Beratung zu TISAX®:100 % Erfolgsquote
Wir sind deine erfahrenen Partner und Partnerinnen auf dem Weg zur TISAX-Zertifizierung.
Beratung zu TISAX mit Nextwork: deine Vorteile
100% Erfolgsquote
Seit 2016 führen wir 2 bis 3 TISAX-Audits und -Rezertifizierungen im Monat durch – mit einer Erfolgsquote von 100%.
Umfassende, individuelle Beratung
Wir unterstützen dich bei TISAX-Zertifizierungen mit Assessment Level 2 und 3 und auch bei den Zusatzmodulen für Prototypenschutz und Datenschutz.
Ganzheitliche Optimierung
Wir unterstützen Unternehmen dabei, Informationssicherheit zu implementieren und auch Potenziale für Optimierung und Kostenersparnis zu entdecken.
TISAX-Zertifikat
Wir wissen, wovon wir reden. Denn wir haben selbst eine TISAX-Zertifizierung und damit stehen wir als Beratung so ziemlich allein da.
Was ist TISAX?
TISAX steht für „Trusted Information Security Assessment Exchange“ und ist eine Zertifizierung für Informationssicherheit. Dafür wurde vom deutschen Verband der Automobilindustrie (VDA) ein Fragebogen (ISA – Information Security Assessment) entwickelt, der sich auf die internationale Norm ISO 27001 stützt.
Für wen eignet sich die Nextwork Beratung zu TISAX?
Seit 2017 fordern Auftraggebende der Automobilindustrie eine TISAX-Zertifizierung in Rahmenverträgen und Einkaufsbedingungen oder Ausschreibungen.
Wir beraten alle, die sich mit der Forderung nach einer TISAX-Zertifizierung auseinandersetzen müssen – vom Kleinunternehmer, über den Mittelständler bis hin zum Konzern. Dabei liegt unser Augenmerk auf individueller und nachhaltiger Beratung.
Unser Anliegen ist es, Informationssicherheit in die Unternehmenskultur zu integrieren, sodass sie von allen Mitarbeitenden gelebt werden kann. Dafür braucht es individuelle Konzepte, Schulungen und eine Strategie. Mit uns an deiner Seite profitierst du:
Effiziente und individuelle Projektlaufzeit
Schulungen rund um Informationssicherheit und Datenschutz
Gesenkter Aufwand bei Re-Audits
100% Erfolgsquote
Dein Weg zur TISAX-Zertifzierung mit Nextwork
Schritt 1 – Gap-Analyse:
Wir starten mit einer Gap-Analyse. Kleine und mittelständische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Durch eine Gap-Analyse nach VDA ISA verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen.
Betroffen sind Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, die Entwicklung des ISMS, festgelegt.
Schritt 2 – Organisatorisches:
Auch das gehört dazu: Zunächst erfolgt eine Anmeldung bei der ENX Association und wir beraten dich bei der Auswahl des Prüfunternehmens für dein sogenanntes „TISAX-Zertifikat“ und holen Angebote ein. Bitte plane genügend Zeit ein: Die Wartezeit auf einen Prüftermin beträgt häufig 6 Monate.
Schritt 3 – Prüfungsvorbereitung:
Jedes Unternehmen ist anders, welche Maßnahmen genau für eine erfolgreiche TISAX-Zertifizierung unternommen werden müssen, hängt von vielen Faktoren ab: der Unternehmensgröße, den Voraussetzungen und Anforderungen und den gewünschten Ziel-Labeln. Zur Orientierung haben wir 3 Pakete geschnürt.
EINZELUNTERNEHMER:IN
TISAX-Paket für Kleinstunternehmen bis zu 3 Mitarbeitenden. (keine separate Gap-Analyse erforderlich)
UNTERNEHMEN (UPGRADE)
Einfaches TISAX-Projekt: Unternehmen mit einem bestehenden ISMS, das nur auf TISAX umgerüstet werden muss.)
UNTERNEHMEN (INTENSIV)
Umfangreiches TISAX-Projekt: Unternehmen ohne Managementsystem. Intensive Beratungsleistung beim Aufbau des ISMS.
Schritt 4 – Prüfung:
Keine Panik! Wir lassen dich mit der Prüfung nicht allein. Als Externe Beauftragte (Externe ISB) können wir mit dir durch die Prüfung gehen und mit der Prüforganisation verhandeln. TISAX unterscheidet in zwei „Assessment-Level“ (AL2 oder AL3). Ein höheres Assessment-Level führt zu einer höheren Prüfintensität und dem Einsatz weitgehender Prüfmethoden. Achtung: Das Assessment-Level trifft keine Aussage zur Klassifizierung oder zum Freigabe-Label. Eine Prüfung nach Aktenlage ist nur bei den Prüfzielen „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data) möglich. Bei allen anderen Prüfzielen findet zwingend eine Prüfung vor Ort statt.
Schritt 5 – nach der Prüfung:
Ok, geschafft. Audit bestanden – doch nach der TISAX-Zertifizierung ist vor der TISAX-Zertifizierung. Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmäßig geprüft. Etwa alle drei Jahre folgt die viel härtere Re-Zertifizierung. Dann muss man Prüfprotokolle, Auditberichte und Dokumentationen nachweisen. Ansonsten fällt man durch und verliert die Zertifizierung!
Die interne, feste Taskforce kümmert sich ab sofort gemeinsam mit dem/der Informationssicherheitsbeauftragten (ISB) und der oder dem Datenschutzbeauftragten (DSB) dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiterzuentwickeln.
TISAX betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, müssen sie auch von allen Mitarbeitenden gelebt werden. Zuvor muss aber in 99 % aller Fälle überhaupt erstmal ein Bewusstsein für das Thema geschaffen werden. Das baut man am besten durch Schulungen auf. Auch hier unterstützen wir gern.
TISAX-Zertifizierungen und Zeitmanagement
Schon wer sich das erste Mal mit einer TISAX-Zertifizierung auseinandersetzen muss, sollte etwas Zeit mitbringen.
PRÜFTERMIN → 6 Monate
RE-ZERTIFIZIERUNG → 3 Jahre
Allein das Warten auf den Prüftermin kann 6 Monate in Anspruch nehmen, manchmal reicht diese Zeit auch nicht aus, um sich gut vorzubereiten und Nachprüfungen und Nachbesserungen sind nötig. Der Zeitraum für die härtere Re-Zertifizierung beträgt 3 Jahre (Laufzeit der Freigaben beträgt max. 3 Jahre)
– diese drei Jahre beginnen bereits mit dem „Closing Meeting“ des Audits, unabhängig vom Ausgang der Prüfung (temporäre oder finale Freigabe). Auch bei der Re-Zertifizierung sollte man sich rechtzeitig um einen neuen Prüfungstermin kümmern und wenn möglich noch einen Puffer einplanen, um die Zertifizierung und damit einhergehende Kundenaufträge nicht zu verlieren.
„TISAX gilt bei vielen als Showstopper oder Bürokratiemonster. Wir kennen den Prozess aus eigener Erfahrung und führen seit 2016 2 bis 3 TISAX-Audits im Monat durch. Bei Bedarf agieren wir auch als externer Informationssicherheitsbeauftragter und sorgen so für eine kontinuierliche und ganzheitliche Optimierung – auch im Hinblick auf Kosten. In der heutigen Zeit – geprägt von Data Breaches und Ransomware Attacken – sollte TISAX mehr als Chance denn als Zwang gesehen werden. Nur wenige Unternehmen erkennen dieses Potenzial und nur sehr wenige nutzen es. Mit uns als Beratung an eurer Seite kann aus einer bloßen Zertifizierung ein Weg werden, euer Unternehmen im Digitalzeitalter zukunftssicher zu machen!“
Philipp Brändl
Co-CEO, Nextwork
Checkliste für den TISAX-Audit
Du möchtest wissen, wie gut dein Unternehmen auf ein TISAX-Audit vorbereitet ist? Wir haben für dich eine übersichtliche Checkliste erstellt, die die wichtigsten Maßnahmen aus den 45 Controls in 7 Kapiteln des ISA Katalogs enthält und dir bei der Vorbereitung auf deine TISAX-Zertifizierung hilft. Fülle jetzt unsere Checkliste aus und finde heraus, wo dein Unternehmen steht.
FAQ
Welche TISAX-Level gibt es?
TISAX unterscheidet in zwei Assessment-Level: AL2 und AL3. Bei einer Prüfung im Assessment-Level 2 führen Prüfdienstleister eine Plausibilitätsprüfung der eingereichten Selbsteinschätzung durch. Diese Prüfung findet in der Regel online statt. Bei einer Prüfung im Assessment-Level 3 wird eine umfassende Überprüfung der Einhaltung der geltenden Anforderungen durchgeführt. Die Auditoren verwenden die Selbsteinschätzung des zu prüfenden Unternehmens und die eingereichten Unterlagen, um die Prüfung vorzubereiten. Im Gegensatz zum Assessment-Level 2 wird jedoch alles überprüft. Hier findest du mehr Informationen zu den TISAX-Levels.
Welche TISAX-Label gibt es?
Abgesehen von den TISAX-Leveln, gibt es auch die TISAX-Label bzw. „Freigabe Labels“. Diese Labels treffen Aussagen über die Art der Freigabe und die Höhe der Klassifizierung der TISAX-Zertifizierung, wie zum Beispiel “hoch”, “sehr hoch”, über den Schutz von Prototypenfahrzeugen oder personenbezogenen Daten (Auftragsverarbeitung). Hier findest du eine genaue Übersicht aller TISAX-Label.