TISAX

TISAX (Trusted Information Security Assessment Exchange) ist ein Sicherheitsstandard für die Automobilindustrie, der die Informationssicherheit in der gesamten Lieferkette verbessern und sicherstellen soll.

 

IT Security
IT-Security

TISAX wurde von der ENX Association entwickelt und soll den sicheren Austausch von Informationen zwischen Partnern und Lieferanten gewährleisten. Der Verband der Automobilindustrie (VDA) unterstützt den Standard.

  • TISAX umfasst eine Reihe von Assessment-Kriterien, die von unabhängigen Prüfern, sogenannten Audit-Providern bewertet werden, damit alle Beteiligten die branchenspezifischen Vorgaben konform umsetzen.
  • Lieferanten und Dienstleister von Automobilherstellern die mit sensiblen Daten umgehen, müssen die Vorgaben umsetzen. Oft verlangen auch OEMs (Original Equipment Manufacturers) die Umsetzung von ihren Partnern.
  • TISAX-Teilnehmer nutzen das ENX-Portal, um Informationen auszutauschen, Assessmentdaten zu teilen und mit Audit-Providern in Kontakt zu treten. Sie übernehmen dabei entweder eine passive oder aktive Rolle.

Teilnehmer-Rollen

  • Passive Teilnehmer: Fahrzeughersteller fordern von Lieferanten TISAX-Labels als Nachweis der Konformität.
  • Aktive Teilnehmer: Lieferanten unterziehen sich Assessments und veröffentlichen die Ergebnisse.

Schutzklassen von TISAX

Die ENX Association hat für das TISAX-Programm drei Schutzklassen und Assessment-Level definiert, die sich jeweils nach dem Schutzbedarf der zu schützenden Informationen richten.

  • Assessment Level 1
    Bei normalen Schutzanforderungen gemäß Assessment Level 1 kann das Unternehmen das Assessment eigenständig durch eine Selbstbewertung durchführen.
  • Assessment Level 2
    Assessment Level 2 richtet sich an Zulieferer und Dienstleister mit hohen Schutzanforderungen. Voraussetzung ist eine vollständige Selbstbewertung, gefolgt von Prüfschritten eines Audit-Providers.
  • Assessment Level 3
    Assessment Level 3 erfordert sehr hohe Schutzanforderungen, eine vollständige Selbstbewertung und die Einbeziehung eines Audit-Provider (AP). Die Prüfschritte ähneln denen von Level 2, beinhalten jedoch zusätzlich wesentliche Aspekte bei einem Vor-Ort-Audit.

TISAX

TISAX vereint das bewährte VDA Information Security Assessment (VDA ISA) mit seinen Prüfkriterien für Prototypen mit technischen Maßnahmen der IT-Sicherheit (ISO/IEC 27001) und Anforderungen aus dem Datenschutzrecht (DSGVO).

Zielsetzung:

→   Etablierung eines einheitlichen Sicherheits-
niveaus in der Automobilindustrie

→   Vermeidung von Kosten und Doppel-
prüfungen durch konsistente Bewertungen

→   Sicherstellung der Qualität im Risiko-
management und bei Sicherheitsprüfungen

→   Förderung des Austauschs bewährter
Praktiken und Erfahrungen

Schutzziele:

→   Projekte, Designentwürfe, Prototypen sowie
vertrauliche Investitionspläne

→   Daten zu Entwicklung und Prozessen im
Zusammenhang mit Digitalisierungs-
konzepten für Fahrzeuge

→   Digitale Verbindungen innerhalb des Partner-
und Zuliefernetzwerks

→   Persönliche Daten aller beteiligten Parteien

Welche Maßnahmen sind erforderlich?

Um das TISAX-Label zu erhalten, müssen Unternehmen mindestens die folgenden Maßnahmen ergreifen:

Schritte zum TISAX-Label

  • Registrierung im ENX-Portal
  • Auswahl und Beauftragung eines Prüfdienstleisters
  • Wahl eines Beraters zur Begleitung der Umsetzung
  • Vereinbarung der Termine mit den Auditoren
  • Umsetzung der erforderlichen Maßnahmen gemäß dem Assessment-Level
    • Assessment Level 1 (AL 1)
    • Assessment Level 2 (AL 2)
    • Assessment Level 3 (AL 3)
  • Dokumentation der technischen und organisatorischen Maßnahmen
  • Durchführung eines Self-Assessments als Vorbereitung auf das Audit
  • Bereitstellung der erforderlichen Dokumentation
  • Durchführung des Audits (Stufe 1) – Schwerpunkt Dokumentationsprüfung
  • Durchführung des Audits (Stufe 2) – Schwerpunkt Prozesse und Interviews mit Beteiligten
  • Management der erkannten Abweichungen
  • Erhalt des TISAX-Labels über die ENX-Plattform

Audit- und Vergabeprozess

  • Ein TISAX-Assessment muss von einem von der ENX akkreditierten Prüfdienstleister durchgeführt werden, um anerkannt zu werden.
  • Der Umfang und die Dauer des Assessments richten sich nach den Prüfzielen, der Reife des ISMS und der Anzahl der Standorte.
  • Das Prüfverfahren, einschließlich der Bewertung von Korrekturmaßnahmen, muss innerhalb von neun Monaten abgeschlossen werden.
  • Wird die vorgenannte Frist überschritten, ist der Prozess von vorne zu beginnen.
  • Alle drei Jahre ist eine erneute Prüfung erfoderlich, um das TISAX-Label zu behalten.
  • Nach den Assessments werden die Ergebnisse und erforderlichen Korrekturmaßnahmen in einem Bericht zusammengefasst.
  • Der Auditee erstellt einen Plan mit Korrekturmaßnahmen, der vom Audit-Provider geprüft wird.
  • Der Auditee setzt die Maßnahmen um, und der Audit-Provider überprüft deren Wirksamkeit.

Registrierung

Unternehmen registrieren sich im ENX-Portal und hinterlegen ihre Daten, um ein Prüfungsangebot zu erhalten. Bereits hierbei kann ein Berater zur Unterstützung während des gesamten Prozesses eingetragen werden.

Verantwortung

Die Geschäftsführung ist verantwortlich für die Schaffung einer Cybersicherheitskultur, das Bereitstellen von Ressourcen und das Ergreifen proaktiver Maßnahmen zur Umsetzung der Informationssicherheit.

TISAX mit System?

Ein ISMS sorgt für die strukturierte Planung, Umsetzung und Verbesserung von Informationssicherheit. Der PDCA-Zyklus hilft Unternehmen, Normen wie ISO 27001 und Vorgaben wie TISAX nachhaltig zu erfüllen.

Auftragsverlust vermeiden

Viele Automobilhersteller und große Zulieferer setzen das TISAX-Label als Voraussetzung für die Zusammenarbeit voraus. Ohne dieses Label droht der Verlust von Aufträgen oder der Ausschluss aus Projekten.

Broschüren zum Download:  →   tec4net_Infoblatt_TISAX (0,3 MB)

Ihr externer Informationssicherheitsbeauftragter (ISB) für München und Deutschland

Qualifizierte Experten

Chief Information Security Officer (DGI)  |  IT-Sicherheitsbeauftragter (DGI)
Certified Information Security Manager (CISM)  |  Certified Ethical Hacker (CEH)
Certified in Risk and Information Systems Control (CRISC)