TISAX®-Assessment: Informations­sicherheit in der Automobil­industrie | Bureau Veritas


Höchste Informationssicherheit für Zulieferer und Dienstleister der Automobilindustrie 

Tagtäglich werden in der Automobilindustrie riesige Datenmengen erstellt und über den gesamten Lebens­zyklus hinweg ausgetauscht. Je stärker die Vernetzung dabei voranschreitet, desto höher ist der Bedarf an Informationssicherheit und Datenschutz. 

Mit einem TISAX®-Assessment zeigen Sie als Zulieferer oder Dienstleister der Automobilbranche, dass Sie den Schutz sensibler Daten ernst nehmen und den hohen automobilspezifischen Anforderungen an Infor­mations­sicherheit des Verbandes der Automobilindustrie (VDA) sowie der ENX Association gerecht werden

Als international anerkanntes Label gilt TISAX® häufig als Grundvoraussetzung für Geschäftsbeziehungen. Wer mit den großen Automobilherstellern zusammenarbeiten möchte, muss die Einhaltung der erforderlichen Sicherheitsstandards demnach durch ein TISAX®-Assessment nachweisen. 

 Wirksamer Schutz vertraulicher Informationen
 Objektiver Nachweis über die Erfüllung der Anforderungen des VDA & der ENX Association
 Verbesserte Chancen bei Projekten, die eine TISAX®-Konformität voraussetzen
 

Jetzt Kontakt aufnehmen
Vorschaubild des Whitepapers

Kostenloses Whitepaper "TISAX®: Technical Guide"

TISAX® verstehen & umsetzen: Erhalten Sie in unserem englischsprachigen Whitepaper fundierte Einblicke in die technischen Anforderungen des führenden Standards für Informationssicherheit in der Automobilindustrie. 

Zum Download

Was ist TISAX®?

TISAX® steht für Trusted Information Security Assessment Exchange und ist ein Prüf- und Austauschmechanismus für Informationssicherheit unter Trägerschaft der ENX Association, der speziell auf die Wertschöpfungskette der Automobilindustrie zugeschnitten ist. Denn insbesondere in der Automobilbranche, in der sensible Informationen und Daten zwischen Zulieferern, Lieferanten und OEMs ausgetauscht werden, muss Informationssicherheit entlang der gesamten Lieferkette gewährleistet werden.

Der Standard basiert auf den Anforderungen der ISO 27001, ergänzt um den vom Verband der Automobilindustrie e. V. (VDA) entwickelten Katalog zur Bewertung der Informationssicherheit (ISA).


TISAX®: Der weltweit führende Standard für Informationssicherheitsmanagement in der Automobilindustrie

Fertigungsstraße für Autos, die aus der Vogelperspektive zu sehen ist.

Lange Zeit waren Dienstleister und Zulieferer der Automobilindustrie internen Audits nach ISO/IEC 27001 ausgesetzt. Dies hatte zur Folge, dass sie sich je nach Kundenwunsch in recht kurzen Abständen mehreren identischen Prüfprozessen unterziehen mussten. 

Mit TISAX® gehören kosten- und zeitaufwendige Mehrfachprüfungen der Vergangenheit an. Durch den auf gemeinsamen Prüf- und Austausch­mechanismen basierenden Anforderungskatalog sind sämtliche Standards optimal und DSGVO-konform abgedeckt.

Ihre Vorteile durch ein TISAX®-Assessment

  • Verbesserter Marktzugang

    Für viele OEMs ist ein gültiges TISAX®-Label eine notwendige Voraussetzung für die Zusammen- arbeit.

  • Stärkung von Vertrauen

    Durch einen umfassenden Ansatz zum Datenschutz erhöhen Sie das Vertrauen Ihrer Kunden.

  • Höhere Infor- mationssicherheit

    Mit der Implementierung eines TISAX®-konformen ISMS verbessern Sie Ihre Informations- sicherheit.

  • Reduzierung von Risiken

    TISAX®-Assessments helfen dabei, das Risiko von Sicher- heitsvorfällen und Cyberangriffen zu minimieren.

  • Zeit- & Kosten- ersparnis

    Dank der übergreifenden Anerkennung des TISAX®-Assessments sparen Sie Zeit und Geld.

  • Erfüllung von Anforderungen

    Sie gehen auf Kundenbedürfnisse ein und setzen die Anforderungen des VDA sowie der ENX Association erfolgreich um.

  • Wegfall Mehr- fachprüfungen

    Durch ein TISAX®-Assessment vermeiden Sie aufwendige Doppel- oder gar Mehrfachprüfungen.

  • Branchenweite Anerkennung

    TISAX® gilt als der branchenweite Referenzstandard für die Zertifizierung in der Automobil- industrie.

.

An einem TISAX®-Assessment interessiert?

Jetzt Kontakt aufnehmen


Mögliche Prüfziele nach TISAX®

Das festgelegte Prüfziel dient als Maßstab für die Implementierung und Bewertung Ihres Informations­sicherheits­managementsystems. Es muss mindestens ein Prüfziel ausgewählt werden. Es können aber auch mehrere Prüfziele miteinander kombiniert werden. 

Prüfziel

Definition

Assessment Level (AL)


Confidential
Informationen, die einen hohen Schutzbedarf bezüglich Vertraulichkeit haben oder gemäß dem eigenen Klassifikationsschema typischerweise als vertraulich eingestuft sind
AL2
Strictly confidentialInformationen, die einen sehr hohen Schutzbedarf bezüglich Vertraulichkeit haben oder gemäß dem eigenen Klassifikationsschema als streng vertraulich oder geheim eingestuft sindAL3
High availabilityUnternehmen, bei denen von der Verfügbarkeit ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit ihrer Kunden abhängtAL2
Very high availabilityUnternehmen, bei denen von der kurzfristigen Verfügbarkeit ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit ihrer Kunden abhängtAL3
Proto partsSchutz von Prototypenbauteilen und -komponentenAL3
Proto vehiclesSchutz von PrototypenfahrzeugenAL3
Test vehiclesUmgang mit ErprobungsfahrzeugenAL2
Proto eventsSchutz von Prototypen während Veranstaltungen und Film- und FotoshootingsAL2
DataDatenschutz gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)AL2
Special dataDatenschutz gemäß Artikel 28 („Auftragsverarbeiter“) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegebenAL3

 

Ihr Weg zum TISAX®-Label: Ablauf eines TISAX®-Assessments

  • Registrierung

    Online-Registrierung auf der ENX-Plattform

    Blick über die Schulter eines Manns, der vor sich einen Bildschirm stehen hat, auf dem ein Registrierungsbildschirm zu sehen ist.

    Der TISAX®-Prozess beginnt zumeist damit, dass Sie durch einen Ihrer (potenziellen) Partner aufgefordert werden, ein bestimmtes Sicherheitsniveau nachzuweisen. Welches Label dabei konkret benötigt wird, ist in der Regel abhängig von den auszutauschenden Informationen.

    Der erste wesentliche Schritt auf Ihrem Weg zum TISAX®-Label ist dann die TISAX®-Registrierung. Sie ist die Voraussetzung für alle weiteren Schritte und beinhaltet beispielsweise die Angabe von Kontaktdaten und Abrechnungsinformationen sowie die Festlegung des Scopes der Informationssicherheitsprüfung. 

    Alle wichtigen Informationen rund um die Registrierung finden Sie im kostenfreien TISAX-Teilnehmerhandbuch

  • Auswahl

    Auswahl & Beauftragung einer anerkannten Prüfstelle

    Blick durch ein Autofenster. Dahinter geben sich zwei Personen die Hand.

    Im Anschluss an die Erstregistrierung erfolgt die Auswahl und Beauftragung eines durch die ENX Association anerkannten Prüfdienstleisters wie Bureau Veritas

  • Prüfung

    Durchlaufen des Prüfprozesses

    Person mit Tablet in der Hand steht vor dem Hologram eines Autos.

    Auf die Beauftragung der anerkannten Prüfstelle folgt der eigentliche TISAX®-Prüfprozess. Er beginnt mit einem Kick-off-Meeting, in dem weitere Einzelheiten besprochen werden. Dieses wird in der Regel 4 bis 6 Wochen vor dem Audit angesetzt. Das Audit wiederum erfolgt in zwei Stufen: 

    Assessment-Phase 1: Unsere Experten prüfen die von Ihnen ausgestellte Selbstauskunft. Diese dient als Basis für die Planung der sich anschließenden Assessment-Phase 2. 

    Assessment-Phase 2: In Abhängigkeit von Ihren festgelegten Prüfzielen und dem angestrebten Assessment Level führen unsere Experten die Prüfung durch. Diese besteht in der Regel aus Telefonkonferenzen, Vor-Ort-Interviews und Vor-Ort-Prüfungen unterschiedlicher Tiefe. 

  • Austausch

    Austausch der Prüfergebnisse mit ausgewählten TISAX®-Teilnehmenden

    Zwei Männer stehen zwischen zwei Autos und schauen gemeinsam auf ein Tablet.

    Damit Ihr (potenzieller) Partner letztendlich auch einen Nachweis darüber hat, dass Ihr bestehendes ISMS in der Lage dazu ist, seine vertraulichen Daten zu schützen, umfasst der letzte Schritt des TISAX®-Prozesses den Austauch der Prüfergebnisse. 

    Wir laden die ersten beiden Abschnitte (A und B) Ihres „TISAX Assessment Berichts“ im ENX-Portal hoch. Diese sind initial nur für Sie einsehbar. Über Ihren Account entscheiden Sie dann selbst, mit wem Sie Ihr Prüfergebnis teilen möchten. 

Häufig gestellte Fragen (FAQ) zum TISAX®-Assessment

  • Welche Unternehmen benötigen ein TISAX®-Label?

    Grundsätzlich richtet sich TISAX® an alle Dienstleister und Zulieferer in der Automobilbranche, die sensible Kundendaten und unternehmensinterne Informationen bestmöglich schützen und regelmäßig Nachweise darüber erbringen müssen. 

    Der jeweilige Assessment-Umfang lässt sich dabei an den individuellen Bedarf anpassen. 

  • Wie läuft der TISAX®-Prozess ab?

    Grundsätzlich werden gemäß TISAX® zwei Rollen voneinander unterschieden: 

    • Aktiver Teilnehmer (z. B. Zulieferer): Wird TISAX®-geprüft und teilt sein Prüfergebnis mit anderen Teilnehmern.
    • Passiver Teilnehmer (z. B. Fahrzeughersteller): Verlangt eine TISAX®-Prüfung und erhält das Prüfergebnis. 


    Der TISAX®-Prozess beginnt damit, dass ein passiver Teilnehmer von einem aktiven Teilnehmer einen Nachweis über die Einhaltung eines bestimmten Prüfziels fordert. Um diesen zu erbringen, lässt der aktive Teilnehmer ein TISAX®-Assessment durchführen. 

    Angelehnt an den individuellen Schutzbedarf erhält er vom gewählten Prüfdienstleister, z. B. Bureau Veritas, auf seine definierten Ziele zugeschnittene Assessments gemäß eines vordefinierten Leistungsumfangs. Die Auditoren führen die Prüfung gemäß des festgelegten Prüfziels und dem angestrebten Assessment Level durch und erstellen anschließend einen detaillierten Assessmentbericht. 

    Nachdem etwaige Nichtkonformitäten TISAX®-gerecht behoben wurden, steht dem finalen Label nichts mehr im Wege. Abschließend kann der aktive Teilnehmer die Ergebnisse über das Online-Portal mit dem passiven Teilnehmer teilen. 

  • Was kostet ein TISAX®-Assessment?

    Die Frage nach den Kosten für ein TISAX®-Assessment lässt sich nicht pauschal beantworten, da diese letztendlich von verschiedenen Faktoren beeinflusst werden. Darunter zum Beispiel die Unternehmensgröße und -organisation, gewähltes Assessment-Level oder Anzahl der Standorte. 

  • Wie oft müssen TISAX®-Assessments durchgeführt werden?

    Die Ergebnisse eines TISAX®-Assessments sind 3 Jahre lang gültig

    Im Anschluss daran muss ein erneutes Assessment durchgeführt werden, um das TISAX®-Label zu aktualisieren.

  • Was sind die Voraussetzungen für ein TISAX®-Assessment?

    Sie haben ein Informationssicherheitsmanagementsystem (ISMS) gemäß den Anforderungen des ISA-Kataloges vollständig implementiert

    Sie haben sich im Online-Portal der ENX Association registriert. Dies ist der notwendige erste Schritt, um einen Prüfdienstleister zu beauftragen. 

    Sie haben eine Selbstbewertung nach TISAX® vorgenommen, da diese die Grundlage für die Durchführung eines TISAX®-Assessments darstellt.

  • TISAX® vs. ISO 27001: Wo liegen die Unterschiede?

    Beide Standards sind vollständig komplementär. 

    Der internationale Standard ISO 27001 konzentriert sich auf die Organisation und ihre Struktur, während TISAX® sich auf Themen fokussiert, die speziell für die Informationssicherheit in der Automobilindustrie relevant sind.

     

    ISO 27001

    TISAX®


    Zielgruppe
    Unternehmen aller Branchen weltweit
    Zulieferer und Dienstleister der Automobilindustrie
    HerausgeberInternational Organization for Standardization (ISO)ENX Association im Auftrag des VDA (Verband der Automobilindustrie)
    ZertifizierungOffizielle Zertifizierung durch akkreditierte StellenKeine klassische Zertifizierung
    TISAX®-Label, sichtbar für registrierte Teilnehmer
    FokusAllgemeine InformationssicherheitSpezifische Anforderungen an Informationssicherheit in der Automobilindustrie
    AnwendungsbereichFokus kann auf Teilbereiche, einzelne Prozesse oder Produkte gelegt werdenFokus liegt auf dem gesamten Unternehmen 
    AnforderungenImplementierung und Betrieb eines ISMS gemäß den Anforderungen der ISO 27001Implementierung und Betrieb eines ISMS gemäß den Anforderungen des VDA-ISA-Katalogs
    Gültigkeit3 Jahre mit jährlichen Überwachungsaudits3 Jahre 
    Verhältnis zueinanderISO 27001 ist unabhängig, aber Grundlage für TISAX® TISAX®  basiert auf ISO 27001

  • TISAX® & NIS2: Erfüllen Unternehmen mit TISAX® die Anforderungen der NIS2-Richtlinie?

    Die ENX Association hat analysiert, inwieweit die Anforderungen der NIS2-Richtlinie durch ein TISAX®-Assessment bereits abgedeckt sind. Das Ergebnis: Alle relevanten Anforderungen von NIS2 werden durch den internationalen Automobilstandard adressiert. 

    Aus Sicht der Experten belegt ein entsprechendes TISAX®-Label, dass das geprüfte Unternehmen:

    • der in NIS2 Artikel 20 geforderten Verantwortung gerecht wird und
    • alle in Artikel 21 geforderten Risiko-Management-Maßnahmen nach Stand der Technik umgesetzt hat.*

    Zudem geht TISAX® zum Teil über die gesetzlichen Mindestanforderungen hinaus.

    In Bezug auf die jeweilige nationale Umsetzung von NIS2 sind ergänzende Anforderungen zu berücksichtigen, wie z. B. länderspezifische Meldepflichten. Vorhandene TISAX®-Strukturen helfen jedoch dabei, diese Anforderungen erfolgreich in ein wirksames Managementsystem der Informationssicherheit zu integrieren.

    * Vorausgesetzt die Prüfziele reflektieren das Gesamtrisiko und alle Unternehmensstandorte waren Teil der Prüfung.


Warum ein TISAX®-Assessment durch Bureau Veritas?

Icon-Darstellung einer Medaille mit Stern in der Mitte

Offizieller TISAX®-Prüfdienstleister

Bureau Veritas Certification ist offiziell von der ENX Association für die Durchführung von TISAX®-Assessments anerkannt. Damit bieten wir weltweit TISAX®-Assessments durch TISAX®-anerkannte Auditoren an.
Icon-Darstellung eine Stempels hinter dem ein Haken zu sehen ist.

Umfassendes Know-how

Dank jahrzehntelanger Erfahrung in der Zertifizierung verfügen wir über umfangreiches Know-how. Mit mehr als 150.000 ausgestellten Zertifikaten in 150 Ländern gilt Bureau Veritas Certification als Branchen-Weltmarktführer.
Icondarstellung, die eine Hand zeigt, die eine Weltkugel in der Hand hält.

Internationale Anerkennung

Bureau Veritas Certification ist weltweit von mehr als 85 nationalen sowie internationalen Akkreditierungsgesellschaften anerkannt und bietet Kunden damit internationale Versiertheit, gepaart mit eingehenden lokalen Kenntnissen.
Iconhafte Darstellung von Personen

Breiter Auditorenpool

Mit über 7.400 hochqualifizierten Auditorinnen und Auditoren verfügen wir über einen umfang- reichen Auditorenpool, um Unternehmen effizient und zeitnah betreuen zu können – in allen Branchen, rund um den Globus.
Icon-Darstellung eines Gebäudes

Leistungen für Unternehmen aller Größenordnungen

Von KMU bis Großkonzern: Unabhängig von ihrer Art und Größe bieten wir Unternehmen die zu ihrem Bedarf passenden Lösungen und Dienstleistungen an.
Icon-Darstellung von einer Hand, die eine Waage in der Hand hält.

Integrität durch Unabhängigkeit

Unabhängigkeit zählt zu unseren zentralen Grundwerten und ist ein Schlüsselelement unseres Ethikkodex. So stellen wir sicher, dass alle unsere Auditoren weltweit ihre Unparteilichkeit und Integrität wahren.

.

An einem TISAX®-Assessment interessiert?

Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren