TISAX ist der Informationssicherheitsstandard der Automobilindustrie. Wer als Lieferant oder Dienstleister für OEMs wie BMW, Mercedes oder Volkswagen arbeitet, kommt an TISAX nicht vorbei.
TISAX steht für Trusted Information Security Assessment Exchange und ist der branchenspezifische Informationssicherheitsstandard der Automobilindustrie. Er wurde vom VDA (Verband der Automobilindustrie) entwickelt und basiert inhaltlich auf ISO 27001, ist aber speziell auf die Anforderungen der Automotive-Lieferkette zugeschnitten. Die aktuell gültige Version ist TISAX 6.0.
Die Besonderheit von TISAX liegt nicht nur im Assessment (der strukturierten Prüfung der Informationssicherheit durch eine akkreditierte Stelle), sondern im Exchange-Gedanken: Ergebnisse werden über die ENX-Plattform (European Network Exchange – eine sichere Austauschplattform der europäischen Automobilindustrie) geteilt. Ein Unternehmen lässt sich einmal prüfen und kann das Ergebnis gezielt mit ausgewählten Partnern teilen, statt für jeden Auftraggeber eine separate Prüfung zu durchlaufen.
Wichtig: TISAX stellt kein Zertifikat aus, sondern ein TISAX-Label. Der Unterschied ist nicht nur semantisch: Ein Label ist an einen definierten Geltungsbereich und eine Schutzbedarfsstufe gebunden und gilt drei Jahre. Mehr dazu erklärt unser TISAX-Wissensartikel.
TISAX wird von OEMs (Original Equipment Manufacturer – Fahrzeughersteller wie BMW, Mercedes-Benz, Volkswagen, Audi, Porsche) und Tier-1-Zulieferern (direkte Lieferanten der Fahrzeughersteller) als Voraussetzung für die Zusammenarbeit gefordert. Typische Auslöser sind:
Die Anforderung kommt in der Regel direkt vom Auftraggeber, meist im Rahmen eines neuen Vertrags oder einer Ausschreibung. Ohne gültiges TISAX-Label ist eine Zusammenarbeit in diesen Bereichen nicht möglich.
TISAX basiert auf dem VDA ISA (Information Security Assessment – der Fragenkatalog des VDA zur Bewertung der Informationssicherheit), aktuell in Version 6.0. Die Anforderungen gliedern sich in drei Assessment-Ziele:
Das Standardziel deckt den Schutz vertraulicher Informationen ab. AL 2 (Assessment Level 2 – hoher Schutzbedarf) ist der häufigste Fall und wird remote geprüft. AL 3 gilt für sehr hohen Schutzbedarf und erfordert ein Vor-Ort-Audit durch den Prüfdienstleister.
Für Unternehmen, die physischen Zugang zu Prototypen oder Vorserienfahrzeugen haben. Hier kommen zusätzliche Anforderungen an physische Sicherheit und Fotoschutz hinzu.
Für Unternehmen, die personenbezogene Daten im Auftrag eines Automobilherstellers verarbeiten, kombiniert TISAX die Informationssicherheitsanforderungen mit Datenschutzanforderungen nach DSGVO.
Beim AL 2 führt das Unternehmen zunächst ein Self-Assessment durch, das anschließend von einem zugelassenen TISAX-Prüfdienstleister remote geprüft wird. Beim AL 3 ist ein Vor-Ort-Audit verpflichtend. Das Label wird auf der ENX-Plattform hinterlegt und gilt drei Jahre.
{{isms-check-allgemein="/system/components"}}TISAX ist keine gesetzliche Pflicht, aber eine faktische Marktzugangsvoraussetzung in der Automobilindustrie. Ohne gültiges Assessment-Ergebnis verliert ein Unternehmen Aufträge oder kann bestehende Verträge nicht verlängern. Die Anforderung kommt direkt vom Markt, nicht vom Gesetzgeber.
Digimojo begleitet dich durch den gesamten TISAX-Prozess: von der Lückenanalyse über den Aufbau der erforderlichen Informationssicherheitsmaßnahmen bis zur Vorbereitung auf das Assessment durch den Prüfdienstleister.
Wenn bereits ein ISMS nach ISO 27001 besteht, ist der Weg zu TISAX deutlich kürzer. DigimojoCOMPLY strukturiert die Dokumentation, Risikoanalyse und Maßnahmenverfolgung, die TISAX dauerhaft fordert.
Schreib uns kurz, worum es geht. Wir melden uns innerhalb von 24 Stunden mit konkreten nächsten Schritten.
