TISAX® Anforderungen
TISAX gilt als Standard für Informationssicherheit für die Automobilindustrie. Von Auftraggebenden innerhalb der Branche, den sogenannten OEMs, wird TISAX als Voraussetzung für die Zusammenarbeit vorgegeben. Wer also am Markt teilnehmen will, muss eine Reihe von Anforderungen erfüllen.
Welche Anforderungen gibt es bei TISAX?
TISAX ist Standard in der Automobilindustrie für die Verarbeitung vertraulicher Informationen und Daten und dem Prototypenschutz.
Die Anforderungen, die TISAX stellt, sind denen der ISO 27001 sehr ähnlich, aber eben angepasst an die spezifischen Bedingungen der Automobilindustrie.
Neben einigen Gemeinsamkeiten gibt es im Vergleich zwischen TISAX und ISO 27001 auch Unterschiede. Die Anforderungen für TISAX sind im Bereich Prototypenschutz und Datenschutz detaillierter. Außerdem gibt für TISAX einen kleineren Kreis an Auditoren und noch einige Unterschiede mehr.
Welche Anforderungen genau erfüllt werden müssen, ist im TISAX Fragenkatalog (VDA ISA) festgehalten. Sie werden als Prüfziele oder Label bezeichnet. In unserem Beitrag zu den TISAX Label gehen wir genau auf die 10 Prüfziele ein und erklären, was sie bedeuten.
Wer stellt die TISAX Anforderungen?
Auftraggebende aus der Automobilindustrie fordern seit 2017 eine TISAX Zertifizierung.
Vor 2017 wurde die Informationssicherheit der auftragsnehmenden Unternehmen mit Audits nach VDA ISA überprüft. Dies waren aber Stichproben-Audits und sind kein Vergleich mit den heutigen TISAX Audits.
Konkret gefordert wird TISAX in den Rahmenverträgen und Einkaufsbedingungen bzw. in den Bedingungen zur Teilnahme an Ausschreibungen der Auftraggebenden.
Das sind insbesondere (verstärkt): Audi, BWM, Mercedes Benz und Volkswagen.
Checkliste für den TISAX-Audit
Du möchtest wissen, wie gut dein Unternehmen auf ein TISAX-Audit vorbereitet ist? Wir haben für dich eine übersichtliche Checkliste erstellt, die die wichtigsten Maßnahmen aus den 45 Controls in 7 Kapiteln des ISA Katalogs enthält und dir bei der Vorbereitung auf deine TISAX-Zertifizierung hilft. Fülle jetzt unsere Checkliste aus und finde heraus, wo dein Unternehmen steht.
TISAX Anforderungen
TISAX Anforderungen bei Daimler (Mercedes Benz)
Informationssicherheitsrichtlinie der Mercedes-Benz AG
(Quelle: https://docmaster.supplier.daimler.com…)
(…)Der anzubindende Standort des Auftragnehmers muss mindestens das TISAX-Label “Info high“ und “con high“ aufweisen. Eine Weiterentwicklung mit Ziel „Info Very High“ und „Con Very High“ ist einzuplanen. Der Auftragnehmer stellt sicher, dass die TISAX-Labels in der ENX Austauschplattform dokumentiert und für den Auftraggeber einsehbar sind.
TISAX Anforderungen bei PORSCHE
Einkaufsbedingungen der Dr. Ing. h.c. F. Porsche Aktiengesellschaft
(Quelle: https://www.vwgroupsupply.com/…)
“Auf Anforderung von Porsche ist der Vertragspartner verpflichtet, binnen angemessener Frist eine TISAX-Prüfung (www.tisax.de) mit dem von Porsche vorgegebenen TISAX-Prüfziel durchführen zu lassen und Porsche das Ergebnis zur Verfügung zu stellen.”
Aber auch VDA Mitglieder der Herstellergruppen II und III geben die Verpflichtungen an die Lieferkette weiter und fordern inzwischen immer häufiger eine TISAX Zertifizierung (Beispiel: ZF Friedrichshafen fordert TISAX).
TISAX Anforderungen bei ZF Friedrichshafen AG
Supplier Board > Einkauf > Informationssicherheits-Managementsystem (TISAX)
(Quelle: https://www.zf.com/site/supplierboard…)
(…) Während TISAX ursprünglich von europäischen OEMs/Tier-1-Zulieferern vorangetrieben wurde, ist sie heute eine globale Anforderung und wird von ZF verlangt. (…) Seit 2020 hat ZF mit der Umsetzung einer TISAX-Zertifizierungsanforderung für diejenigen Lieferanten begonnen, die die geltenden Kriterien erfüllen. Die von ZF als TISAX-relevant eingestuften Lieferanten, sind verpflichtet den erforderlichen Nachweis eines TISAX Zertifikates im SupplyOn Business Directory einzupflegen, um an einem Sourcing zugelassen zu werden.
(…) ZF verlangt jedoch die Bewertungsstufe 3 (AL3).
Wie sehen die Anforderungen bei TISAX aus?
Grundlage für TISAX Assessments ist, wie bereits oben erwähnt, der TISAX Fragenkatalog, der auch VDA ISA Fragenkatalog genannt wird. Im Prinzip ist der Katalog eine lange Excel-Tabelle mit Fragen und Anforderungen, die den Stand des Informationsmanagementsystems überprüfen.
Für ein erfolgreiches Assessment werden die sogenannten Reifegrade vom Auditor ermittelt. Die Reifegrade geben Auskunft darüber, wie gut bestehende Prozesse bereits die Anforderungen von TISAX erfüllen. Bewertet werden jeweils einzelne Teilbereiche, der Durchschnitt aller Teilergebnisse ergibt dann den endgültigen Reifegrad – er muss mindesten bei 3 liegen.
Sollte das Assessment nicht erfolgreich sein, werden Unzulänglichkeiten in Form von Hauptabweichungen und Nebenabweichungen festgestellt. Bei Nebenabweichungen kann der Auditor trotzdem ein vorläufiges TISAX Zertifikat erteilen, solange bis alle Nebenabweichungen beseitigt worden sind.
Bei Hauptabweichungen kann die Zertifizierung erst erteilt werden, wenn die Mängel beseitigt sind. Als Unternehmer bist du in der Pflicht dem Prüfdienstleister dafür geeignete Maßnahmen vorzuschlagen, die dieser dann genehmigen kann. Nach erfolgreicher Beseitigung kann entweder ein TISAX Zertifikat, oder bei bestehenden Nebenabweichungen ein vorläufiges TISAX Zertifikat ausgestellt werden.
Gelten die Anforderungen unabhängig von der Unternehmensgröße?
Ja, eine TISAX Zertifizierungen wird von OEMs unabhängig von der Unternehmensgröße gefordert und kann auch von Einzel- und Kleinstunternehmen grundsätzlich erfüllt werden.
Jedes Assessment ist anders: Die Anforderungen unterscheiden sich hinsichtlich des Schutzbedarfs und der individuellen Gegebenheiten des Unternehmens. Das schlägt sich dann auch auf die Kosten für eine TISAX Zertifizierung nieder. Im Beitrag finden Sie 3 Beispiele: für Kleinunternehmen bieten wir einen Pauschalpreis, für größere Unternehmen je nach Voraussetzung und Standard des ISMS zwei verschiedene Pakete an.