Zertifizierung nach TISAX®: Label, Kosten, Ablauf und Vorbereitung

TISAX®: Was ist das?

Die TISAX® Norm definiert die Standards für Informationssicherheits-Management-Systeme (ISMS) in der Automobilindustrie. Es handelt sich dabei um ein Gutachten, das auf der ISO-Norm 27001 basiert. Ziel ist es, sicherzustellen, dass keine unternehmensbezogenen Daten nach außen dringen und bestmöglich geschützt sind. Die ENX Association, der Verband der europäischen Automobilindustrie, verwaltet die TISAX® Marke bereits seit dem Jahr 2000.

Die Zertifizierung nach TISAX® wird durch den ISA-Fragebogen (Information Security Assessment) durchgeführt, den der Verband der Deutschen Automobilindustrie bereitstellt. Im Rahmen des Zertifikats nach TISAX® umfasst der VDA-ISA-Fragenkatalog die drei Bereiche Informationssicherheit, Datenschutz und Prototypenschutz.

Die TISAX® und ihre Bedeutung für Datenschutz und Informationssicherheit

TISAX® (Trusted Information Security Assessment Exchange) ermöglicht denVertretern der Automobilbranche, die Informationssicherheit in ihren Lieferketten zu überprüfen und sicherzustellen und damit auch einen wichtigen Beitrag zum Schutz ihrer Daten zu leisten.

Ähnlich wie die ISO 27001 sorgt dieser Standard dafür, dass die Unternehmen der Branche die hohen Sicherheitsstandards einhalten, die Hersteller und Zulieferer für eine Zusammenarbeit fordern. Eine Zertifizierung zeigt, dass Unternehmen ein effektives Informationssicherheits-Managementsystem (ISMS) implementiert haben und es kontinuierlich überwachen und verbessern, um sensible Unternehmensinformationen zu verwalten und zu schützen.

Welche Unterschiede zwischen TISAX® und ISO 27001 bestehen, erfahren Sie in unserem Vergleich der beiden Sicherheitsnormen.

Warum braucht die Automobilindustrie ein eigenes Label?

Die Automobilindustrie ist eine der innovativsten und dynamischsten Branchen. Jedes neue Fahrzeugmodell, jede neue Technologie wird von großen Teams entwickelt, die hohe Sicherheitsstandards erfüllen müssen, um Datenlecks und Reputationsschäden zu verhindern. Daher sind Informationssicherheit und Datenschutz in der Automobilindustrie von entscheidender Bedeutung. Unternehmen arbeiten dabei mit zahlreichen sensiblen Daten, zum Beispiel Entwicklungspläne und Kundeninformationen. Zum Schutz dieser Informationen ist es wichtig, dass die Unternehmen strenge Anforderungen erfüllen.

Deshalb hat die Branche die Zertifizierung nach TISAX® (Trusted Information Security Assessment Exchange) eingeführt, die auf dem ISO 27001-Standard basiert. Dieser europäische Prüfmechanismus stellt sicher, dass alle Partner und Zulieferer höchste Sicherheitsstandards einhalten und keine sensiblen Daten öffentlich werden.

Unternehmen, die nach TISAX® zertifiziert sind, können also eine Reputation als sicherer Partner aufbauen und das Vertrauen ihrer Geschäftspartner und Kunden in ihre Geschäftspraktiken stärken. Gleichzeitig gibt ihnen die Zertifizierung die Mittel an die Hand, um IT- und Datenschutzrisiken zu minimieren.

Anforderungen für die Zertifizierung nach TISAX®

Grundsätzlich ist jedes Unternehmen in der Lage, die TISAX®-Norm zu erfüllen – mit ausreichender Vorbereitung. Je nach Unternehmensgröße steigt auch der Aufwand zur Erfüllung der TISAX®-Anforderungen. Denn je größer ein Unternehmen ist, desto komplexer sind auch die Prozesse, die zur Einhaltung der Vorgaben optimiert werden müssen. Die Prozesse innerhalb des Unternehmens müssen sich an die Anforderungen des vorgesehenen ISMS anpassen und dieses erfüllen. Häufig müssen die Standards der ISO 27001 in Grundzügen erfüllt werden, in einigen Bereichen gelten weiterreichende Anforderungen. Mehr über die TISAX®-Anforderungen lesen sie hier.

Welche TISAX®-Level gibt es?

Welche Anforderungen genau erfüllt werden müssen, ist vor allem davon abhängig, welches Assessment-Level bei der Zertifizierung nach TISAX® erreicht werden soll. Grundlage für alle Level ist der TISAX®-Fragenkatalog des Verbands der Automobilindustrie (VDA). Die Schutzanforderungen werden in 3 Schutzniveaus gegliedert:

Für Level 1 ist eine Selbstauskunft über den Fragenkatalog ausreichend. In Level 2 werden Prüfdienstleister der ENX Association eingeschaltet, die die Angaben kontrollieren. Dies findet nur auf Nachfrage zu Angaben in der Selbstauskunft statt. Die Überprüfung der Angaben kann sowohl vor Ort als auch ortsunabhängig erfolgen. Bei hohem Schutzbedarf in Level 3 sind die Prüfdienstleister ausschließlich vor Ort tätig und verifizieren die Angaben in allen Bereichen.

Mehr über den TISAX®-Fragenkatalog erfahren Sie hier.

Kostenüberblick: Welcher Aufwand ist mit der Zertifizierung nach TISAX® verbunden?

Wie in vielen anderen Bereichen gilt auch bei den Kosten der Zertifizierung: Wie hoch die Investition am Ende ausfällt, hängt von zahlreichen Faktoren ab. Da jedes Unternehmen einzigartig ist, verlaufen die Umsetzung von Maßnahmen vor der Zertifizierung sowie der Prozess der Prüfung in jeder Organisation entsprechend anders.

Grundsätzlich spielen bei den Kosten einer Zertifizierung nach TISAX® folgende Faktoren eine Rolle:

• die Unternehmensgröße
• der Umfang der zu prüfenden Bereiche (Scope)
• die Dauer des TISAX® Prozesses
• der Prüfungsdienstleister 

Für kleine Unternehmen fallen die Kosten in der Regel niedriger aus, da ihr Scope im Vergleich zu großen Konzernen meist begrenzt ist. Große Unternehmen müssen hingegen tiefer in die Tasche greifen, da sie oft mehrere Standorte und umfangreichere IT-Systeme in die Prüfung einbeziehen. Verschiedene Quellen geben für die Kosten eine grobe Spanne von im Schnitt 10.000 bis über 200.000 Euro an.

Die TISAX®-Kosten im Detail

Ob Großkonzern oder KMU: Für das Vorbereiten und Bestehen der Prüfung nach TISAX® müssen Unternehmen mit verschiedenen Ausgaben rechnen, und zwar für

• interne Ressourcen
• externe Beratung
• Prüfungsgebühren

Interne Kosten entstehen unter anderem dafür, dass Ressourcen für die Vorbereitung auf die Prüfung benötigt werden, zum Beispiel für interne Bewertungen, die Schulung der Mitarbeiter, die Implementierung von Sicherheitsmaßnahmen, eine Selbsteinschätzung, GAP-Analysen, um bestehende Sicherheitslücken zu identifizieren, die Einführung von Richtlinien und ihre Einhaltung oder Maßnahmen, um interne Prozesse zu aktualisieren. 

Gut zu wissen: Die Selbsteinschätzung hilft dabei, den aktuellen Stand der Informationssicherheit zu bewerten und notwendige Verbesserungen zu planen.

Viele Unternehmen vertrauen bei der Vorbereitung auf die Zertifizierung auf das Fachwissen externer Berater, deren Aufwand ebenfalls einkalkuliert werden muss. Im Zusammenhang mit der Prüfung durch einen zertifizierten Dienstleister sind zum Beispiel Anmeldegebühren zu zahlen sowie Gebühren für die einzelnen Prüfschritte. 

Die Kosten für Auditierungsdienste variieren je nach Prüfungsdienstleister und Umfang der Prüfung und umfassen die eigentliche Auditierung sowie die Ausstellung des TISAX® Labels. Sie hängen auch davon ab, wie viele Standorte am Audit beteiligt sind.

Diese Kosten sparen Sie durch TISAX®

Allerdings sollten Unternehmen sich bewusst sein, dass ihnen durch die Zertifizierung nicht nur Kosten entstehen, sondern sie auf der anderen Seite Kosten sparen können. Dazu gehören zum Beispiel die Beiträge für eine Cyberversicherung, die Unternehmen gegen Bedrohungen aus dem Cyberraum absichert. Außerdem lassen sich mit einem ISMS Sicherheitslücken schließen und damit verbundene Finanzrisiken reduzieren.

Langfristige Kosten und Nachzertifizierung

Auch nach bestandener Prüfung müssen Unternehmen mit laufenden Kosten rechnen. Denn um die Zertifizierung zu behalten und mit möglichst wenig Aufwand zu erneuern, müssen Unternehmen ihr ISMS regelmäßig auf Schwachstellen prüfen und es kontinuierlich verbessern. 

Zertifikate nach TISAX® haben eine Gültigkeit von drei Jahren. Eine Re-Zertifizierung ist notwendig, um sicherzustellen, dass die Sicherheitsstandards weiterhin eingehalten werden. Der Aufwand für Re-Zertifizierungen kann je nach Änderungen in der Unternehmensstruktur oder IT-Landschaft variieren.

Ablauf der Zertifizierung nach TISAX®

Die Zertifizierung nach TISAX® folgt einem klar strukturierten Prozess, der im TISAX®-Teilnehmerhandbuch der ENX Association ausführlich beschrieben ist. Dieser Zusammenschluss europäischer Automobilhersteller verwaltet den TISAX® Standard und ist unter anderem für die Akkreditierung von Prüfdienstleistern verantwortlich.

Übrigens: Ein "TISAX®-Zertifikat" gibt es nicht, der Begriff ist also zunächst einmal etwas irreführend. Stattdessen erhalten Unternehmen nach Erfüllung aller Anforderungen ein Gutachten und ein Label, mit dem sie werben können. Die Unternehmen werden zudem in eine von der ENX Association geführte Datenbank eingetragen, auf die alle Teilnehmer Zugriff haben.

Im Folgenden sind die drei wesentlichen Schritte des Zertifizierungsprozesses beschrieben.

1. Registrierung

Im ersten Schritt registrieren Sie Ihr Unternehmen für die Prüfung. Die kostenpflichtige Registrierung können Sie bequem über das Online-Portal der ENX Association vornehmen. Dafür sind Angaben zum Unternehmen notwendig. 

Außerdem müssen Sie einen Scope für die Prüfung definieren und festlegen, wie umfangreich die Informationssicherheitsprüfung sein soll. Unternehmen müssen mindestens ein Prüfziel auswählen.

2. Prüfung

Im nächsten Schritt bereiten Sie Ihr Unternehmen auf das Assessment vor. Dazu gehört unter anderem eine Selbsteinschätzung, um den aktuellen Stand der Informationssicherheit zu bewerten und gegebenenfalls Maßnahmen zur Schließung von Lücken zu planen. Die Basis dafür ist der ISA (Information Security Assessment) – der Kriterienkatalog des VDA.

In der Vorbereitung auf das Audit werden dann die identifizierten Lücken geschlossen und notwendige Dokumentationen erstellt. Anschließend wählen Sie einen von der ENX anerkannten Prüfungsdienstleister, der eine Erstprüfung durchführt. Der Dienstleister prüft vor Ort die implementierten Sicherheitsmaßnahmen und bewertet sie.

Es gibt drei verschiedene Arten der Prüfung:

• Erstprüfung
• Maßnahmenplanprüfung
• Follow-up-Prüfung

Im Anschluss an die Erstprüfung erstellt der Auditor einen Bericht, der die Ergebnisse des Audits zusammenfasst. Ziel der Prüfung nach TISAX® ist es, zu bestätigen, dass Ihr Informationssicherheitsmanagementsystem alle definierten Anforderungen erfüllt.

Gibt es Abweichungen, müssen Sie nachbessern und weitere Prüfschritte durchlaufen. Der dafür notwendige Plan ist der Maßnahmenplan. Mit einer Maßnahmenplanprüfung stellen Sie sicher, dass Ihr Plan die Anforderungen der TISAX® erfüllt.

Im Rahmen der Follow-up-Prüfung wird dann festgestellt, ob die Abweichungen durch Ihre festgelegten Maßnahmen beseitigt sind. Für die Beseitigung haben Sie neun Monate Zeit. Ist diese Zeit verstrichen, müssen Sie erneut eine Erstprüfung durchführen lassen.

3. Austausch

Bei erfolgreich abgeschlossenem Audit wird das TISAX® Label ausgestellt. Es bescheinigt Ihnen, dass Ihre Organisation die erforderlichen Sicherheitsstandards erfüllt und darf mit Ihren Partnern geteilt werden. Sie erhalten außerdem einen „TISAX® Assessment Bericht“, den der Prüfer mit Ihnen abstimmt.

Das Prüfergebnis ist drei Jahre lang gültig und muss dann proaktiv erneuert werden. Die ENX empfiehlt, den neuen Prozess mindestens ein Jahr vor Ablauf des Labels zu starten. Denn für die erneute Zertifizierung müssen wieder alle drei Schritte der Zertifizierung durchlaufen werden. Das bedeutet auch, dass damit neue Kosten auf Sie zukommen.

Wie lange dauert die Prüfung nach TISAX®?

Die Dauer des TISAX® Zertifizierungsprozesses variiert je nach Größe des Unternehmens und Prüfumfangs. Im Durchschnitt dauert der Prozess von der Vorbereitung bis zur Zertifizierung etwa sechs bis 18 Monate. Je nach Unternehmensgröße sind die Kosten für eine Zertifizierung nach TISAX® unterschiedlich hoch. Entscheidend dafür ist, was im Unternehmen bereits umgesetzt wurde und was noch fehlt. 

Je länger der Zertifizierungsprozess dauert, desto höher fallen die Kosten am Ende aus. Deshalb sollten Unternehmen eine möglichst effiziente Durchführung der Zertifizierung anstreben und sich gut auf die Prüfung vorbereiten.

Vorbereitung auf die Prüfung nach TISAX®: Ihre Chance, Kosten zu sparen

Um die Kosten für eine Zertifizierung nach TISAX® zu minimieren, sollten Unternehmen sich darauf konzentrieren, die Prüfung gründlich vorzubereiten. Das bedeutet unter anderem, dass sie frühzeitig mit der Selbsteinschätzung beginnen sollten, um potenzielle Sicherheitslücken zu identifizieren.

So bereiten Sie sich optimal vor:

• Informieren Sie sich ausführlich über Ihre Rechte und Pflichten im Verfahren nach TISAX®.
• Registrieren Sie Ihr Unternehmen für das TISAX®-Assessment.
• Bearbeiten Sie den VDA-Fragebogen zum Self-Assessment (Selbsteinschätzung) und wählen Sie einen Prüfdienstleister aus.
• Optimieren Sie bei Bedarf die erkannten Schwachstellen

Nach erfolgreicher Prüfung erhalten Sie das TISA-Label und werden in die TISAX®-Datenbank der ENX Association eingetragen.

Es empfiehlt sich, interne Arbeitsgruppen zu bilden und klare Verantwortlichkeiten festzulegen. Der Einsatz von Checklisten und standardisierten Prozessen kann ebenfalls helfen, den Aufwand zu reduzieren.

Auch der Austausch mit anderen zertifizierten Unternehmen kann wertvolle Einblicke und Best Practices liefern. Für viele Unternehmen hat sich außerdem die Zusammenarbeit mit spezialisierten Experten als hilfreich erwiesen.

Mit unserer Hilfe die TISAX®-Zertifizierung korrekt umsetzen

Bei proliance.ai erhalten Sie als Anwärter auf eine Zertifizierung nach TISAX® das notwendige Fachwissen und Unterstützung, um den Weg zu einem robusten Informationssicherheitsmanagement möglichst effizient beschreiten zu können. Ein persönlicher ISMS-Berater hilft Ihnen, den Fokus zu behalten und bereitet Ihr Unternehmen effizient auf die Zertifizierung nach TISAX® vor.

Auch nach bestandener Zertifizierung ist die ISMS-Lösung ein hilfreicher Begleiter und informiert Sie beispielsweise proaktiv über Gesetzesänderungen und gibt konkrete Handlungsempfehlungen.

Erfahren Sie mehr über InfoSec – die effiziente Lösung für alle, die Zeit und Geld auf dem Weg zum TISAX® Label sparen möchten.

{{infobox}}

Fazit: Mit guter Vorbereitung zum Prüfungserfolg

Die Zertifizierung nach TISAX® sorgt für einheitliche Standards in der Informationssicherheit und im Datenschutz in der Automobilbranche. Obwohl sie nicht gesetzlich vorgeschrieben ist, wird sie von den meisten Unternehmen erwartet und ist entscheidend für die Marktakzeptanz und Zusammenarbeit in der Branche. Jeder Betrieb, unabhängig von seiner Größe, sollte sich der Bedeutung von TISAX® für die eigene Datensicherheit und Wirtschaftlichkeit bewusst sein.

Eine Zertifizierung nach TISAX® ist ein komplexer Prozess. Durch eine sorgfältige Planung und effiziente Vorbereitung können Sie die Kosten im Griff behalten und die Informationssicherheit in Ihrem Unternehmen nachhaltig verbessern.

Die ISMS-Profis von proliance.ai helfen Ihnen dabei und behalten neben der Informationssicherheit auch Ihren Datenschutz im Blick.