TISAX (Trusted Information Security Assessment Exchange) ist ein Sicherheitsstandard für die Automobilindustrie, der auf die spezifischen Anforderungen der Branche abgestimmt ist. Entwickelt von der ENX Association, richtet sich TISAX an Unternehmen die mit sensiblen Daten arbeiten, insbesondere in den Bereichen Informationssicherheit, Datenschutz und IT.

Der Standard umfasst eine Reihe von Assessment-Kriterien, die von unabhängigen Prüfern (Audit-Provider) bewertet werden, um sicherzustellen, dass Unternehmen die erforderlichen Sicherheitsvorkehrungen treffen. TISAX fördert den sicheren Austausch von Informationen zwischen Partnern und Lieferanten in der Automobilbranche und wird vom Verband der Automobilindustrie (VDA) unterstützt.

Wer muss TISAX umsetzen?

Alle Lieferanten und Dienstleister von Automobilherstellern und Zulieferern, die mit sensiblen Daten umgehen. Auch andere Unternehmen können betroffen sein, wenn z.B. OEMs (Original Equipment Manufacturers) von ihren Partnern eine Sicherheitsbewertung verlangen.

Wie funktioniert TISAX?

Die Teilnehmer des TISAX-Verfahrens nutzen das Online-Portal von ENX, um Informationen zur Informationssicherheit auszutauschen. Das Portal bietet Unternehmen die Möglichkeit, Assessmentdaten zu teilen und mit Audit-Providern in Kontakt zu treten. Hierbei nehmen sie eine der folgenden Rollen ein:

• Passive Teilnehmer
  Passive Teilnehmer wie Fahrzeughersteller, fordern Lieferanten und Dienstleister auf bestimmte TISAX-Labels nachzuweisen indem sie ein Assessment mit jeweils definierten Prüfzielen durchführen und die Prüfungsergebnisse offenlegen.
• Aktive Teilnehmer
  Aktive Teilnehmer (Auditees), wie Lieferanten und Dienstleister, unterziehen sich in der Regel auf Aufforderung eines Automobilherstellers oder OEMs, einem Assessment. Nach Abschluss der Prüfung entscheiden sie im Online-Portal, wer Zugriff auf ihre Ergebnisse erhält.

Welche Ziele verfolgt TISAX?

• Etablierung eines einheitlichen Sicherheitsniveaus in der Automobilindustrie
• Vermeidung von Kosten und Doppelprüfungen durch konsistente Bewertungen
• Sicherstellung der Qualität im Risikomanagement und bei Sicherheitsprüfungen
• Förderung des Austauschs bewährter Praktiken und Erfahrungen

TISAX vereint hierzu das bewährte VDA Information Security Assessment (VDA ISA) mit seinen detaillierten Prüfkriterien für Prototypen mit den technischen Maßnahmen aus Anhang A der ISO/IEC 27001. Zusätzlich umfasst es weitere spezifische Anforderungen aus dem Datenschutzrecht.

Was schützt TISAX?

• Projekte, Designentwürfe, Prototypen sowie vertrauliche Investitionspläne
• Daten zu Entwicklung und Prozessen im Zusammenhang mit Digitalisierungskonzepten für Fahrzeuge
• Digitale Verbindungen innerhalb des Partner- und Zuliefernetzwerks
• Persönliche Daten aller beteiligten Parteien

Schutzklassen von TISAX

Die ENX Association hat für das TISAX-Programm drei Schutzklassen und Assessment-Level definiert, die sich jeweils nach dem Schutzbedarf der zu schützenden Informationen richten.

Assessment Level 1
Bei normalen Schutzanforderungen gemäß Assessment Level 1 kann das Unternehmen das Assessment eigenständig durch eine Selbstbewertung durchführen.

Assessment Level 2
Assessment Level 2 richtet sich an Zulieferer und Dienstleister mit hohen Schutzanforderungen. Voraussetzung ist eine vollständige Selbstbewertung, gefolgt von Prüfschritten eines Audit-Providers.

• Eröffnungsgespräch (Kick-off)
• Prüfung der Selbstbewertung auf Vollständigkeit und Plausibilität sowie der entsprechenden Nachweise
• Telefoninterview der ISMS-Verantwortlichen oder Vor-Ort-Prüfung bei Anbindung Dritter und/oder Prototypenschutz

Assessment Level 3
Assessment Level 3 erfordert sehr hohe Schutzanforderungen, eine vollständige Selbstbewertung und die Einbeziehung eines Audit-Provider (AP). Die Prüfschritte ähneln denen von Level 2, beinhalten jedoch zusätzlich wesentliche Aspekte bei einem Vor-Ort-Audit.

