TISAX® Assessment - Informationssicherheit in der Automobilindustrie
Gegenseitige Anerkennung unter allen TISAX®-Teilnehmern
Lieferanten und Dienstleister gewinnen mehr Vertrauen in Ihr geprüftes Unternehmen
Die Prüfung zur TISAX® Zertifizierung erfolgt nur alle 3 Jahre
Einsparung von Zeit und Kosten als Mitglied im TISAX®-Netzwerk
Grundlegende Informationen zur TISAX® Zertifizierung
Darüber hinaus verweist der ISA auf die ISO/SAE 62443-2-1 als Referenz für den Umgang mit industriellen Steuerungssystemen zur Automatisierung und Überwachung industrieller Produktionsanlagen (IACS) und operativen Technologien (OT).
Zudem haben die zuständigen Gremien beim Verband der Automobilindustrie (VDA) die Voraussetzungen geschaffen, um den gemeinsamen Prüf- und Austauschmechanismus unter der Bezeichnung TISAX® (Trusted Information Security Assessment eXchange) zu etablieren. TISAX® ist eine eingetragene Marke der ENX Association. Ein Zusammenschluss europäischer Automobilhersteller, Automobilzulieferer und Automobilverbände überwacht die Qualität der TISAX® Assessments und steuert die Zulassung der TISAX®-Prüfdienstleister.
Mehr als 10.000 Standorte sind, mittlerweile nach TISAX® bewertet. Damit ist dieser Standard nach ISO 27001 das am zweithäufigsten implementierte Regelwerk für Informationssicherheit weltweit. VDA und ENX haben internationale Arbeitsgruppen für TISAX® und den ISA-Katalog gebildet, um den Standard gemeinsam weiterzuentwickeln. Gleichzeitig wird damit eine engere Zusammenarbeit mit der globalen Automobilindustrie gefördert. Mit TISAX 6.0 ist im Herbst 2023 die aktualisierte Form des Prüf- und Austauschverfahrens veröffentlicht worden.
TISAX® 2.2 – verbindlich seit dem 1.4.2024 - Hinweise zum Übergang
Der neue ISA-Katalog 6.0 markiert einen bedeutenden Meilenstein für TISAX®. Der Prüfkatalog führt zu Anpassungen in den Anforderungen für Audit Provider, die im Rahmen der TISAX® ACAR 2.2-Verordnungen festgelegt wurden. Die Umstellung des Anforderungskatalogs auf Englisch als Hauptsprache unterstreicht die globale Perspektive und die gemeinsamen Bemühungen für eine weltweite Weiterentwicklung. Weitere Übersetzungen von TISAX VDA 6.0 sind in Planung.
Die wesentlichen Änderungen im neuen ISA-Katalog 6.0:
Änderungen bei den Sicherheitslabels:
- Das Label Informationssicherheit wird durch die Label Verfügbarkeit (Availability) und Vertraulichkeit (Confidentiality) abgelöst. Je nachdem welche Rolle Sie in der Lieferkette einnehmen, kann Verfügbarkeit oder Vertraulichkeit oder beides für Sie relevant sein.
- Ein bestehendes Label "Informationssicherheit hoch" wird durch die kombinierten Label "Verfügbarkeit hoch" und "Vertraulichkeit hoch" ersetzt. Gleiches gilt für ein bestehendes Label "Informationssicherheit sehr hoch". Dieses wird ersetzt durch "Verfügbarkeit sehr hoch" und "Vertraulichkeit strikt" ersetzt.
- Für beide Label gilt, dass die gleiche Menge von Basisanforderungen zu erfüllen sind. Zusätzlich existieren pro Label spezifische Anforderungen für hohen und sehr hohen Schutzbedarf. Es findet eine, von den Labeln abhängige Steuerung des Assessment-Prozesses statt, die Ihre Rolle in der Lieferkette berücksichtigt. Deshalb lohnt es sich mit Ihren Kunden genau abzuklären welche Label für Ihre Rolle relevant sind.
Größerer Fokus auf Informationssicherheit und OT-Systeme in der Lieferkette
- Relevante Unternehmen in der Lieferkette müssen "Verfügbarkeit hoch" oder "Verfügbarkeit sehr hoch" erfüllen.
- Betonung auf Operational Technology (OT)-Systeme in Produktion und anderen Bereichen im TISAX® Assessment.
- Verweise auf IEC 62443-2-1 und neue ISA-Katalog-Anforderungen fördern OT-Fokus.
- Einbeziehung von industriellen Kommunikationsnetzen und Kontrollsystemen (IACS).
- Unternehmen in dieser Kategorie müssen angemessenen Schutz für sensible Daten in Entwicklung und Produktion nachweisen.
- Viele Anforderungen überlappen sich mit "Vertraulichkeit hoch" oder "Vertraulichkeit sehr hoch".
- Unternehmen in der Lieferkette ohne hohe Relevanz, die dennoch mit sensiblen Informationen betraut sind, müssen den Nachweis erbringen, dass es diese Informationen angemessen geschützt werden können.
- Mit den Labeln "Vertraulichkeit hoch" oder "Vertraulichkeit strikt" erfolgt eine Selektion der TISAX® Anforderungen, die auf dieses Schutzziel einzahlen.
- Die beschriebene selektive Durchführung des Assessments dient hauptsächlich dazu, dass Unternehmen nur die für ihre Rolle relevanten Anforderungen des ISA-Katalogs erfüllen müssen.
Neue Herausforderungen für produzierende Unternehmen
- OT-Systeme müssen in ähnlicher Weise einem Management unterzogen werden, wie es bereits allgemein für die IT-Systeme von TISAX® eingefordert wird.
- Dadurch wird die OT im Asset-Management mit seinen speziellen Risiken erfasst, hinsichtlich möglicher Schwachstellen analysiert, von kompetenten Mitarbeitern verantwortet, ISMS-konformen Prozessen zur Fernwartung und weiteren bewährten Managementpraktiken unterzogen.
Welche Vorteile hat ein TISAX® Assessment für Ihr Unternehmen?
Wie funktioniert TISAX®?
Wie läuft ein TISAX® Assessment ab?
Bevor Sie mit dem TISAX®-Assessment beginnen, muss Ihr Unternehmen einen klaren Geltungsbereich festlegen. Dazu gehört auch das Assessment-Level, welches die spezifischen Bewertungsanforderungen vorgibt. Diese Anforderungen können die Sicherstellung der "Verfügbarkeit" von Produktionskapazitäten, die Gewährleistung der "Vertraulichkeit" von anvertrauten Informationen oder die Sicherung von "Prototypenteilen" und "personenbezogenen Daten" umfassen. Diese grundlegenden Kriterien gelten für alle Standorte innerhalb des Scopes.
Eine zentrale Herausforderung besteht darin, Standorte mit ähnlichen Anforderungen in einem einzigen Geltungsbereich zusammenzufassen. Die DQS kann Ihnen bei der Gestaltung wertvolle Hinweise geben, ob es sich um einen einzigen umfassenden Scope oder um mehrere handeln sollte. Grundsätzlich ergeben sich bei der Zusammenführung von Standorten unter einem Scope Vorteile in Form von möglichen Reduzierungen bei den Auditaufwänden, wenn alle Standorte unter einem zentralisierten ISMS arbeiten.
Im ersten Schritt wählen Sie einen zugelassenen Prüfdienstleister aus. Im zweiten Schritt findet ein Kick-Off, die Dokumentenprüfung (Self-Assessment, nicht vor Ort) und ein anschließendes Assessment (Level 2: nicht vor Ort, Level 3: vor Ort) statt.
Bitte beachten Sie: Es gibt eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. Anstelle der Plausibilitätsprüfung führt Ihr Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment Level 2,5" bezeichnet. Der Vorteil eines Assessment Levels 2,5 ist, dass der Ansatz methodisch mit dem Assessment Level 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im Assessment Level 3 aufzurüsten.
Die Feststellungen aus dem TISAX® Audit werden in einem Zwischenbericht festgehalten. Bei Abweichungen werden umzusetzende Maßnahmen vereinbart. Bei Bedarf wird die Umsetzung der Maßnahmen in einem vereinbarten Zeitraum festgelegt. Dieses Verfahren stellt sicher, dass alle festgestellten Probleme wirksam und zeitnah angegangen werden.
Nach Schließung der Abweichungen findet eine Wirksamkeitsprüfung statt, um die Behebung der Nichtkonformitäten zu validieren und die Gesamtwirksamkeit der ergriffenen Korrekturmaßnahmen zu bewerten.
Das finale Ergebnis wird online auf dem ENX®-Portal eingestellt. Damit ist Ihr Unternehmen als Teilnehmer am TISAX®-Verfahren mit dem entsprechenden Prüflabel gelistet. Anders als bei anderen Zertifizierungen gibt es kein TISAX®-Zertifikat.
Was kostet das TISAX® Assessment?
Bei den Schutzzielen geht es zum Beispiel um die Frage, ob Sie Themen wie Prototypenschutz oder Datenschutz in das Assessment einschließen wollen. Wenn Sie in das TISAX®-Verfahren einsteigen möchten, sprechen Sie so früh wie möglich mit der DQS, Ihrem zugelassenen Prüfdienstleister. Nur so können wir für Sie die richtige Kalkulation zum Prüfumfang ermitteln und ein verlässliches Angebot über die Kosten Ihrer TISAX® Zertifizierung erstellen.
Das können Sie von uns erwarten
- Mehr als 35 Jahre Erfahrung in der Zertifizierung von Managementsystemen und Prozessen
- Persönliche, reibungslose Betreuung durch unsere Spezialisten – regional, national und international
- Individuelle Angebote mit flexiblen Vertragslaufzeiten ohne versteckte Kosten
TISAX®-Assessment
Die DQS GmbH ist registrierter TISAX® Teilnehmer und hat sich einem TISAX®-Assessment für das Label „Informationssicherheit sehr hoch“ im Assessment Level 3 unterzogen. TISAX®-Assessments werden von ENX-akkreditierten Prüfdienstleistern durchgeführt. TISAX®-Prüfergebnisse sind nicht für die Allgemeinheit bestimmt. Das Ergebnis des Assessment bei der DQS GmbH ist für registrierte Teilnehmer über das ENX-Portal abrufbar: https://portal.enx.com/