77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
TISAX-Zertifizierung 2026: Geltungsbereich, Prüfstufen und Aufwand realistisch geplant
IT-Sicherheit & NIS-2

TISAX-Zertifizierung 2026: Geltungsbereich, Prüfstufen und Aufwand realistisch geplant

16. Juli 202613 Min. LesezeitVon Lena Vogt
CIVAC

TISAX ist die de-facto Anforderung der deutschen Automobilindustrie an Informationssicherheit in der Lieferkette. Dieser Beitrag erklaert Geltungsbereich, Assessment Levels, Prüfablauf und die saubere Verzahnung mit ISO/IEC 27001:2022.

TISAX (Trusted Information Security Assessment Exchange) ist seit 2017 das gemeinsame Prüf- und Austauschsystem der deutschen Automobilindustrie für Informationssicherheit in der Lieferkette, betrieben von der ENX Association im Auftrag des Verbands der Automobilindustrie (VDA). Wer als Lieferant, Engineering-Dienstleister oder IT-Partner mit deutschen OEM-Konzernen (Volkswagen, BMW, Mercedes-Benz Group, Porsche, Audi, Stellantis Deutschland) zusammenarbeitet, wird in der Regel zu einem TISAX-Label mit definiertem Assessment Level verpflichtet. Die Anforderungen leiten sich aus dem VDA ISA Katalog (aktuell Version 6.0, veroeffentlicht 2024) ab und sind an ISO/IEC 27001:2022 angelehnt, aber nicht deckungsgleich.

Dieser Beitrag richtet sich an Geschäftsfuehrungen, ISB und Informationssicherheits-Verantwortliche, die TISAX 2026 zum ersten Mal oder im Rezertifizierungszyklus planen. Er beschreibt den Prüfablauf, die drei Assessment Levels (AL 1, AL 2, AL 3), die Prüfziele (Information Security, Confidential Information, High Availability, Data Protection, Prototype Protection), den realistischen Aufwand und die Verzahnung mit einem ISMS nach ISO/IEC 27001:2022. CIVAC, eine Compliance-Plattform und Officer-as-a-Service, bietet hierfuer einen Workspace mit 93 Controls, 490 Audit-Vorlagen, EU-Datenresidenz und dokumentierter Berichtslinie.

Auf einen Blick

  • TISAX ist verpflichtend, sobald ein OEM oder Tier-1 die Vorlage eines Labels fordert, und ersetzt nicht die ISO/IEC 27001:2022, sondern ergaenzt sie ggf.
  • Die Wahl des Assessment Levels (AL 2 oder AL 3) ergibt sich aus der Datenkategorie und dem Schutzbedarf, nicht aus Vorlieben des Lieferanten.
  • Vorbereitung dauert in der Regel 4 bis 9 Monate. Wer ein ISMS nach ISO/IEC 27001:2022 betreibt, verkuerzt die Vorbereitung erheblich.

Wer braucht TISAX und wer entscheidet das?

Die Verpflichtung zur TISAX-Zertifizierung entsteht nicht durch Gesetz, sondern durch vertragliche Forderung des Auftraggebers. OEM-Konzerne wie Volkswagen, BMW, Mercedes-Benz Group, Audi und Porsche sowie ihre Tier-1-Zulieferer fordern von ihren direkten und indirekten Lieferanten ein gueltiges TISAX-Label, sobald die Geschäftsbeziehung den Austausch sensibler Informationen umfasst. Das gilt für Engineering-Daten, Prototypen-Informationen, technische Zeichnungen, Lieferantenstammdaten und zunehmend auch für reine IT-Dienstleistungen wie Cloud-Hosting und Wartung.

Wer entscheidet, ob TISAX faellig wird, ist der Einkauf des Auftraggebers in Abstimmung mit der konzerninternen Informationssicherheit. In der Praxis erscheint die Anforderung in der Lieferantenfreigabe oder im Nominierungsschreiben mit konkretem Assessment Level und Geltungsbereich (Scope). Der Geltungsbereich beschreibt Standorte, organisatorische Einheiten und Datenkategorien, für die das Label gilt. Ein Label ist drei Jahre gueltig, gerechnet ab dem Datum der erfolgreichen Prüfung durch einen ENX-zugelassenen Auditor.

Nicht jeder Lieferant braucht TISAX. Reine Materiallieferanten ohne Zugriff auf Engineering-Daten bleiben oft außerhalb, ebenso einfache Logistikdienstleister. Sobald jedoch ein Engineering-Auftrag, ein Werkzeugbau, ein Prototypenbau oder eine IT-Schnittstelle ins Spiel kommt, wird das Label faellig. Auch After-Sales-Dienstleister mit Zugriff auf Diagnosedaten und Software-Update-Pfade werden zunehmend in den TISAX-Pflichtenkreis aufgenommen. CIVAC führt den TISAX-Geltungsbereich gemeinsam mit der ISO/IEC 27001:2022 Aufstellung im Workspace, sodass Mehrfach-Audits durch dieselbe Evidenzbasis bedient werden. Die Rolle des ISB ist hier die operative Drehscheibe und vereint Lieferanten-, OEM- und Audit-Kommunikation in einer Hand. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Assessment Levels: AL 1, AL 2, AL 3 und ihre Prüfziele

TISAX kennt drei Assessment Levels mit unterschiedlicher Prüfintensitaet. AL 1 ist eine reine Selbstauskunft des Lieferanten ohne externe Prüfung und in der Praxis nur in Ausnahmefaellen anerkannt. AL 2 umfasst ein Remote-Assessment durch einen ENX-zugelassenen Prüfer, ergaenzt um Plausibilitaetsbegehung und Dokumentenpruefung. AL 3 ist ein Vor-Ort-Assessment mit erweiterter Tiefenpruefung, Interviews und stichprobenartiger Kontrolle technischer Maßnahmen. AL 3 wird typischerweise für hohe Schutzbedarfe gefordert, insbesondere für Prototype Protection und High Availability.

Die Wahl des Levels folgt der Datenkategorie. Vertrauliche Informationen (Confidential Information) ohne besondere Sensibilitaet führen in der Regel zu AL 2. Daten mit hohem oder sehr hohem Schutzbedarf (Strictly Confidential, Prototype) führen zu AL 3. Daten mit Datenschutzbezug nach DSGVO (Prüfziel Data Protection) sind möglich, in der Praxis aber selten der Treiber. High Availability wird gefordert, wenn Lieferketten oder IT-Dienste mit definierten Verfuegbarkeitsanforderungen betroffen sind.

Der Prüfumfang folgt dem VDA ISA Katalog 6.0 mit derzeit 49 Anforderungen Information Security plus optionale Module für Prototype Protection und Data Protection. Jede Anforderung wird in einem Reifegradmodell (Stufen 0 bis 5) bewertet, mit definierten Mindeststufen je AL. Wer die Mindeststufen nicht erreicht, erhaelt kein Label. Die Maßnahmen muessen dokumentiert, implementiert und auditierbar sein. Die Prüfer arbeiten mit definierten Stichprobentiefen, sodass nicht jede Anforderung in jeder Prüfung vollstaendig validiert wird, sehr wohl aber die Steuerung und die Reifegradbewertung. CIVAC mappt die ISA-Anforderungen direkt auf die 93 Controls nach ISO/IEC 27001:2022 und legt die Nachweise im Workspace ab. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Prüfablauf: Vom Scoping bis zum Label im ENX-Portal

Der TISAX-Prüfablauf folgt einem standardisierten Phasenmodell. Phase eins ist die Registrierung im ENX-Portal mit Festlegung des Geltungsbereichs und der Prüfziele. Phase zwei ist die Selbstauskunft im VDA ISA Tool, in der die Organisation den Ist-Reifegrad zu jeder Anforderung dokumentiert und mit Evidenzen belegt. Phase drei ist die Prüfung durch einen ENX-zugelassenen Auditor, je nach AL als Remote-Prüfung oder Vor-Ort-Termin. Phase vier ist die Befund-Bearbeitung mit Maßnahmenplaenen für Abweichungen.

Befunde werden in zwei Kategorien eingeordnet: Major Non-Conformities verhindern die Label-Vergabe, Minor Non-Conformities werden mit Maßnahmenplaenen abgearbeitet. Die Frist zur Behebung von Abweichungen liegt typischerweise bei 90 Tagen. Wer in dieser Frist nicht liefert, riskiert das Label und den Status im ENX-Portal. Nach erfolgreichem Abschluss vergibt der Auditor das Label, das im ENX-Portal für berechtigte Empfaenger sichtbar wird. Die Geltung ist drei Jahre.

Die Kommunikation zwischen Lieferant, Auditor und ENX-Portal erfolgt elektronisch, mit definierten Schnittstellen. Der ISB des Lieferanten ist Single Point of Contact und verantwortet die Aktualisierung der Selbstauskunft, das Hochladen von Evidenzen und die Nachverfolgung von Maßnahmenplaenen. CIVAC bietet diese Funktion auf einem Workspace mit Versionierung, Vier-Augen-Prinzip und automatischen Erinnerungen für ablaufende Maßnahmen. Der Prüfer ruft an, der Nachweis liegt bereit. Cross-Links zu angrenzenden Rollen wie Datenschutz sind im Workspace bereits vorbereitet, damit DSGVO-relevante Anforderungen aus dem Prüfziel Data Protection ohne separate Aktenfuehrung mitlaufen. Auch die Schnittstelle zum Hinweisgeberschutz nach HinSchG laesst sich auf demselben Berichtsweg führen.

VDA ISA 6.0: Was der Katalog konkret verlangt

Der VDA ISA Katalog 6.0 (Information Security Assessment) ist der inhaltliche Kern der Prüfung. Er gliedert sich in Information Security mit 41 Pflichtanforderungen, Prototype Protection mit ergaenzenden physischen Anforderungen und Data Protection mit DSGVO-naher Prüfung. Information Security deckt klassische ISMS-Themen ab: Informationssicherheitspolitik, Organisation der Informationssicherheit, Asset Management, Zugriffskontrolle, Kryptographie, physische Sicherheit, Betriebssicherheit, Kommunikationssicherheit, Beschaffung und Entwicklung, Lieferantenbeziehungen, Incident Management, Business Continuity, Compliance.

Jede Anforderung wird auf einer Reifegradskala bewertet. Stufe 0 (nicht durchgefuehrt), Stufe 1 (durchgefuehrt, nicht dokumentiert), Stufe 2 (dokumentiert), Stufe 3 (etabliert und nachvollziehbar), Stufe 4 (vorhersagbar), Stufe 5 (optimiert). AL 2 verlangt in der Regel Stufe 3 als Mindestreife, AL 3 verlangt Stufe 3 mit erhoehter Nachweistiefe. Wer in einer Anforderung unter der Mindestreife bleibt, riskiert eine Major Non-Conformity.

Die Prototype Protection ergaenzt physische und organisatorische Maßnahmen: getrennte Zugangsbereiche, Foto-/Aufnahmeverbote, Sichtschutz, geprueftes Personal, kontrollierte Werkzeuge, dokumentierte Logistik. Diese Maßnahmen sind in der ISO/IEC 27001:2022 nicht spiegelbildlich enthalten und muessen explizit umgesetzt werden. CIVAC führt die 49 ISA-Anforderungen gemeinsam mit den 93 Controls aus ISO/IEC 27001:2022 in einem Mapping und kennzeichnet die Stellen, an denen TISAX zusaetzliche Maßnahmen verlangt. Reifegradbewertungen werden im Workspace versioniert dokumentiert und mit Evidenzen verknuepft, sodass der Auditor je Anforderung direkt zur belegenden Akte navigieren kann. Updates der VDA ISA-Versionen (etwa von 5.1 auf 6.0) werden im Workspace differenziell ausgewiesen und mit Anpassungsempfehlungen versehen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Verzahnung mit ISO/IEC 27001:2022: Was übernehmbar ist und was nicht

TISAX und ISO/IEC 27001:2022 überschneiden sich substanziell, sind aber nicht identisch. Wer ein zertifiziertes ISMS nach ISO/IEC 27001:2022 mit dem aktuellen Annex A betreibt, deckt bereits den groessten Teil der ISA-Anforderungen ab. Konkret sind 32 der 49 ISA-Anforderungen aus Information Security weitgehend identisch mit Annex-A-Controls (Stand ISO 27001:2022). Sieben weitere sind teilweise abgedeckt. Zehn Anforderungen aus Prototype Protection und einige spezifische TISAX-Anforderungen sind eigenstaendig und brauchen separate Nachweise.

Die Konsequenz für die Praxis: Wer ISO 27001 betreibt, spart in TISAX typischerweise 30 bis 50 Prozent Vorbereitungsaufwand. Die Auditoren akzeptieren ISO-27001-Nachweise als Evidenz, sofern der Geltungsbereich übereinstimmt. Wer dagegen kein ISMS hat, beginnt von vorne und sollte realistisch 6 bis 9 Monate Vorbereitung einplanen. Eine Empfehlung der Praxis ist, ISO 27001 und TISAX gleichzeitig oder kurz hintereinander zu zertifizieren, sodass die Evidenzbasis nur einmal aufgebaut werden muss.

Wichtig: ISO 27001 ist auch kein TISAX-Ersatz im Sinne des ENX-Portals. Das Label muss separat erworben werden, weil OEMs den Austausch über das Portal verlangen. CIVAC bedient beide Anforderungen über einen gemeinsamen Workspace mit 93 Controls nach ISO/IEC 27001:2022 als Basis. Die Mapping-Tabelle ISA 6.0 zu Annex A 2022 wird gepflegt und erlaubt parallele Audits ohne doppelte Dokumentation. Audit-fest, dokumentiert, ISO/IEC 27001:2022-fest. Eine Übersicht weiterer ISMS-Rollen finden Sie in der Rolluebersicht. Die kombinierte Pflege spart auch in der laufenden Managementbewertung Aufwand, weil Vorfaelle, Maßnahmen und Risiken nur einmal erfasst und beiden Programmen zugewiesen werden.

Aufwand und Kosten: Wie viel Vorbereitung realistisch ist

Der realistische Aufwand für eine TISAX-Erstzertifizierung haengt vom Startpunkt ab. Wer kein ISMS hat, plant 6 bis 9 Monate Vorbereitung, mit zwei bis vier Vollzeitaequivalenten verteilt auf ISB, IT, HR und Facility. Externe Beratungstage liegen typischerweise zwischen 20 und 60. Wer ein etabliertes ISMS nach ISO 27001 betreibt, schafft die Vorbereitung in 3 bis 5 Monaten mit reduziertem Aufwand. Die Prüfkosten beim ENX-zugelassenen Auditor liegen je nach Größe und Komplexitaet zwischen 8.000 und 40.000 Euro für AL 2 und 15.000 bis 80.000 Euro für AL 3.

Hinzu kommen Investitionen in technische Maßnahmen: Identity- und Access-Management, Endpoint Protection, Netzwerksegmentierung, Backup-Konzepte, Loesungen für Logging und Monitoring. Auch physische Maßnahmen, insbesondere für Prototype Protection, sind oft Investitionspositionen: Zutrittskontrolle, Sichtschutz, Schliesssysteme, Foto-Verhinderungstechnik. Diese Investitionen sind nicht TISAX-spezifisch und zahlen auf andere Compliance-Felder ein (NIS-2, ISO 27001, KRITIS, DORA).

Die laufenden Kosten über den Drei-Jahres-Zyklus umfassen interne Audits, Schulungen, Aktualisierung der Selbstauskunft, Bearbeitung von OEM-Anfragen und die Re-Zertifizierung. CIVAC reduziert diese Kosten durch standardisierte Workflows, Wiederverwendung von Evidenzen über mehrere Compliance-Programme hinweg und Officer-as-a-Service-Modelle. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In gemischten Modellen sinkt der Personalbedarf typischerweise um 20 bis 30 Prozent. Auch die Audit-Vorbereitung wird kalkulierbar, weil Vorlagen, Checklisten und Evidenzmuster bereitstehen und nicht in jeder Prüfphase neu aufgesetzt werden muessen. So entstehen verlaessliche Mehrjahres-Budgets statt Spitzenlasten in Prüfjahren.

Typische Befunde und wie sie sich vermeiden lassen

Aus der Prüfpraxis lassen sich wiederkehrende Befundkategorien identifizieren. Erstens, unvollstaendige Asset-Inventare: Informationen, Hardware, Software und externe Schnittstellen sind nicht vollstaendig erfasst, klassifiziert und einem Verantwortlichen zugeordnet. Zweitens, fehlende oder veraltete Risikoanalyse: Eine systematische Bewertung von Bedrohungen und Schwachstellen fehlt oder ist nicht auf den Geltungsbereich abgestimmt. Drittens, nicht nachvollziehbare Zugriffskontrolle: Privilegierte Zugriffe sind nicht dokumentiert, keine regelmäßige Rezertifizierung von Benutzerrechten.

Viertens, schwach implementiertes Incident Management: Meldewege sind nicht definiert, keine dokumentierten Reaktionsprozesse, keine Lessons-Learned-Schleife. Fuenftens, Lieferanten-Risiken nicht adressiert: Eigene Unterlieferanten werden nicht bewertet, Vertragsklauseln zu Informationssicherheit fehlen, kein Monitoring. Sechstens, Business Continuity nicht ausgereift: BIA fehlt oder ist veraltet, RTO/RPO sind nicht je System definiert, keine regelmäßigen Tests.

Siebtens, Prototype Protection nur teilweise umgesetzt: Physische Maßnahmen sind installiert, aber organisatorisch nicht abgesichert (kein Foto-Verbot, keine Mitarbeiterverpflichtung, keine kontrollierte Logistik). Achtens, Schulungen nur sporadisch: Awareness-Maßnahmen sind nicht systematisch, kein dokumentierter Schulungsplan, kein Nachweis über Teilnahme. Neuntens, unzureichende Kryptographie: Verschluesselungsstandards sind nicht definiert, Schlüsselverwaltung ist nicht dokumentiert, ablaufende Zertifikate werden manuell verwaltet. Zehntens, fehlende Datenschutz-Abstimmung: Prüfziel Data Protection zeigt Luecken im Verzeichnis von Verarbeitungstaetigkeiten oder in der Auftragsverarbeitung. Elftens, ungetestete Notfallplaene: Es gibt zwar Konzepte, aber keine dokumentierten Tests oder Lessons-Learned-Auswertungen aus realen Vorfaellen. Zwoelftens, fehlende Verzahnung mit NIS-2: Wer parallel NIS-2-pflichtig ist, muss den 24/72 Meldepfad sauber an die TISAX-Incident-Pflichten ankoppeln. CIVAC adressiert diese Befundkategorien mit 490 einsatzbereiten Audit-Vorlagen, automatischen Erinnerungen für Rezertifizierungen und versionierten Dokumenten. Der Prüfer ruft an, der Nachweis liegt bereit.

Rezertifizierung und kontinuierliche Verbesserung

Das TISAX-Label ist drei Jahre gueltig. Vor Ablauf erfolgt eine vollstaendige Rezertifizierung mit erneuter Prüfung durch einen ENX-zugelassenen Auditor. Der Aufwand ist regelmäßig geringer als bei der Erstzertifizierung, sofern das ISMS gepflegt wurde. Wer dagegen das ISMS nur für die Prüfung aufgebaut und danach vernachlaessigt hat, steht in der Rezertifizierung erneut am Anfang und riskiert Major Non-Conformities.

Zwischen den Audits liegt der operative Betrieb: Interne Audits, Managementbewertung, kontinuierliche Verbesserung, Aktualisierung der Selbstauskunft bei Änderungen, Bearbeitung von Vorfaellen, Schulungen, Lieferantenbewertungen, Compliance-Updates. Die VDA ISA Versionen werden alle paar Jahre aktualisiert (5.1 in 2020, 6.0 in 2024), mit jeweils neuen oder geaenderten Anforderungen. Wer den Anschluss verliert, beginnt im Rezertifizierungsjahr mit erheblicher Nachbesserung.

CIVAC betreibt das ISMS als Daueraufgabe, nicht als Prüfereignis. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im Officer-as-a-Service-Modell übernimmt CIVAC die operative ISB-Funktion mit 2 Werktage SLA, durchgehender Dokumentation und Quartalsberichten an die Geschäftsfuehrung. So bleibt das Label nicht nur formal gueltig, sondern materiell belastbar. Der ENX-Portaleintrag aktualisiert sich automatisch nach erfolgreicher Prüfung, sichtbar für alle berechtigten OEM-Empfaenger. Bei größeren Scope-Änderungen (neue Standorte, neue Geschäftsfelder, M&A-Aktivitaeten) erfolgt eine Scope-Erweiterungs-Prüfung, die im ENX-Portal als Update sichtbar wird und bei Bedarf in den 3-Jahres-Zyklus eingegliedert wird. Die Geschäftsfuehrung wird über Quartalsberichte und ein dokumentiertes Management-Review eingebunden, sodass strategische Entscheidungen mit Bezug zur Informationssicherheit nachvollziehbar bleiben und in der Prüfung als Beleg gefuehrt werden koennen.

Aus dem Lesen einen Auftrag machen: CIVAC operationalisiert TISAX

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service für deutsche Unternehmen mit Compliance-Pflichten in regulierten Branchen. Der Workspace führt 25 Beauftragten-Rollen auf einer Berichtslinie, mit 490 einsatzbereiten Audit-Vorlagen, 93 ISO/IEC 27001:2022 Controls als Plattform-Basis, EU-Datenresidenz und einer dokumentierten Berichtslinie an die Geschäftsfuehrung. TISAX sitzt natuerlich in diesem Modell, weil das VDA ISA Mapping auf ISO/IEC 27001:2022 vorbereitet ist und Mehrfach-Audits eine gemeinsame Evidenzbasis nutzen.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im typischen Engagement startet ein Lieferant mit einem Gap-Assessment gegen VDA ISA 6.0, gefolgt von der Bestellung des Informationssicherheitsbeauftragten (Bestellurkunde, unterschrieben, abgelegt, belegbar) und einer Workspace-Provisionierung innerhalb von 2 Werktage SLA. Der Audit-Trail wird im Workspace gepflegt, Maßnahmenplaene laufen mit Faelligkeiten und Vier-Augen-Abnahme. Der Prüfer findet eine vollstaendige Aktenlage.

Wer TISAX 2026 plant, gewinnt mit einer fruehen Entscheidung Zeit. Vier bis sechs Monate Vorlauf reichen aus, wenn der Workspace strukturiert aufgebaut wird und die ISB-Rolle besetzt ist. Aus dem Lesen einen Auftrag machen. Erreichen Sie das CIVAC-Team unter info@civac.de oder über das Kontaktformular auf civac.de, um einen konkreten Scoping-Plan für Ihren TISAX-Zyklus zu besprechen. Im Anschluss erhalten Sie eine schriftliche Aufwandsschaetzung mit Annahmen, Prüfpfaden und Investitionsbedarf. Auf Wunsch begleitet CIVAC die Auswahl des ENX-zugelassenen Auditors und die Prüfterminplanung, einschliesslich der Abstimmung mit Standorten, Stakeholdern und IT-Bereitstellungsfristen.

FAQ

Ist TISAX gesetzlich vorgeschrieben?

Nein. TISAX ist eine vertragliche Anforderung der deutschen Automobilindustrie, kein gesetzliches Muss im engeren Sinn. Sobald jedoch ein OEM oder Tier-1 das Label fordert, wird es faktisch verpflichtend, weil ohne gueltiges Label keine Nominierung erfolgt. Die Geltungsdauer betraegt drei Jahre, danach ist eine vollstaendige Rezertifizierung durch einen ENX-zugelassenen Auditor erforderlich.

Reicht ISO/IEC 27001:2022 als TISAX-Ersatz?

Nein. ISO/IEC 27001:2022 deckt einen grossen Teil der ISA-Anforderungen ab und reduziert den Vorbereitungsaufwand deutlich, ersetzt aber nicht das TISAX-Label im ENX-Portal. OEMs verlangen den Portal-Eintrag mit definiertem Geltungsbereich. Wer beide Standards parallel betreibt, profitiert von gemeinsamer Evidenzbasis, reduziertem Audit-Aufwand und einer einheitlichen Berichtslinie.

Welches Assessment Level ist das richtige?

Das richtige AL wird vom Auftraggeber im Nominierungsschreiben festgelegt und folgt der Datenkategorie. AL 2 ist Standard für vertrauliche Informationen, AL 3 für Prototypen-Daten oder hohe Verfuegbarkeitsanforderungen. AL 1 ist eine reine Selbstauskunft und in der Praxis selten anerkannt. Die Entscheidung trifft nicht der Lieferant, sondern der Kunde anhand der vereinbarten Datenkategorien.

Wie lange dauert die Vorbereitung auf TISAX?

Ohne ISMS rechnen Sie mit 6 bis 9 Monaten Vorbereitung und zwei bis vier Vollzeitaequivalenten. Mit etabliertem ISO/IEC 27001:2022 ISMS schaffen Sie es in 3 bis 5 Monaten mit reduziertem Personalbedarf. CIVAC verkuerzt den Zyklus durch standardisierte Vorlagen und ISB-Officer-as-a-Service mit 2 Werktage SLA für Bestellung und Workspace-Bereitstellung.

Was kostet die TISAX-Prüfung?

Die reinen Prüfkosten beim ENX-zugelassenen Auditor liegen zwischen 8.000 und 40.000 Euro für AL 2 und 15.000 bis 80.000 Euro für AL 3, je nach Größe und Komplexitaet des Geltungsbereichs. Vorbereitungskosten (Beratung, technische Maßnahmen, interne Ressourcen) liegen typischerweise um ein Vielfaches darueber und sind der eigentliche Kostentreiber.

Kann CIVAC den ISB für TISAX stellen?

Ja. CIVAC stellt einen qualifizierten Informationssicherheitsbeauftragten als Officer-as-a-Service mit Bestellurkunde, Berichtslinie und 2 Werktage SLA. Das Modell laesst sich mit internen Verantwortlichen kombinieren: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im Mischmodell übernimmt CIVAC haeufig die Audit-Vorbereitung und die Pflege der Selbstauskunft.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge