TISAX®- Assessment - Informationssicherheit in der Automobilindustrie

Sie sind Zulieferer oder Dienstleister für die Automobilindustrie? Dann müssen Sie den Nachweis über die Sicherheit, der Ihnen von Auftraggebern überlassenen sensiblen Informationen künftig nur noch einmal alle 3 Jahre erbringen – als Teilnehmer am TISAX®-Verfahren über ein entsprechendes Assessment. Das Verfahren ist branchenübergreifend anwendbar und definiert Anforderungen zur Informationssicherheit in Ihrem Unternehmen.

Gegenseitige Anerkennung unter allen TISAX®-Teilnehmern

Lieferanten und Dienstleister gewinnen mehr Vertrauen in Ihr geprüftes Unternehmen

Die Prüfung zur TISAX® Zertifizierung erfolgt nur alle 3 Jahre

Einsparung von Zeit und Kosten als Mitglied im TISAX®-Netzwerk

Beschreibung Standard/Regelwerk
Loading...

Grundlegende Informationen zum TISAX® Assessment

TISAX® ist ein gemeinsames Prüf- und Austauschverfahren für den Automobilbereich. Es basiert auf dem vom VDA-Arbeitskreis „Informationssicherheit“ entwickelten Fragenkatalog (ISA – Information Security Assessment), der wiederum auf wesentlichen Aspekten der internationalen Norm ISO/IEC 27001 basiert und um ein Reifegradmodell erweitert wurde.

Zudem haben die zuständigen Gremien beim Verband der Automobilindustrie (VDA) die Voraussetzungen geschaffen, um den gemeinsamen Prüf- und Austauschmechanismus unter der Bezeichnung TISAX® (Trusted Information Security Assessment eXchange) zu etablieren. TISAX® ist eine eingetragene Marke der ENX Association. Der Zusammenschluss europäischer Automobilhersteller, Automobilzulieferer und Automobilverbände überwacht die Qualität der TISAX® Assessments und steuert die Zulassung der TISAX®-Prüfdienstleister.

Mit über 10.000 Standorten, die nach TISAX® bewertet wurden, ist dieser Standard nach ISO 27001 das am zweithäufigsten verwendete Regelwerk für Informationssicherheit weltweit. Infolgedessen wurden von VDA und ENX internationale Arbeitsgruppen für TISAX® und den ISA-Katalog gebildet, um die Zukunft des Standards gemeinsam weiterzuentwickeln und eine engere Zusammenarbeit mit der Automobilindustrie zu fördern.

Mehrwert
Loading...

TISAX® 2.2 – verbindlich ab 01. April 2024

Am 16. Oktober 2023 veröffentlichte die ENX die lang erwartete endgültige Version des ISA-Katalogs 6.0 in englischer Sprache. Die Umstellung auf die neue Version 6.0 wird am 1. April 2024 erfolgen.

Hinweis zur Umstellung: Neue TISAX®-Assessments, die bis zum 31. März 2024 beauftragt werden, können nach der alten ISA-Version 5.1 durchgeführt werden. Ab dem 1. April 2024 werden neue TISAX®-Verfahren gemäß der ISA-Version 6.0 durchgeführt. Prüfungsaktivitäten, die von bestehenden Prüfungen abhängen, wie Corrective-Action-Plan Assessments, Follow-Ups, Scope-Extension Assessments oder Simplified Group Assessments, werden weiterhin gemäß der Version durchgeführt, nach der die ursprüngliche Prüfung erfolgt ist.

Der neue ISA-Katalog 6.0 markiert einen bedeutenden Meilenstein für TISAX®. Dies führt zu Anpassungen in den Anforderungen für Audit Provider, die im Rahmen der TISAX® ACAR 2.2-Verordnungen festgelegt wurden. Die Umstellung des ISA-Katalogs auf Englisch als Hauptsprache unterstreicht die globale Perspektive und die gemeinsamen Bemühungen für eine weltweite Weiterentwicklung des Anforderungskatalogs.

Die wesentlichen Änderungen im neuen ISA-Katalog 6.0:

Änderungen bei den Sicherheitslabels:

  • "Informationssicherheit hoch" wird durch kombinierte Label "Verfügbarkeit hoch" und "Vertraulichkeit hoch" ersetzt. Gleiches gilt für das Label "Informationssicherheit sehr hoch". Dieses wird ersetzt durch "Verfügbarkeit sehr hoch" und "Vertraulichkeit strikt" ersetzt.
  • Für beide Label gilt, dass die gleiche Menge von Basisanforderungen zu erfüllen sind. Zusätzlich existieren pro Label spezifische Anforderungen für hohen und sehr hohen Schutzbedarf. Somit findet eine, von den Labeln abhängige Steuerung des Assessment-Prozesses statt.

Größerer Fokus auf Informationssicherheit und OT-Systeme in der Lieferkette

  • Relevante Unternehmen in der Lieferkette müssen "Verfügbarkeit hoch" oder "Verfügbarkeit sehr hoch" erfüllen.
  • Betonung auf Operational Technology (OT)-Systeme in Produktion und anderen Bereichen im TISAX® Assessment.
  • Verweise auf IEC 62443 und neue ISA-Katalog-Anforderungen fördern OT-Fokus.
  • Einbeziehung von industriellen Kommunikationsnetzen und IACS in TISAX®-Assessment.
  • Unternehmen in dieser Kategorie müssen angemessenen Schutz für sensible Daten in Entwicklung und Produktion nachweisen.
  • Viele Anforderungen überlappen mit "Vertraulichkeit hoch" oder "Vertraulichkeit sehr hoch".
  • Unternehmen in der Lieferkette ohne hohe Relevanz, die dennoch mit sensiblen Informationen betraut sind, müssen den Nachweis erbringen, dass es diese Informationen angemessen geschützt werden können.
  • Mit den Labeln "Vertraulichkeit hoch" oder "Vertraulichkeit strikt" erfolgt eine Selektion derjenigen Anforderungen des ISA-Katalogs, die auf dieses Schutzziel einzahlen.
  • Die beschriebene selektive Durchführung des Assessments dient hauptsächlich dazu, dass Unternehmen die für sie relevanten Anforderungen des ISA-Katalogs erfüllen müssen.

Neue Herausforderungen für produzierende Unternehmen

  • OT-Systeme müssen in ähnlicher Weise einem Management unterzogen werden, wie es bereits allgemein für die IT-Systeme von TISAX® eingefordert wird.
  • Dies umfasst Aspekte wie die Verwaltung von Assets, Risikobetrachtungen, Verantwortlichkeiten und weitere Managementpraktiken.
mehr anzeigen
weniger anzeigen
Anforderungen
Loading...

Welche Vorteile hat ein TISAX® Assessment für Ihr Unternehmen?

Als Dienstleister oder Zulieferer in der Automobilindustrie müssen Sie Ihren Kunden nachweisen, dass Sie den Anforderungen an die Informationssicherheit nachkommen. Bisher wurden diese Prüfungen vor allem durch die Hersteller selbst durchgeführt. Registrierte Teilnehmer am TISAX®-Netzwerk können über eine gemeinsame Online-Plattform einen Prüfdienstleister auswählen und mit einem Assessment beauftragen. Die Vorteile für Unternehmen überwiegen:

  • Doppel- und Mehrfachprüfungen durch verschiedene Kunden lassen sich vermeiden, das spart Zeit und Kosten
  • Unternehmensübergreifende Anerkennung von Assessments der Informationssicherheit für TISAX®-Teilnehmer
  • Zuverlässige Ergebnisse durch den harmonisierten Prüfkatalog, der einen einheitlichen Bewertungsprozess gewährleistet
  • Stärkung des Vertrauens in Ihr geprüftes Unternehmen mit TISAX®-Label

Nach erfolgreichem Assessment erhalten Sie auf der TISAX®-Online-Plattform ein TISAX®-Label. Dieses Label ist mit dem Erhalt von Zertifikaten vergleichbar und dient dazu, das Vertrauen in Ihr Unternehmen zu stärken und Ihr Bestreben nach Informationssicherheit zu bestätigen.

Wie funktioniert
Loading...

Wie funktioniert TISAX®?

In TISAX® können Teilnehmer zwei verschiedene Rollen einnehmen: den „Information Consumer“ (passiv), zum Beispiel als Hersteller, der Informationen über einen Anbieter erhalten möchte, und den „Information Contributor“ (aktiv), zum Beispiel als Teilezulieferer oder Dienstleister, der sich auf seine Eignung auditieren lassen möchte, um von Herstellern beauftragt werden zu können.

Ein Unternehmen kann auch beide Teilnehmer-Rollen einnehmen. Wer als Information Contributor an TISAX® teilnehmen möchte, muss folgende vier Hauptschritte gehen:

  • 1. Online-Registrierung auf www.enx.com/TISAX
  • 2. Wahl eines von ENX zugelassenen Prüfdienstleisters wie die DQS
  • 3. TISAX® Assessment

4. Austausch der Auditergebnisse auf der TISAX®- Online-Plattform

mehr anzeigen
weniger anzeigen
Business28.png
Loading...

Wie läuft ein TISAX® Assessment ab?