• Eröffnungsgespräch (Kick-off)
• Prüfung der Selbstbewertung auf Vollständigkeit und Plausibilität sowie der entsprechenden Nachweise
• Bewertung der ISMS-Wirksamkeit und -Reife durch eine Vor-Ort-Prüfung, einschließlich Expertenbefragung und Begehung relevanter Bereiche.

Audit- und Vergabeprozess

• Ein Assessment für TISAX darf nur von einem Prüfdienstleister durchgeführt werden, der von der ENX als Audit-Provider (AP) für TISAX akkreditiert ist, um Anerkennung zu finden.
• Der Umfang und die Dauer des Assessments hängen von den Prüfzielen, der Reife des ISMS und der Anzahl der Standorte ab.
• Das gesamte Prüfverfahren, einschließlich der Bewertung von Korrekturmaßnahmen, muss innerhalb von neun Monaten abgeschlossen sein.
• Wird diese Frist überschritten, muss der Prozess erneut beginnen.
• Nach drei Jahren ist jeweils eine erneute Prüfung erforderlich, um das TISAX-Label zu behalten.
• Nach den Assessments werden jeweils die Ergebnisse sowie die erforderlichen Korrekturmaßnahmen in einem Bericht zusammengefasst. Um das angestrebte Label zu erlangen, sind folgende Schritte erforderlich:
• Der Auditee erstellt einen Plan für Korrekturmaßnahmen, der vom Audit-Provider bewertet wird.
• Der Auditee setzt die Maßnahmen um, wobei die Wirksamkeit durch den Audit-Provider überprüft wird.

Registrierung im ENX-Portal

Interessenten müssen sich zunächst auf dem ENX-Portal registrieren und die erforderlichen Informationen hinterlegen, um ein Angebot für eine TISAX-Prüfung zu erhalten.
Hierbei können Sie auch direkt einen Berater eintragen, der Sie während des gesamten Prozesses bei der Umsetzung der Anforderungen unterstützt und Ihnen auch beim Angebotsanfrageprozess zur Seite steht.

Schritte zum TISAX-Label

Um das TISAX-Label zu erhalten, müssen Unternehmen mindestens die folgenden Maßnahmen ergreifen:

• Registrierung im ENX-Portal
• Auswahl und Beauftragung eines Prüfdienstleisters
• Wahl eines Beraters zur Begleitung der Umsetzung
• Vereinbarung der Termine mit den Auditoren
• Umsetzung der erforderlichen Maßnahmen gemäß dem Assessment-Level
• Dokumentation der technischen und organisatorischen Maßnahmen
• Durchführung eines Self-Assessments als Vorbereitung auf das Audit
• Bereitstellung der erforderlichen Dokumentation
• Durchführung des Audits (Stufe 1) – Schwerpunkt Dokumentationsprüfung
• Durchführung des Audits (Stufe 2) – Schwerpunkt Prozesse und Interviews mit Beteiligten
• Management der erkannten Abweichungen
• Erhalt des TISAX-Labels über die ENX-Plattform

Verantwortung

Die Geschäftsführung ist verantwortlich für die Schaffung einer Cybersicherheitskultur, das Bereitstellen von Ressourcen und das Ergreifen proaktiver Maßnahmen zum Schutz der Informationssysteme und Netzwerke der Organisation.

TISAX und ISMS?

Ein Informationssicherheits-Managementsystem (ISMS) ist ein wesentlicher Baustein zur Umsetzung und Verbesserung der Informationssicherheit in einer Organisation. Es legt Richtlinien, Prozesse und Technologien fest und strukturiert sie gezielt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten und zu schützen.
Durch den PDCA-Zyklus (Plan-Do-Check-Act) fördert ein ISMS die systematische Planung, Umsetzung, Überprüfung und kontinuierliche Verbesserung von Sicherheitsmaßnahmen. So unterstützt es Unternehmen und Organisationen dabei, sowohl Normen wie ISO 27001 als auch regulatorische Vorgaben wie TISAX nachhaltig umzusetzen und zu erfüllen.

 

Kontaktieren Sie uns noch heute…

Mit tec4net an Ihrer Seite wird die Umsetzung der TISAX-Anforderungen zum Erfolg!

Als Experten für IT-Sicherheit und Datenschutz gehen wir direkt in die Analyse. Wir identifizieren schnell die Lücken in Ihrem aktuellen Sicherheitsstand und schließen diese gezielt.

Gemeinsam entwickeln wir einen maßgeschneiderten, praxisorientierten Plan, der Ihnen die dauerhafte Einhaltung von TISAX garantiert.
Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH