Unser OnePager April 2021 zum Download - Beratung TISAX®

TISAX® Anforderungen

Die Automobilindustrie hat in den letzten 20 Jahren den Fokus auf digitale Technologien gesetzt. Beispielsweise finden wir heute in jedem Auto eine Rückfahrkamera, Bluetooth, CarePlay, Reifendruckmessung, Geschwindingungsbegrenzer und vieles mehr. Dadurch werden die Systeme immer anfälliger auch für Bedrohungen wie wir sie aus der Informationssicherheit ISO 27001 und TISAX® kennen.

Gerade deswegen haben die Automobilhersteller (OEM) mit dem ENX-Verband (Verband europäischer Fahrzeughersteller) bereits in 2016 einen neuen Standard mit namens TISAX entwickelt. TISAX setzt auf den durch den Verband der deutschen Automobilindustrie VDA entwickelten Anforderungen „VDA ISA Fragenkatalog 5.X“ auf. ISA bedeutet „Information Security Assesment“. Der Anforderungskatalog des VDA ISA setzen auf die im Anhang A der ISO 27001 Maßnahmen (Kontrollen) auf oder sind derer sehr ähnlich.

Neben den bereits in der ISO 27001 im Anhang A aufgeführten Sicherheitskontrollen hat der Fragenkatalog VDA ISA® noch weitere Sicherheitskontrollen bzgl. EU-DSGVO (Datenschutz) und Prototypenschutz implementiert.

Die Reifegrade

Für jede Anforderung setzt TISAX auf eine Reifegradbewertung, um deren Wirksamkeit aufzuzeigen. Ausserdem wird für jede Anforderung aus dem Fragenkatalog eine Zielreifegradbewertung gefordert. Gerade Unternehmen, die Step by Step die TISAX Anforderungen umsetzen wird dadurch die Möglichkeit gegeben, zuerst einen Mindestreifegrad zu implementieren. Durch die Reifegradbewertung erhalten sie im Laufe der Zeit eine kontinuierliche Verbesserung ihres ISMS. Den Reifegrad, den Sie erreichen müssen bestimmt der Kunde.

Reifegrade ISO 27001 und TISAX Anforderungen
Reifegrade ISO 27001 und TISAX Anforderungen

TISAX Assessment Level

  • Assessment Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung
  • Assessment Level 2: Remote Überprüfung durch die Zertifizierungsstelle – der Assessment Level 2 beinhaltet eine Überprüfung der eingereichten Dokumentation und Nachweise. Im Anschluss daran wird eine Telefonkonferenz bzw. Remote Überprüfung stattfinden
  • Assessment Level 3: Vor Ort Überprüfung durch die Zertifizierungsstelle – der Assessment Level 3 wird vor Ort im Unternehmen durchgeführt. Bewertet werden die Dokumentation, Nachweise und die Räumlichkeiten bzw. das Firmengelände.

TISAX Selbsteinschätzung

Für die TISAX Selbsteinschätzung muss die ISO 27001 (Anhang A) implementiert sein. Durch die Selbsteinschätzung wird überprüft ob der erwartete Reifegrad den TISAX Anforderungen entspricht. Die Selbsteinschätzung erfolgt über den Anforderungskatalog VDA ISA 5.03 (Stand 2021). Herausgeber des Anforderungskatalogs ist der Verband der deutschen Automobilindustrie.

TISAX Anforderungskatalog

Der TISAX Anforderungskatalog kann von der Webseite des VDA heruntergeladen werden (Excel Sheet). Der Kriterienkatalog ist in drei Kategorien unterteilt: Informationssicherheit, Prototypenschutz und Datenschutz. Die Anforderungen (Fragen) in der Kategorie sind für alle Unternehmen gültig. Die Kategorien enthalten mehr als ein Prüfziel pro Kriterienkatalog. Anders als bei der ISO 27001 wo nur ein Maßnahmenziel einer oder mehrerer Maßnahmen zugeordnet werden kann. Man sollte sich intensiv mit den Kriterienkatalog des VDA beschäftigten.

PDCA Zyklus

Die TISAX hat im Gegensatz zur ISO 27001 keinen PDCA Zyklus als kontinuierliche Verbesserung implementiert. Eine Reifegradbewertung kann nicht nur für die Kontrollen (Maßnahmen) eingeführt werden, sondern auch für alle Prozesse im ISMS. Bewerten Sie ihre Prozesse anhand der Reifegradbewertung und zeigen Sie dadurch die kontinuierliche Verbesserung ihrer Prozesse und des gesamten ISMS auf. ISO 27001 und TISAX sind sehr ähnlich aufgebaut. Wenn Sie bereits ein zertifizertes ISMS nach ISO/IEC 27001 eingeführt haben, dann sind die TISAX Anforderungen in Punkto DSGVO und Prototypenschutz als weiterer Baustein zu implementieren. Die Anforderungen des Prototypenschutz müssen nur dann implementiert werden, wenn Ihnen Prototypen durch ihre Kunden bereitgestellt werden. Die Anforderungen an den Prototypenschutz sind nicht ohne höheren Aufwand zu implementieren.

TISAX Zertifizierung

Die TISAX Zertifizierung wird über einen akkreditierten Prüfdienstleister durchgeführt. Zu vor muss sich das Unternehmen auf dem TISAX-Portal Online registrieren. Die Zertifizierung wird dann anhand des VDA Fragenkatalogs ISA durchgeführt. Die Zertifizierung muss alle 3 Jahre wiederholt werden.

TISAX Kosten

Viele Unternehmen nehmen die Unterstützung von externen Beratern gerne in Anspruch . Die TISAX Kosten für die Beratung sind je nach Unternehmensgrösse unterschiedlich. In der Regel muss man mit Kosten von 20.000 – 50.000 EUR für kleine- und mittelständische Unternehmen rechnen. Hinzu kommen noch Kosten für Investitionen in neue Server, Räumlichkeiten, Video bzw. Alarmanlagen und sonstige Investitionen in die Infrastruktur, z.B. Sichtschutz bei Fenstern und Türen.

TISAX Automobilindustrie

Alle bekannten Fahrzeughersteller in Deutschland fordern inzwischen von ihren Lieferanten, die Software oder Produkte mit integrierter Software liefern, den TISAX Standard. Daimler mit der MBST 2020 oder Volkswagen in der Geheimhaltungsvereinbarung Teil 2. Alle Lieferanten, die eine Geheimhaltungsvereinbarung mit Volkswagen unterschreiben, verpflichten sich, die ISO 27001 und die Ergänzung des VDA ISA einzuführen.

Zusammenfassung

ISO 27001 und TISAX Anforderungen sind ähnlich aufgebaut und ergänzen sich. Alles in allen erhöhen die TISAX Anforderungen die Messlatte des ISMS. Grundsätzlich können beide Systeme miteinander und verbessern die Prozesse sowie das gesamte Informationssicherheitsmanagementsystem ISMS.

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität

Schlagwörter: