Blog
Sprintwinkel rechts
Compliance-Management
Sprintwinkel rechts
TISAX-Konformität: Vorteile, Zertifizierung und Kosten

TISAX-Konformität: Vorteile, Zertifizierung und Kosten

Moderne Fahrzeuge haben sich in letzter Zeit ebenfalls zu intelligenten Systemen entwickelt, da sie große Datenmengen ihrer Nutzer (Fahrer und Passagiere) erfassen, verarbeiten und generieren können. Diese Daten sind zwar für die Automobilindustrie äußerst wertvoll, aber auch anfällig für Missbrauch.

Fahrzeuge mit hochentwickelten Systemen, die auf komplexer Software und Datenaustausch basieren, bergen erhebliche Cybersicherheitsrisiken. Die Bedrohungen können von geistigem Eigentum bis hin zu personenbezogenen Daten reichen. Hier setzt TISAX (Trusted Information Security Assessment Exchange) an. 

Dieser Artikel behandelt die Grundlagen der TISAX-Konformität, ihre Vorteile, den Anwendungsbereich, die Kontrollmechanismen, den Zertifizierungsprozess, das Audit, die Kosten usw. Los geht's!

Was ist TISAX?

TISAX (Trusted Information Security Assessment Exchange) ist ein Austausch- und Analysemechanismus für Informationssicherheit in der Automobilindustrie. Es wurde von der Automobilindustrie entwickelt. ENX Association (Frankreich) und genießt weltweite Anerkennung. 

TISAX wurde 2017 vom VDA (Verband der Automobilindustrie) zusammen mit ENX gegründet und herausgegeben. 

TISAX basiert auf dem ISA-Katalog (Information Security Assessment), der ebenfalls von der VDA herausgegeben wurde. Die aktuellste Version ist die ISA Version 6.0.3, In 2024 veröffentlicht. 

Was versteht man unter TISAX-Konformität?

Die Einhaltung der TISAX-Richtlinien bedeutet die Befolgung der Regeln, Kontrollen, Verfahren und Richtlinien für Informationssicherheit und Datenschutz gemäß dem ISA-Katalog unter VDA. Sie hilft Lieferanten, Herstellern und Partnern, die Datenverarbeitung gemeinsam zu verstehen und gleichzeitig Risiken zu minimieren.

TISAX orientiert sich bei seinen Sicherheitskontrollen an Rahmenwerken und Vorschriften wie ISO 27001 und der DSGVO und schließt darüber hinaus zusätzliche Maßnahmen zum Schutz von Verbraucherdaten im Automobilsektor ein. 

Welche Vorteile bietet die Einhaltung von TISAX?

TISAX Die Einhaltung der Vorschriften ermöglicht es Lieferanten, viele externe Informationssicherheitsprüfungen zu umgehen und so die Beschaffungsprozesse mit OEMs (Originalgeräteherstellern) zu beschleunigen. Hier sind drei weitere Vorteile:

#1. Stärkt das Markenvertrauen und den WettbewerbsvorteilEs demonstriert das Engagement Ihres Unternehmens für strenge Sicherheitsstandards und fördert das Vertrauen zwischen Kunden, Lieferanten und Geschäftspartnern.

#2. Gewährleistet den InformationsaustauschTISAX ermöglicht den sicheren Informationsaustausch zwischen Herstellern, Zulieferern und Dienstleistern und verbessert so die Transparenz in der automobilen Lieferkette.

#3. Verbessert die SicherheitslageEs fördert einen proaktiven Ansatz beim Umgang mit informationsbezogenen Risiken und stärkt die allgemeine Widerstandsfähigkeit der Automobilindustrie gegenüber digitalen Bedrohungen.

Für wen gilt TISAX?

TISAX gilt für alle Organisationen, die sensible Informationen innerhalb der Automobilindustrie verarbeiten. Es betrifft vor allem Zulieferer, Dienstleister und Hersteller, die Daten im Zusammenhang mit Konstruktion, Produktion und anderen vertraulichen Aspekten der Automobilentwicklung und -fertigung verarbeiten.

Ist TISAX verpflichtend?

Nein, TISAX ist keine gesetzlich vorgeschriebene Anforderung. 

Wie auch immer es ist de facto Für viele in der Automobilindustrie ist die Einhaltung der TISAX-Standards verpflichtend. Große OEMs verlangen von ihren Zulieferern und Dienstleistern die TISAX-Konformität als Voraussetzung für eine Geschäftsbeziehung. Obwohl sie nicht gesetzlich vorgeschrieben ist, stellt sie häufig eine vertragliche Verpflichtung dar.

TISAX-Reifegrad und Bewertungsstufen

Bei der Definition Ihres Geltungsbereichs im Rahmen des TISAX-Registrierungsprozesses müssen Sie Ihren TISAX-Reifegrad und Ihr Bewertungsniveau angeben. 

Reifegrade

Die Reifegrade der TISAX-Compliance spiegeln wider, inwieweit eine Organisation ihre Informationssicherheitskontrollen implementiert und aufrechterhält. Die Reifegrade reichen von 0 bis 5:

  • Stufe 0: Nicht durchgeführt 
  • Stufe 1: Anfänglich
  • Stufe 2: Verwaltet
  • Stufe 3: Etabliert 
  • Stufe 4: Vorhersehbar
  • Level 5: Optimieren
Hinweis

Sie brauchen wenigstens Reifegrad 3 ohne Abweichungen, um ein TISAX-Label zu erhalten.

Bewertungsniveaus

Die Bewertungsstufen bestimmen Umfang und Gründlichkeit des TISAX-Audits. Diese Stufen basieren auf den Schutzanforderungen der verarbeiteten Daten und werden wie folgt kategorisiert:

  • Bewertungsstufe 1 (AL1): TISAX-Selbstbewertung durch den Geprüften. Diese Stufe wird typischerweise für Szenarien mit geringem Risiko verwendet.
  • Bewertungsstufe 2 (AL2): Diese Stufe umfasst eine Plausibilitätsprüfung der Selbsteinschätzung, die Bewertung der Beweislage und ein Experteninterview. Sie wird in Hochrisikoszenarien eingesetzt und kann unter bestimmten Voraussetzungen (z. B. Schutz des Prototyps oder Verbindungen zu Dritten) Vor-Ort-Besuche erfordern.
  • Bewertungsstufe 3 (AL3): Eine umfassende Bewertung, einschließlich der Auswertung von Beweismitteln, Vor-Ort-Besichtigungen und Experteninterviews, ist erforderlich. Diese Stufe ist für Szenarien mit sehr hohem Risiko notwendig.

Hier ist ein Beispiel für die Zuordnung der TISAX-Bewertungsziele zu den Bewertungsstufen gemäß dem Teilnehmerhandbuch

Wie läuft der TISAX-Zertifizierungsprozess ab?

Das TISAX-Teilnehmerhandbuch enthält detaillierte Informationen zu Registrierung, Geltungsbereich, Selbsteinschätzung, Gebühren usw. Der vollständige Überblick über den TISAX-Zertifizierungsprozess lässt sich jedoch in fünf Schritten darstellen:

1. Vorbereitung und Registrierung im ENX-Portal

2. Führen Sie eine Selbsteinschätzung durch und beheben Sie Lücken.

3. Wählen Sie einen autorisierten Auditor aus.

4. Führen Sie eine formale Bewertung zur abschließenden Validierung durch.

5. Ergebnisse veröffentlichen und Einhaltung der Vorschriften gewährleisten

1. Vorbereitung und Registrierung im ENX-Portal

Vor Beginn der Registrierung empfiehlt es sich, sich im Vorfeld auf die Teilnahme an TISAX vorzubereiten. Machen Sie sich zunächst mit dem VDA ISA-Katalog (Information Security Assessment) und den ISO 27001-Standards vertraut.

Sie können Ihre Organisation registrieren bei ENX-PortalDafür sind grundlegende Unternehmensdaten und die Zustimmung zu den Allgemeinen Geschäftsbedingungen erforderlich. Bei der Registrierung müssen Sie den Umfang Ihrer Bewertung festlegen und angeben, welche Teile Ihrer Organisation bewertet werden sollen. 

Was passiert nach der Registrierung?

Nach erfolgreicher Registrierung erhalten Sie eine Bestätigungs-E-Mail mit einer PDF-Datei Ihres TISAX-Scope-Auszugs, der Ihre Teilnehmer-ID, Scope-ID und weitere von Ihnen angegebene Informationen enthält. 

2. Führen Sie eine Selbsteinschätzung durch und beheben Sie Lücken.

Eine Selbsteinschätzung umfasst die Ermittlung Ihres aktuellen Sicherheitsstatus mithilfe des ISA-Katalogs. Dabei wird Ihr ISMS (Informationssicherheitsmanagementsystem) anhand der TISAX-Standards bewertet. 

HinweisSie können beruhigt sein, wenn Sie bereits die Anforderungen der ISO 27001 erfüllen. Ihre grundlegenden Kontrollmechanismen für das Informationssicherheitsmanagementsystem (ISMS) sind bereits implementiert. Die zusätzlichen Kontrollmechanismen berücksichtigen die spezifischen Anforderungen der Automobilindustrie. 

Dieser Schritt ist der zeitaufwändigste und erfordert den größten manuellen Aufwand. An dieser Stelle wäre die Hinzuziehung eines TISAX-erfahrenen Beraters oder eines Sicherheitsspezialisten ratsam. GRC-Automatisierungstool Um Ihre Sicherheitskontrollen zu automatisieren, wenn Sie den manuellen Aufwand reduzieren möchten.

Zum Beispiel, Sprint Die Plattform enthält bereits vordefinierte Kontrollen gemäß ISO 27001. Mit unserer Unterstützung können Sie zusätzliche TISAX-Kontrollen zuordnen, Lücken schließen und Prüfungen einrichten. Die Plattform hilft Ihnen außerdem bei der Nachweiserfassung und vereinfacht das Audit. 

3. Wählen Sie einen autorisierten Auditor aus.

Für die formale Bewertung dürfen Sie ausschließlich einen unabhängigen, von der ENX Association akkreditierten Prüfer beauftragen. 

Gemäß der ENX-WebsiteEs gibt sechzehn autorisierte TISAX-Audit-Anbieter: 

  1. AFNOR Zertifizierung
  2. BSI
  3. Bureau Veritas
  4. CIS
  5. DEKRA
  6. Deloitte
  7. DNV
  8. DQS
  9. EY
  10. KPMG
  11. OS
  12. PwC
  13. SGS
  14. TÜV NORD
  15. TÜV Rheinland
  16. TÜV SÜD

4. Führen Sie eine formale Bewertung zur abschließenden Validierung durch.

Vor der formellen Bewertung kann der ausgewählte Prüfer Ihre Selbsteinschätzungsergebnisse überprüfen und deren Vollständigkeit und Richtigkeit bestätigen. Tool zur Compliance-Automatisierung An dieser Stelle ist es hilfreich, die Belege und die zugeordneten Kontrollmechanismen direkt im Dashboard zu überprüfen. 

Sobald Ihre Sicherheitskontrollen bewertet und verifiziert wurden, führt der Auditor die abschließende Bewertung durch, abhängig vom Bewertungsniveau (AL1, AL2 oder AL3). 

Etwaige Abweichungen müssen umgehend behoben werden. Anschließend ist innerhalb von neun Monaten eine Nachfolgeprüfung durchzuführen, um zu bestätigen, dass alle Probleme gelöst wurden.

5. Teilen und pflegen Sie Ihr TISAX-Etikett.

Erinnern Sie sich, wie wir über die Zuordnung der TISAX-Bewertungsziele zu den AL (Bewertungsstufen) gesprochen haben? Nachdem Sie Ihren TISAX-Abschlussbericht erhalten haben, werden diese Ziele als TISAX-Stufen bezeichnet. 

Das TISAX-Label ist ein wichtiges Kommunikationsmittel mit Ihren Partnern und Lieferanten. Sie können Ihre Bewertungsergebnisse auf der TISAX Exchange-Plattform veröffentlichen und mit Ihren Partnern teilen. 

Die TISAX-Etiketten sind drei Jahre gültig und müssen nach drei Jahren erneuert werden. 

Welche Kosten entstehen für die Implementierung von TISAX?

Die Implementierungskosten von TISAX hängen von Faktoren wie Unternehmensgröße, Komplexität, bestehenden Konformitätsrahmen und Bewertungsumfang ab. Darüber hinaus fallen verschiedene Kostenarten an, die je nach Unternehmen variieren können. 

Eine Gesamtschätzung der mit TISAX verbundenen Kosten:

Art der KostenBeschreibungGeschätzte/ungefähre Kosten 
RegistrierungsgebührDie anfängliche Gebühr für die Registrierung auf dem ENX-Portal$500
Gebühren des PrüfdienstleistersGebühren für die Durchführung der förmlichen Bewertung$ 5,500 zu $ ​​16,500 USD
Implementierungs- und BetriebskostenKosten für die Erstellung des ISMS, Beratung und Technologie-Upgrades$ 22,000 zu $ ​​55,000 USD
BeratungsleistungenGebühren für externe Berater, die bei der Vorbereitung und der Gap-Analyse unterstützen100 bis 300 € pro Stunde
Jährliche EtikettengebührLaufende Gebühr für die Aufrechterhaltung des TISAX-Labels$ 1,100 zu $ ​​3,300 USD
FolgeauditsZusätzliche Kosten für alle erforderlichen FolgeprüfungenVariiert je nach Komplexität und Umfang

Quellen: Compliance-Aspekte, ISMS Connect, IS-Entscheidungen, StrikeGraph.

Gemäß der obigen Tabelle belaufen sich die geschätzten Kosten für die Implementierung von TISAX auf etwa 29,200 bis 75,600 US-Dollar.

Worin besteht der Unterschied zwischen TISAX und ISO 27001?

TISAX ist ein spezialisiertes Sicherheitsframework für die Automobilindustrie, während ISO 27001 ein globaler Standard für das Informationssicherheitsmanagement in allen Branchen ist.

Hier finden Sie weitere Informationen zu den Unterschieden in einer Tabelle:

FaktorTISAXISO 27001
BranchenfokusVorwiegend für die Automobilindustrie, mit Schwerpunkt auf Lieferkettensicherheit und Schutz geistigen EigentumsGilt für alle Sektoren und Branchen weltweit
ZertifizierungsprozessBewertungsbasierte Kennzeichnung mit drei Bewertungsstufen (Selbstbewertung, Fernprüfung, Vor-Ort-Prüfung)Formales Zertifizierungsverfahren, durchgeführt von akkreditierten Stellen
RisikomanagementSchwerpunkt ist das Risikomanagement speziell für den Automobilsektor, wie beispielsweise Lieferkettenrisiken.Allgemeiner Risikomanagementansatz, der branchenübergreifend anwendbar ist
Häufigkeit der BeurteilungJährliche Neubewertungen erforderlichAudits werden in der Regel jährlich oder auf der Grundlage des organisatorischen Risikos durchgeführt.
Globale AnerkennungVor allem im Automobilsektor, insbesondere in Europa, ist es bekannt.Weltweit branchenübergreifend anerkannt.
Dokumentation und UmfangGilt für die gesamte Website ohne AusnahmenErmöglicht die Festlegung eines definierten Perimeters innerhalb einer Organisation
Standards und RahmenwerkBasierend auf den VDA-ISA-Anforderungen, mit zusätzlichen fahrzeugspezifischen SteuerungenInternationaler Standard mit einem umfassenderen Kontrollkatalog, der in Anhang A beschrieben ist
Audit-SharingDie Auswertungsergebnisse werden über die ENX-Plattform mit autorisierten Partnern geteilt.Die Zertifizierung wird öffentlich anerkannt und angezeigt.

Welche Herausforderungen sind bei der Implementierung von TISAX zu erwarten?

Wenn Sie mit TISAX Best Practices Bei der Umsetzung des Prozesses dürften Sie auf wenige Schwierigkeiten stoßen. Es gibt jedoch einige häufige Einschränkungen, über die sich alle teilnehmenden Organisationen beklagen: 

#1. Vermeidung einer überkomplizierten ISMS-Erstellung und -DokumentationDie Erstellung eines ISMS von Grund auf kann mühsam sein. Die TISAX-Anforderungen erfordern eine umfangreiche Dokumentation auf Basis des VDA-ISA-Katalogs, was beträchtliche technische Expertise voraussetzt.

#2. Vermeidung von Sicherheitslücken bei PrototypenTISAX schreibt einen strikten Schutz sensibler Prototypen vor. Die Implementierung der notwendigen Kontrollmechanismen zur Sicherung dieser Daten, einschließlich Zugriffskontrollen und Verschlüsselung, erfordert umfassende Expertise und Ressourcen. 

#3. Beseitigung von Compliance-InkonsistenzenDie Aufrechterhaltung der TISAX-Konformität ist aufgrund der sich ständig weiterentwickelnden Sicherheitsbedrohungen und technologischen Veränderungen eine Herausforderung. Dies erfordert kontinuierliche Audits und Aktualisierungen der Sicherheitskontrollen.

Wie kann Sprinto Sie bei der Einhaltung der TISAX-Richtlinien unterstützen?

Nachdem wir nun wissen, wie man sich auf das TISAX-Framework vorbereitet oder es implementiert, ist es an der Zeit, einen intelligenteren und budgetfreundlicheren Weg einzuschlagen. 

Für Unternehmen, die bereits die ISO 27001-Norm erfüllen, bietet Sprinto die Gewissheit, dass Sie die TISAX-Anforderungen innerhalb weniger Wochen durch die gemeinsame Zuordnung von Kontrollmechanismen erfüllen können. 

Für Einsteiger bietet Sprinto eine Steuerelementbibliothek, die den meisten TISAX-Anforderungen entspricht und es Ihnen ermöglicht, Ihre bestehenden Steuerelemente automatisch den TISAX-Kriterien zuzuordnen. Sie haben außerdem Zugriff auf vorgefertigte Richtlinien und Schulungsmodule, die Sie an Ihre Bedürfnisse anpassen können. 

Das Beste daran ist, dass Sie die Nachweise nicht separat dokumentieren müssen, da die Plattform die Erfassung der TISAX-Nachweise automatisiert und sicherstellt, dass alle notwendigen Dokumente jederzeit verfügbar und aktuell sind. 

Erhalten Sie TISAX, ohne das Kerngeschäft zu beeinträchtigen

Häufig gestellte Fragen

1. Wie lange ist die TISAX-Zertifizierung gültig?

Die TISAX-Zertifizierung ist drei Jahre gültig und erfordert keine jährlichen Überwachungsaudits. Es werden jedoch interne Audits empfohlen, um zu überprüfen, ob alle Kontrollen ordnungsgemäß funktionieren. 

2. Was ist das TISAX-Label?

Das TISAX-Label ist kein herkömmliches Zertifikat, sondern das Ergebnis einer erfolgreichen Bewertung, das über die ENX-Plattform mit Partnern geteilt werden kann, um die Einhaltung der Anforderungen nachzuweisen.

3. Was ist TISAX Level 3?

TISAX Level 3 bezeichnet die höchste Bewertungsstufe, die ein vollständiges Vor-Ort-Audit für Organisationen beinhaltet, die sensible Daten verarbeiten.

4. Wie kann ich die TISAX-Zertifizierung überprüfen?

Organisationen teilen ihre Bewertungsergebnisse üblicherweise über die ENX-Plattform mit autorisierten Partnern, um die TISAX-Zertifizierung zu verifizieren.

5. Ist TISAX ISO 27001-konform?

TISAX ist nicht ISO 27001, sondern baut auf dessen Anforderungen auf und ergänzt diese um fahrzeugspezifische Kontrollen. Während ISO 27001 ein globaler Standard ist, wird TISAX hauptsächlich in der Automobilindustrie eingesetzt.

6. Wie viele Sicherheitskontrollen sind für die TISAX-Konformität erforderlich?

Die genaue Anzahl der für die TISAX-Konformität erforderlichen Sicherheitskontrollen hängt von den Bewertungszielen des Unternehmens ab. TISAX basiert auf dem VDA ISA-Katalog, der spezifische Kontrollen für Automobilzulieferer beschreibt.

Stiefmütterchen
Autorin

Stiefmütterchen

Pansy ist eine ISC2-zertifizierte Content-Marketing-Expertin für Cybersicherheit mit einem Hintergrund in Informatik. Zuletzt hat sie sich bei Sprinto mit der Welt des Marketings aus der Perspektive von GRC (Governance, Risk & Compliance) auseinandergesetzt. In ihrer Freizeit liest sie entweder vertieft politische Romane oder perfektioniert ihre Kochkünste. Manchmal findet man sie auch beim Sonnenbaden am Strand oder beim Wandern durch dichte Wälder.
Haben Sie genug von inhaltsleeren GRC- und Cybersicherheitsthemen? Abonnieren Sie unseren Newsletter und erhalten Sie detaillierte Informationen.
Recherchen und Erkenntnisse, die Ihnen helfen sollen, sich einen Platz am Tisch zu sichern.
Einzel-Blog-Fußzeilenbild