlich vertretbar sind.

Unsere Praxis-Tipps zum Erfüllen der TISAX®-Anforderungen als mehr 30 Projekten

Nachfolgend sind die Prozesse aufgelistet, an denen Owners in einem TISAX® -Projekt beteiligt sein müssen:

  • Management: Ein TISAX® -Projekt ohne Managementunterstützung ist nicht möglich. Die erste Anforderung ist somit erfüllt, wenn eine Managementunterstützung vorhanden ist.
  • HR: Effizientes Hiring, die Definition von sensiblen Tätigkeiten, On-Boarding und Off-Boarding Prozesse sind ein wichtiger Teil eines TISAX® Projektes. Darüber hinaus gehören die Planung und Durchführung von Schulungen zu den Aufgaben der Personalabteilung.
  • Facility Management: Physische Sicherheit, Maßnahmen zum Sicherheitszonenkonzept, Notfallpläne sowie Notfallübungen sind ein Muss für erfolgreiche TISAX®-Projekte.
  • IT: Selbsterklärend. IT macht 60% eines TISAX-Projektes aus. Unabhängig davon müssen die Schnittstellen zwischen der IT-Abteilung und den anderen Abteilungen definiert und dokumentiert werden.
  • Einkauf: Informationssicherheitsrelevante Lieferanten und Geheimhaltungsvereinbarungen mit Lieferanten sind ein kritischer Teil während eines TISAX®-Projektes.
  • Compliance: Der Datenschutzbeauftragte (DSB) – sofern vorhanden – und je nach Größe des Unternehmens die Rechtsabteilung sollten teilnehmen.
  • Zeit. Ein TISAX® -Projekt und die Reife eines ISMS benötigen Zeit. Für ein erfolgreiches TISAX® Projekt ist mit mindestens 6 Monaten zu rechnen. Bei größeren Unternehmen und je nach Reifegrad der bestehenden Prozesse kann dieser Zeitraum bis zu 12 Monate betragen.