TISAX®- Assessment - Informationssicherheit in der Automobilindustrie
Gegenseitige Anerkennung unter allen TISAX®-Teilnehmern
Lieferanten und Dienstleister gewinnen mehr Vertrauen in Ihr geprüftes Unternehmen
Die Prüfung zur TISAX® Zertifizierung erfolgt nur alle 3 Jahre
Einsparung von Zeit und Kosten als Mitglied im TISAX®-Netzwerk

Grundlegende Informationen zum TISAX® Assessment

TISAX® 2.2 – verbindlich ab 01. April 2024
Der neue ISA-Katalog 6.0 markiert einen bedeutenden Meilenstein für TISAX®. Dies führt zu Anpassungen in den Anforderungen für Audit Provider, die im Rahmen der TISAX® ACAR 2.2-Verordnungen festgelegt wurden. Die Umstellung des ISA-Katalogs auf Englisch als Hauptsprache unterstreicht die globale Perspektive und die gemeinsamen Bemühungen für eine weltweite Weiterentwicklung des Anforderungskatalogs.
Die wesentlichen Änderungen im neuen ISA-Katalog 6.0:
Änderungen bei den Sicherheitslabels:
- "Informationssicherheit hoch" wird durch kombinierte Label "Verfügbarkeit hoch" und "Vertraulichkeit hoch" ersetzt. Gleiches gilt für das Label "Informationssicherheit sehr hoch". Dieses wird ersetzt durch "Verfügbarkeit sehr hoch" und "Vertraulichkeit strikt" ersetzt.
- Für beide Label gilt, dass die gleiche Menge von Basisanforderungen zu erfüllen sind. Zusätzlich existieren pro Label spezifische Anforderungen für hohen und sehr hohen Schutzbedarf. Somit findet eine, von den Labeln abhängige Steuerung des Assessment-Prozesses statt.
Größerer Fokus auf Informationssicherheit und OT-Systeme in der Lieferkette
- Relevante Unternehmen in der Lieferkette müssen "Verfügbarkeit hoch" oder "Verfügbarkeit sehr hoch" erfüllen.
- Betonung auf Operational Technology (OT)-Systeme in Produktion und anderen Bereichen im TISAX® Assessment.
- Verweise auf IEC 62443 und neue ISA-Katalog-Anforderungen fördern OT-Fokus.
- Einbeziehung von industriellen Kommunikationsnetzen und IACS in TISAX®-Assessment.
- Unternehmen in dieser Kategorie müssen angemessenen Schutz für sensible Daten in Entwicklung und Produktion nachweisen.
- Viele Anforderungen überlappen mit "Vertraulichkeit hoch" oder "Vertraulichkeit sehr hoch".
- Unternehmen in der Lieferkette ohne hohe Relevanz, die dennoch mit sensiblen Informationen betraut sind, müssen den Nachweis erbringen, dass es diese Informationen angemessen geschützt werden können.
- Mit den Labeln "Vertraulichkeit hoch" oder "Vertraulichkeit strikt" erfolgt eine Selektion derjenigen Anforderungen des ISA-Katalogs, die auf dieses Schutzziel einzahlen.
- Die beschriebene selektive Durchführung des Assessments dient hauptsächlich dazu, dass Unternehmen die für sie relevanten Anforderungen des ISA-Katalogs erfüllen müssen.
Neue Herausforderungen für produzierende Unternehmen
- OT-Systeme müssen in ähnlicher Weise einem Management unterzogen werden, wie es bereits allgemein für die IT-Systeme von TISAX® eingefordert wird.
- Dies umfasst Aspekte wie die Verwaltung von Assets, Risikobetrachtungen, Verantwortlichkeiten und weitere Managementpraktiken.

Welche Vorteile hat ein TISAX® Assessment für Ihr Unternehmen?

Wie funktioniert TISAX®?
Ein Unternehmen kann auch beide Teilnehmer-Rollen einnehmen. Wer als Information Contributor an TISAX® teilnehmen möchte, muss folgende vier Hauptschritte gehen:
- 1. Online-Registrierung auf www.enx.com/TISAX
- 2. Wahl eines von ENX zugelassenen Prüfdienstleisters wie die DQS
- 3. TISAX® Assessment
4. Austausch der Auditergebnisse auf der TISAX®- Online-Plattform

Wie läuft ein TISAX® Assessment ab?
Bevor Sie mit dem TISAX®-Assessment beginnen, muss Ihr Unternehmen einen klaren Geltungsbereich festlegen. Dazu gehört auch das Assessment-Level, welches die spezifischen Bewertungsanforderungen vorgibt. Diese Anforderungen können die Sicherstellung der "Verfügbarkeit" von Produktionskapazitäten, die Gewährleistung der "Vertraulichkeit" von anvertrauten Informationen oder die Sicherung von "Prototypenteilen" und "personenbezogenen Daten" umfassen. Diese grundlegenden Kriterien gelten für alle Standorte innerhalb des Scopes.
Eine zentrale Herausforderung besteht darin, Standorte mit ähnlichen Anforderungen in einem einzigen Geltungsbereich zusammenzufassen. Die DQS kann Ihnen bei der Gestaltung wertvolle Hinweise geben, ob es sich um einen einzigen umfassenden Scope oder um mehrere handeln sollte.
Als TISAX®-Teilnehmer müssen Sie sich zunächst online registrieren. Danach erfolgt die Zuweisung der Scope ID durch die ENX. Bitte beachten Sie, dass mit diesem Registrierungsprozess Servicegebühren verbunden sind, die für jeden Standort innerhalb Ihres Geltungsbereichs anfallen.
Im ersten Schritt wählen Sie einen zugelassenen Prüfdienstleister aus. Im zweiten Schritt findet ein Kick-Off, die Dokumentenprüfung (Self-Assessment, nicht vor Ort) und ein anschließendes Assessment (Level 2: nicht vor Ort, Level 3: vor Ort) statt.
Bitte beachten Sie: Es gibt eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. Anstelle der Plausibilitätsprüfung führt Ihr Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment Level 2,5" bezeichnet. Der Vorteil eines Assessment Levels 2,5 ist, dass der Ansatz methodisch mit dem Assessment Level 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im Assessment Level 3 aufzurüsten.
Die Feststellungen aus dem TISAX® Audit werden in einem Zwischenbericht festgehalten. Bei Abweichungen werden umzusetzende Maßnahmen vereinbart. Bei Bedarf wird die Umsetzung der Maßnahmen in einem vereinbarten Zeitraum festgelegt. Dieses Verfahren stellt sicher, dass alle festgestellten Probleme wirksam und zeitnah angegangen werden.
Nach Schließung der Abweichungen findet eine Wirksamkeitsprüfung mittels Audit statt, um die Behebung der Nichtkonformitäten zu validieren und die Gesamtwirksamkeit der ergriffenen Korrekturmaßnahmen zu bewerten.
Das finale Ergebnis wird online auf dem ENX®-Portal eingestellt. Damit ist Ihr Unternehmen als Teilnehmer am TISAX®-Verfahren mit dem entsprechenden Prüflabel gelistet.

Was kostet das TISAX® Assessment?
Bei den Schutzzielen geht es zum Beispiel um die Frage, ob Sie Themen wie Prototypenschutz oder Datenschutz in das Assessment einschließen wollen. Wenn Sie in das TISAX®-Verfahren einsteigen möchten, sprechen Sie so früh wie möglich mit der DQS, Ihrem zugelassenen Prüfdienstleister. Nur so können wir für Sie die richtige Kalkulation zum Prüfumfang ermitteln und ein verlässliches Angebot über die Kosten Ihrer TISAX® Zertifizierung erstellen.

Das können Sie von uns erwarten
- Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
- Zertifikate mit internationaler Akzeptanz
- Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
- Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
- Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
- Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten