Anforderungen an eine TISAX® Zertifizierung
Eine erfolgreiche TISAX Zertifizierung basiert auf dem VDA ISA Fragenkatalog – dem Standardwerk der Automobilindustrie zur Bewertung von Informationssicherheit, Datenschutz und Prototypenschutz. Der Katalog orientiert sich an der ISO/IEC 27001 und dient als Bewertungsrahmen für alle TISAX Assessment Levels. Jedes Unternehmen muss anhand dieses Fragenkatalogs seine Prozesse und Kontrollen dokumentieren, prüfen und nachweisen, dass die Informationssicherheit dauerhaft gewährleistet ist.
📘 VDA ISA Fragenkatalog – Die drei Hauptkategorien
- Informationssicherheit: Grundlage der TISAX Zertifizierung mit 41 Maßnahmen (Controls).
- Datenschutz: Zusatzanforderungen für personenbezogene Daten, enthält 4 Controls.
- Prototypenschutz: Schutz von Fahrzeugen, Komponenten und Bauteilen mit 22 Controls.
⚙️ Anforderungen an den VDA ISA Fragenkatalog
- Erstellung einer Selbstauskunft und einer Erklärung zur Anwendbarkeit (SoA).
- Definition des Scopes (Standard-, Erweiterter- oder Eingeschränkter Scope).
- Ausschluss von Maßnahmen ist nur mit Begründung erlaubt.
- Risikoakzeptanz bei verbleibenden Gefahren muss dokumentiert werden.
- Die Aufrechterhaltung der Informationssicherheit ist dauerhaft sicherzustellen.
🧩 Bewertung im TISAX Audit
Bei der TISAX Prüfung werden die Ergebnisse nach Art und Schwere der Abweichung bewertet:
- Hauptabweichung: Eine MUSS-Anforderung ist nicht erfüllt – erhöhtes Risiko für das gesamte ISMS.
- Nebenabweichung: Eine Anforderung ist teilweise erfüllt – Risiko begrenzt auf einzelne Prozesse.
🏁 TISAX Assessment Level
- Level 1 – Normaler Schutzbedarf: Selbstauskunft; Fokus auf Informationssicherheit.
- Level 2 – Hoher Schutzbedarf: Prüfung auf Aktenbasis, ohne Prototypenschutz.
- Level 3 – Sehr hoher Schutzbedarf: Vor-Ort-Audit inklusive Datenschutz und Prototypenschutz.
Der passende Level hängt vom Grad der Vertraulichkeit der verarbeiteten Informationen ab. Je höher der Schutzbedarf, desto intensiver das Auditverfahren.
🏢 Anerkannte Zertifizierungsstellen für TISAX®
- Bureau Veritas Certification
- DEKRA Certification GmbH
- DQS GmbH
- TÜV Nord CERT GmbH
- TÜV Rheinland
- TÜV SÜD Management Service
- Ernst & Young Wirtschaftsprüfungsgesellschaft
- KPMG AG Wirtschaftsprüfungsgesellschaft
Nur durch die ENX Association akkreditierte Prüfdienstleister dürfen ein offizielles TISAX Label vergeben. SMCT MANAGEMENT unterstützt Sie dabei, optimal auf diese Prüfungen vorbereitet zu sein.
Hinweis: ENX, TISAX® und ihre jeweiligen Logos sind eingetragene Marken der ENX Association. SMCT MANAGEMENT steht in keiner geschäftlichen Beziehung zur ENX Association. Unser Angebot bezieht sich ausschließlich auf Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment. Die ENX Association ist nicht verantwortlich für die Inhalte auf unserer Webseite.
Der Weg zur Zertifizierung
- Einführung eines ISMS mit den Zusatzforderungen VDA ISA (VDA Information Security Assessment)
- Registrierung bei der ENX – Portal dient zum Austausch der Prüfergebnisse (Sichtbar für jeden TISAX® Teilnehmer
- Zertifizierungsstelle auswählen
- Selbsteinschätzung durchführen bzw. Voraudit durch die Zertifizierungsstelle
- Zertifizierungsaudit Stufe 1 (Bereitschaftsbewertung) und Stufe 2 (Zertifizierung)
- Erteilung Zertifikat (Gültigkeit 3 Jahre – jährliche interne Audits)
Kosten einer TISAX® Zertifizierung
Die TISAX Zertifizierungskosten hängen von verschiedenen Faktoren ab – insbesondere von der Anzahl der Mitarbeitenden, die in den Anwendungsbereich des Informationssicherheits-Managementsystems (ISMS) fallen, sowie von der Komplexität Ihrer Organisation und den gewählten Assessment Levels. Pro Manntag sollten Sie mit etwa 1.200 bis 1.500 EUR rechnen. Hinzu kommen Reise- und Übernachtungskosten der Auditoren. Diese Kosten fallen pro Prüfer an und können je nach Zertifizierungsstelle unterschiedlich ausfallen.
💰 Was beeinflusst die Gesamtkosten?
- Anzahl der Standorte und Mitarbeitenden im ISMS-Geltungsbereich
- Assessment Level (1–3: von Selbstauskunft bis Vor-Ort-Audit)
- Reisezeiten und Übernachtungskosten der Auditoren
- Erforderliche Nachaudits bei Korrekturmaßnahmen
- Erfahrung des Prüfdienstleisters und Tagessatzstruktur
Tipp: Holen Sie immer mehrere Angebote verschiedener akkreditierter TISAX Prüfdienstleister ein – hier gibt es häufig Unterschiede bei Tagessätzen und Nebenkosten. Besonders bei Reisekosten lassen sich erhebliche Einsparungen erzielen.
🧭 Beispielkalkulation für einen Standort
- Beratung & Projektmanagement: ca. 10.000 – 15.000 €
- Interner Aufwand: ca. 80–120 Manntage
- Zertifizierungsstelle: ca. 5.000 – 10.000 €
- Investitionen in Infrastruktur: individuell je nach Sicherheitslücken
Insgesamt bewegen sich die TISAX Einführungskosten je nach Ausgangslage zwischen 10.000 € und 30.000 € pro Standort. Der Zeitrahmen liegt in der Regel zwischen 6 und 9 Monaten.
🤝 Unterstützung und Begleitung zur Zertifizierungsreife
Wir begleiten Sie von der ersten GAP-Analyse über die Umsetzung der VDA ISA Anforderungen bis hin zur erfolgreichen Zertifizierung. Dabei orientieren wir uns an Ihren internen Strukturen und sorgen dafür, dass Sie schnell die notwendige TISAX-Reife erreichen.
Vereinbaren Sie jetzt Ihr kostenloses Erstgespräch – telefonisch oder über unser Kontaktformular. Gemeinsam entwickeln wir Ihren individuellen TISAX Projektplan und unterstützen Sie bei der Umsetzung bis zur erfolgreichen Prüfung.
📩 Kostenloses Erstgespräch anfragen| Vorteile | Nachteile | Standard |
|---|---|---|
| Internationale Anerkennung | Implementierung kann zeitaufwendig und teuer sein | ISO 27001 |
| Umfassender Sicherheitsansatz | Möglicherweise nicht branchenspezifisch genug | ISO 27001 |
| Flexibilität bei der Auswahl von Kontrollen | Erfordert kontinuierliche Überwachung und Aktualisierung | ISO 27001 |
| Reduziert Risiken und verbessert das Vertrauen | Kann hohe Anforderungen an das Personal stellen | ISO 27001 |
| Unterstützt Compliance-Anforderungen | ISO 27001 | |
| Branchenspezifisch (Automobilindustrie) | Nur innerhalb der Automobilindustrie anerkannt | TISAX |
| Gemeinsames Bewertungs- und Austauschverfahren | Möglicherweise weniger Flexibilität bei der Auswahl von Kontrollen | TISAX |
| Schutz von vertraulichen Informationen und geistigem Eigentum | Implementierung kann zeitaufwendig und teuer sein | TISAX |
| Harmonisierung von Sicherheitsanforderungen | Erfordert kontinuierliche Überwachung und Aktualisierung | TISAX |
| Reduziert redundante Audits | Kann hohe Anforderungen an das Personal stellen | TISAX |
Vor- und Nachteile TISAX – ISO 27001
ISO 27001 und TISAX® verfolgen beide das Ziel, ein wirksames Informationssicherheits-Managementsystem (ISMS) zu etablieren – unterscheiden sich jedoch in Ausrichtung, Detailtiefe und Zielgruppe. Während ISO 27001 international branchenübergreifend anerkannt ist, richtet sich TISAX speziell an die Automobilindustrie und deren Lieferkette. Im Folgenden die wichtigsten Vor- und Nachteile im direkten Vergleich.
🌍 ISO 27001 – Internationaler Standard
- Vorteile:
- Weltweit anerkannter Sicherheitsstandard für alle Branchen
- Ideal für international tätige Unternehmen
- Flexibel anpassbar an individuelle Geschäftsprozesse
- Fördert strukturiertes Risikomanagement & kontinuierliche Verbesserung (PDCA)
- Stabile Basis für Erweiterungen (z. B. TISAX®, ISO 27701)
- Nachteile:
- Relativ hoher Dokumentations- und Einführungsaufwand
- Audits oft komplex und ressourcenintensiv
- Keine branchenspezifischen Vorgaben (weniger „Leitplanken“ als TISAX®)
🚗 TISAX® – Branchenlösung für die Automobilindustrie
- Vorteile:
- Spezifisch für OEMs, Zulieferer und Dienstleister im Automotive-Bereich
- Klar definierte Anforderungen über den VDA ISA-Katalog
- Einheitliche Bewertungssystematik durch akkreditierte Prüfdienstleister
- Erleichtert Zusammenarbeit mit Herstellern (z. B. BMW, VW, Mercedes-Benz)
- Nachweis über ENX-Plattform – hohe Transparenz für Partner
- Nachteile:
- Im Wesentlichen nur in der Automobilindustrie relevant
- Begrenzte internationale Gültigkeit außerhalb des ENX-Kontexts
- Fester Fragenkatalog (VDA ISA) – weniger Spielraum für Individualisierung
- Zertifizierung nur über zugelassene Prüfdienstleister möglich
🔍 Fazit: Kombination als Best Practice
Für Unternehmen der Automobilindustrie ist die Kombination aus ISO 27001 (als internationales Fundament) und TISAX® (als branchenspezifischer Nachweis) oft die stärkste Lösung. Zulieferer mit internationalen Kunden profitieren von doppelter Anerkennung. Unternehmen außerhalb der Automobilindustrie können auf ISO 27001 allein setzen, um Compliance, Vertrauen und Cyberresilienz nachhaltig zu stärken.
FAQ – Unterschiede zwischen TISAX® und ISO 27001
1️⃣ Was ist der Hauptunterschied zwischen TISAX® und ISO 27001?
2️⃣ Kann eine ISO 27001-Zertifizierung für TISAX® angerechnet werden?
3️⃣ Welche Zertifizierung ist sinnvoller für mein Unternehmen?
4️⃣ Wie lange dauert die Einführung von ISO 27001 bzw. TISAX®?
5️⃣ Können ISO 27001 und TISAX® parallel umgesetzt werden?
6️⃣ Welche Kosten entstehen für die Zertifizierung?
7️⃣ Welche Vorteile bietet eine Kombination von ISO 27001 & TISAX®?
8️⃣ Wie oft müssen Audits durchgeführt werden?
9️⃣ Wer darf TISAX®-Audits durchführen?
🔟 Welche Rolle spielt SMCT MANAGEMENT im TISAX-Prozess?
Weiterführende Themen zu ISO 27001 & TISAX®
Entdecken Sie weitere praxisnahe Beiträge rund um Informationssicherheit, ISO 27001 und TISAX®. Unsere Artikel helfen Ihnen, Prozesse effizienter zu gestalten und Ihr ISMS auf die nächste Stufe zu bringen.
