TISAX Wissen

Häufige Fragen zu TISAX

• Was ist TISAX und wer benötigt es?
  TISAX wird von der Automobilindustrie gefordert und betrifft alle Unternehmen, die sensible Informationen von OEMs oder Zulieferern verarbeiten, insbesondere Entwicklungs-, IT- und Engineering-Dienstleister.
• Wie läuft ein TISAX Assessment ab?
  Der Ablauf umfasst Registrierung, Definition des Prüfumfangs, Selbsteinschätzung, Audit durch einen akkreditierten Prüfdienstleister sowie anschließende Bewertung und Label-Vergabe.
• Wie lange dauert die Vorbereitung auf TISAX?
  Je nach Reifegrad des Unternehmens dauert die Vorbereitung typischerweise 3 bis 9 Monate, abhängig davon, ob bereits ein ISMS vorhanden ist.
• Welche Anforderungen stellt TISAX an IT-Sicherheit?
  Gefordert werden unter anderem Zugriffskontrollen, Informationsklassifizierung, Incident Management, physische Sicherheit sowie dokumentierte Prozesse.
• Ist TISAX vergleichbar mit ISO 27001?
  TISAX basiert in vielen Bereichen auf ISO 27001, ist jedoch branchenspezifisch für die Automobilindustrie erweitert und nicht direkt zertifizierbar, sondern ein Assessment-Modell.
• Welche Rolle spielt Informationsklassifizierung?<
  Die Klassifizierung von Informationen ist zentral, da TISAX verlangt, dass Daten je nach Schutzbedarf eindeutig eingestuft und entsprechend geschützt werden.
• Welche typischen Fehler passieren bei TISAX?<
  Häufig fehlen dokumentierte Prozesse, klare Verantwortlichkeiten oder ein konsistentes ISMS, wodurch Audit-Findings entstehen.
• Wer führt das TISAX Assessment durch?
  Das Assessment wird ausschließlich von ENX-akkreditierten Prüfdienstleistern durchgeführt, nicht von der ENX Association selbst.
• Was kostet eine TISAX Vorbereitung?
  Die Kosten variieren stark je nach Unternehmensgröße, Reifegrad und Scope; zusätzlich entstehen Audit- und Registrierungskosten.
• Wie kann man sich effizient auf TISAX vorbereiten?
  Am effizientesten ist ein strukturiertes Gap-Assessment auf Basis ISO 27001, kombiniert mit klarer Priorisierung der Maßnahmen und Audit-Vorbereitung.

Fachliche Einblicke zu TISAX

1. TISAX als Branchenstandard der Automobilindustrie

TISAX wurde vom Verband der Automobilindustrie (VDA) entwickelt, um ein einheitliches Sicherheits- und Vertrauensniveau zwischen OEMs, Zulieferern und Dienstleistern zu schaffen.

2. TISAX basiert auf ISO 27001 Prinzipien

Die Anforderungen orientieren sich stark an ISO 27001, erweitern diese jedoch um spezifische Anforderungen der Automotive-Lieferkette wie Prototypenschutz und strenge Informationsklassifizierung.

3. Assessment statt Zertifizierung

Im Gegensatz zu ISO-Zertifizierungen erfolgt bei TISAX keine klassische Zertifizierung, sondern ein standardisiertes Assessment mit Ergebnislabeln.

4. Rolle der ENX Association

Die ENX Association betreibt die zentrale Plattform für TISAX, definiert jedoch nicht selbst die Audits, sondern akkreditiert Prüfdienstleister.

5. Schutzbedarf von Informationen

Ein zentrales Element ist die Einstufung von Informationen nach Schutzbedarf (normal, hoch, sehr hoch), die direkte Auswirkungen auf Sicherheitsmaßnahmen hat.

6. Lieferkettensicherheit in der Automobilindustrie

TISAX stellt sicher, dass Informationssicherheit nicht nur intern, sondern entlang der gesamten Lieferkette konsistent umgesetzt wird.

7. Typische ISMS-Anforderungen im TISAX-Kontext

Ein funktionierendes ISMS ist die Grundlage für die meisten TISAX Controls, insbesondere in den Bereichen Risiko- und Maßnahmenmanagement.

8. Physische und organisatorische Sicherheit

Neben IT-Sicherheit werden auch Zutrittskontrollen, Besucherregelungen und sichere Arbeitsumgebungen bewertet.

9. Bedeutung von Audit-Nachweisen

Alle Maßnahmen müssen nachweisbar dokumentiert sein; reine Implementierung ohne Nachweis reicht für ein positives Assessment nicht aus.

10. Reifegrad als Erfolgsfaktor

Unternehmen mit höherem organisatorischem Reifegrad erreichen deutlich schneller ein erfolgreiches TISAX-Assessment.