Rund um TISAX® – den Informationssicherheitsstandard der Automobilindustrie – gibt es viele Fragen und ebenso viele Fachbegriffe. TISAX® Assessment Level ist einer davon. Was sich dahinter verbirgt und wer welches TISAX® Level benötigt? Das und alles Wissenswerte zum Thema erfahren Sie in diesem Beitrag.
In diesem Beitrag
Was ist ein TISAX® Assessment Level?
Der Trusted Information Security Assessment Exchange – kurz TISAX® – ist ein Prüf- und Austauschmechanismus der Automobilindustrie. Aufgabe von TISAX® ist es, verbindliche Standards für die Informations- und Cybersicherheit zu setzen, an die sich alle Zulieferer der Branche zu halten haben. Da es verschiedene Arten und Intensitäten der Zusammenarbeit zwischen den OEMs und ihren Zulieferern gibt, hat TISAX® auch verschiedene Prüfziele definiert. Ob ein Unternehmen diesen jeweils entspricht, wird anhand der mit den Prüfzielen verbundenen TISAX® Level geprüft. Dabei gilt: Je anspruchsvoller ein Prüfziel, desto höher der Assessment Level.
Welche TISAX® Level sind für mich relevant?
Jedes Unternehmen kann selbst entscheiden, welche TISAX® Prüfziele es erfüllen will. Davon hängt dann auch ab, welche TISAX® Level im Einzelfall relevant sind. So die Theorie, in der Praxis läuft es anders ab. Die TISAX® Zertifizierung ist ein Muss für alle Unternehmen, die Geschäfte in und mit der Automobilindustrie machen möchten. Und in der Regel geben die OEMs vor, welche Prüfziele und Assessment Level ein Zulieferer erfüllen muss.
Welche TISAX® Level gibt es?
Es gibt drei unterschiedliche Level. Das TISAX® Handbuch – herausgegeben vom Dachverband der Europäischen Automobilindustrie, der ENX Association – spricht von Assessment Level 1, Assessment Level 2 und Assessment Level 3.
Maximieren Sie Ihre Chance für ein erfolgreiches TISAX® Assessment
Mit diesem Leitfaden erhalten Sie eine umfassende Checkliste für den Weg zur Zertifizierung nach TISAX®
Jetzt kostenlos herunterladenTISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Was ist TISAX® Level 1?
TISAX® Level 1 bedeutet Schutzbedarf „normal“. Das Assessment gemäß TISAX® Level 1 erfordert lediglich die Selbsteinschätzung gemäß VDA-ISA-Fragenkatalog durch das zu prüfende Unternehmen. Ob diese zutrifft oder nicht, lässt sich nicht objektivieren. Daher ist mit TISAX® Level 1 auch kein offizielles Prüfziel verbunden. Dieses Assessment Level ist somit rein theoretischer Natur und nicht praxisrelevant.
Was ist TISAX® Level 2?
TISAX® Level 2 bedeutet Schutzbedarf „hoch“. Grundlage der Überprüfung ist auch in diesem Fall die Selbsteinschätzung des Unternehmens anhand des VDA-ISA-Fragenkatalogs. Der Unterschied: Bei einer Überprüfung nach TISAX® Level 2 verifiziert ein externer Auditor die Selbsteinschätzung. Dafür wird er ein Telefoninterview sowie umfassende Plausibilitäts- und Nachweisüberprüfungen durchführen. In der Regel geschieht dies remote. Grundlage des Assessments ist vor allem die Aktenlage.
Was ist TISAX® Level 3?
TISAX® Level 3 bedeutet Schutzbedarf „sehr hoch“. Die Mehrzahl der definierten Prüfziele setzt Assessment Level 3 voraus. Der Ablauf ist identisch mit dem bei TISAX® Level 2: zuerst gibt das zu prüfende Unternehmen eine Selbsteinschätzung ab, diese wird der externe Auditor dann anhand von Dokumenten und Nachweisen überprüfen. Dabei bleibt es jedoch nicht. Um die Wirksamkeit und den Reifegrad des tatsächlich umgesetzten ISMS beurteilen zu können, führt der Auditor grundsätzlich auch Vor-Ort-Begehungen und Live-Interviews durch – und zwar nicht nur in der Firmenzentrale, sondern potenziell an jedem Standort eines Unternehmens.
Was kostet eine TISAX® Prüfung?
Es kommt darauf an. Pauschale Kostenaussagen sind jedenfalls unseriös, da Vorbereitung, Ablauf und Umfang eines TISAX® Audits von vielen Variablen abhängig sind. Welche Prüfziele und Assessment Level werden beispielsweise angestrebt? Wie gut ist das Unternehmen bereits organisiert? Gibt es eine oder mehrere Standorte? Liegen alle im Inland oder ist das Unternehmen global aufgestellt? Welche ISMS-Optimierungen und -Maßnahmen müssen und sollten für ein erfolgreiches Audit unbedingt noch durchgeführt werden. Geschieht dies dann auch in ausreichendem Maße, oder sind am Ende womöglich Nachprüfungen sowie vorab weitere Optimierungen nötig?
Was ist ein TISAX® Audit?
Bei einem TISAX® Audit überprüft ein externer Auditor, ob das etablierte und in der Anmeldung zum Audit beschriebene ISMS auch tatsächlich das leistet, was es leisten soll. Dafür wird sich der Auditor alle Prozesse, Dokumente und Maßnahmen sowie die geeigneten Nachweise ansehen und – je nach Prüfziel und damit verbundenem TISAX® Level – diese auch vor Ort überprüfen. Grundlage der Überprüfungen ist ein vom Verband der Automobilindustrie (VDA) erarbeiteter Fragenkatalog zur Durchführung von Information Security Assessments (ISA) – kurz: der VDA-ISA-Fragenkatalog.
Einen ausführlichen Überblick über das TISAX® Audit erhalten Sie in diesem Beitrag.
Wer zertifiziert TISAX®?
Eine Zertifizierung nach TISAX® dürfen nur Prüfdienstleister erteilen, die dafür zugelassen und von der ENX Association akkreditiert sind. Die ENX Association informiert online und länderspezifisch über das TISAX®Portal, welche Prüfgesellschaften zur Durchführung von TISAX® Audits berechtigt sind. Gut zu wissen: Unternehmen können frei wählen, welchen akkreditierten Prüfdienstleister sie beauftragen. Heißt: Die Prüfgesellschaften stehen untereinander im Wettbewerb. Dies soll für faire und leistungsgerechte Kosten im Hinblick auf die Prüfdienstleistungen sorgen.
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Ist TISAX® verpflichtend?
Der Gesetzgeber macht diesbezüglich keine Vorgaben, im regulatorischen Sinne verpflichtend ist TISAX® daher nicht. Für Unternehmen, die keine Zertifizierung nach TISAX® vorweisen können, ist eine Zusammenarbeit mit den großen Herstellerfirmen der Automobilindustrie jedoch ausgeschlossen. Wer in diesem Markt geschäftlich aktiv sein möchte, kommt um die Zertifizierung nicht herum. So gesehen ist TISAX® für viele Unternehmen also doch ein Muss.
Sie haben weiterhin Fragen welches TISAX® Level für die Anforderungen Ihres Unternehmens geeignet ist? Gerne helfen wir Ihnen weiter. Vereinbaren Sie dazu einfach ein kostenloses Beratungsgespräch.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.