Bevor Sie mit dem TISAX®-Assessment beginnen, muss Ihr Unternehmen einen klaren Geltungsbereich festlegen. Dazu gehört auch das Assessment-Level, welches die spezifischen Bewertungsanforderungen vorgibt. Diese Anforderungen können die Sicherstellung der "Verfügbarkeit" von Produktionskapazitäten, die Gewährleistung der "Vertraulichkeit" von anvertrauten Informationen oder die Sicherung von "Prototypenteilen" und "personenbezogenen Daten" umfassen. Diese grundlegenden Kriterien gelten für alle Standorte innerhalb des Scopes.

Eine zentrale Herausforderung besteht darin, Standorte mit ähnlichen Anforderungen in einem einzigen Geltungsbereich zusammenzufassen. Die DQS kann Ihnen bei der Gestaltung wertvolle Hinweise geben, ob es sich um einen einzigen umfassenden Scope oder um mehrere handeln sollte.

Als TISAX®-Teilnehmer müssen Sie sich zunächst online registrieren. Danach erfolgt die Zuweisung der Scope ID durch die ENX. Bitte beachten Sie, dass mit diesem Registrierungsprozess Servicegebühren verbunden sind, die für jeden Standort innerhalb Ihres Geltungsbereichs anfallen.

Im ersten Schritt wählen Sie einen zugelassenen Prüfdienstleister aus. Im zweiten Schritt findet ein Kick-Off, die Dokumentenprüfung (Self-Assessment, nicht vor Ort) und ein anschließendes Assessment (Level 2: nicht vor Ort, Level 3: vor Ort) statt.

Bitte beachten Sie: Es gibt eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. Anstelle der Plausibilitätsprüfung führt Ihr Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment Level 2,5" bezeichnet. Der Vorteil eines Assessment Levels 2,5 ist, dass der Ansatz methodisch mit dem Assessment Level 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im Assessment Level 3 aufzurüsten.

Die Feststellungen aus dem TISAX® Audit werden in einem Zwischenbericht festgehalten. Bei Abweichungen werden umzusetzende Maßnahmen vereinbart. Bei Bedarf wird die Umsetzung der Maßnahmen in einem vereinbarten Zeitraum festgelegt. Dieses Verfahren stellt sicher, dass alle festgestellten Probleme wirksam und zeitnah angegangen werden.

Nach Schließung der Abweichungen findet eine Wirksamkeitsprüfung mittels Audit statt, um die Behebung der Nichtkonformitäten zu validieren und die Gesamtwirksamkeit der ergriffenen Korrekturmaßnahmen zu bewerten.

Das finale Ergebnis wird online auf dem ENX®-Portal eingestellt. Damit ist Ihr Unternehmen als Teilnehmer am TISAX®-Verfahren mit dem entsprechenden Prüflabel gelistet.

Banking13.png
Loading...

Was kostet das TISAX® Assessment?

Einfluss auf den Umfang der gesamten Prüfung und damit auf die Kosten haben zwei wichtige Faktoren. TISAX® Assessments sind möglich auf der Basis eines erweiterten Scopes, eines Standardscopes und eines eingeschränkten Scopes. Ihre Entscheidung für einen Scope sollte gut vorbereitet sein und von den gewünschten Schutzzielen, aber auch der Größe Ihres Unternehmens bestimmt werden.

Bei den Schutzzielen geht es zum Beispiel um die Frage, ob Sie Themen wie Prototypenschutz oder Datenschutz in das Assessment einschließen wollen. Wenn Sie in das TISAX®-Verfahren einsteigen möchten, sprechen Sie so früh wie möglich mit der DQS, Ihrem zugelassenen Prüfdienstleister. Nur so können wir für Sie die richtige Kalkulation zum Prüfumfang ermitteln und ein verlässliches Angebot über die Kosten Ihrer TISAX® Zertifizierung erstellen.

mehr anzeigen
weniger anzeigen
Business2.png
Loading...

Das können Sie von uns erwarten

  • DQS ist zugelassener Prüfdienstleiter der ENX Association
  • Wertschöpfende Einblicke zur Informationssicherheit in Ihrem Unternehmen
  • Akkreditierungen für alle maßgeblichen Regelwerke der Automobilindustrie
  • Branchenerfahrene Auditoren und Experten aus der Praxis
  • Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
  • Zertifikate mit internationaler Akzeptanz
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
  • Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
  • Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
mehr anzeigen
weniger anzeigen
philipp tesar-dqs.jpg
Loading...

Angebotsanfrage

Ihr Ansprechpartner Philipp Tesar

„Gerne erstellen wir Ihnen ein maßgeschneidertes Angebot für das TISAX®-Verfahren.“