TISAX® Assessment für Unternehmen der Automobilindustrie
Mehr Informationssicherheit für Zulieferer und Dienstleister der Automobilindustrie
Mit der stetig fortschreitenden Digitalisierung wächst gleichzeitig der Anspruch an den Datenschutz und die Informationssicherheit – dies gilt in besonderem Maße auch für die Automobilindustrie.
Unternehmen, die als Zulieferer oder Dienstleister mit Partnern aus der Automotive-Branche zusammenarbeiten, müssen branchenspezifische Anforderungen an Informationssicherheit erfüllen und diese auch regelmäßig nachweisen. Der seit 2018 gültige Standard TISAX® (Trusted Information Security Exchange) aus dem VDA-ISA Katalog vereinheitlicht die Anforderungen an Zulieferer und Dienstleister in der Automobilindustrie und unterstützt Unternehmen bei:
- kontinuierlicher Verbesserung des Informationssicherheitsmanagementsystems (ISMS) Zeit und Kostenersparnis dank Standardisierung: Aufwendige Mehrfachprüfungen entfallen
- Branchenweiter Anerkennung
- Erfüllung von Kundenanforderungen & verbessertem Marktzugang
- Stärkung von Vertrauen in bereits etablierten Geschäftsbeziehungen
Was ist TISAX®?
TISAX® (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie.
Die Grundlage bildet der VDA ISA-Katalog (Information Security Assessment), der Anforderungen an Informationssicherheit, Datenschutz sowie Prototypenschutz definiert.
Ziel von TISAX® ist es, den Aufwand für individuelle Kundenbewertungen zu reduzieren und Assessment-Ergebnisse innerhalb der Lieferkette effizient nutzbar zu machen.
Die wichtigsten Merkmale von TISAX®
• Einheitliche Bewertungskriterien für die Automobilindustrie
• Anerkannte Assessment-Ergebnisse innerhalb der Branche
• Strukturierter Nachweis von Informationssicherheitsmaßnahmen
• Verbesserte Transparenz gegenüber Geschäftspartnern
• Unterstützung beim Schutz sensibler Informationen
Informationsschutz entlang der gesamten Lieferkette
Basierend auf der standardisierten internationalen Industrienorm ISO/IEC 27001 hat der Verband der Automobilindustrie e. V. (kurz: VDA) mit TISAX® unter Trägerschaft der ENX Association einen Anforderungskatalog erstellt, der speziell auf die Wertschöpfungskette der Automobilindustrie zugeschnitten ist. Denn insbesondere in der Automobilbranche, in der sensible Informationen & Daten zwischen Zulieferern, Lieferanten und OEMs ausgetauscht werden, muss Informationssicherheit entlang der gesamten Lieferkette gewährleistet werden. Durch ein TISAX®- Assessment können Unternehmen belegen, dass Sie die hohen automobilspezifischen Anforderungen an Informationssicherheit erfüllen – so wird ein einheitliches wechselseitiges Sicherheitsniveau sensibler Informationen gewährleistet. Sobald ein Unternehmen nachweislich alle Informationssicherheitsanforderungen implementiert hat, erhält es das offizielle TISAX®-Label. Bureau Veritas Certification begleitet Sie kompetent und zuverlässig durch den gesamten TISAX®-Assessmentprozess.
Welche Herausforderungen adressiert TISAX®?
Unternehmen stehen heute vor einer Vielzahl von Anforderungen im Bereich Informationssicherheit.
-
Schutz sensibler Entwicklungsinformationen
Entwicklungsdaten, technische Zeichnungen und Projektdokumentationen müssen vor Verlust, Manipulation und unbefugtem Zugriff geschützt werden.
-
Anforderungen von OEMs und Geschäftspartnern
Viele Automobilhersteller und Zulieferer verlangen einen nachvollziehbaren Nachweis über Informationssicherheitsmaßnahmen.
-
Cyberrisiken entlang der Lieferkette
Die zunehmende Vernetzung von Unternehmen erhöht die Bedeutung eines systematischen Informationssicherheitsmanagements.
-
Vertrauen und Transparenz
Nachweisbare Sicherheitsstandards stärken die Zusammenarbeit mit Kunden, Partnern und Lieferanten.
Flexibler Prüfumfang & individuelle Anforderungen
Den Grundbaustein des TISAX®-Assessments stellt der Themenbereich Informationssicherheit dar. Dieser umfasst sämtliche Informationen, über die ein Unternehmen verfügt – dazu zählen technische, betriebswirtschaftliche, aber auch personenbezogene Daten. Ist in einer oder mehrerer dieser Informationskategorien besonderer Schutz erforderlich, können je nach individuellem Bedarf die unten aufgeführten Optional-Module, aus dem VDA-ISA Kriterienkatalog für ein Assessment herangezogen werden:
| Kurzbezeichnung | Definition |
|---|---|
| Info high | Informationen mit hohem Schutzbedarf |
| Info very high | Informationen mit sehr hohem Schutzbedarf |
| Proto parts | Schutz von Prototypen-Bauteilen und -Komponenten |
| Proto vehicles | Schutz von Prototypenfahrzeugen |
| Test vehicles | Umgang mit Erprobungsfahrzeugen |
| Events + Shootings | Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings |
| Data | Datenschutz Gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO) |
| Special Data | Datenschutz bei besonderen Kategorien personenbezogener Daten Gemäß Artikel 28 („Auftragsverarbeiter“) mit besonderen Kategorienpersonenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung(DSGVO) angegeben |
Der Weg zum TISAX® Assessment
Antworten auf häufige Fragen zum TISAX® Assessment
-
Was bedeutet TISAX®?
TISAX® (Trusted Information Security Assessment Exchange) ist ein branchenspezifischer Standard zur Bewertung der Informationssicherheit in der Automobilindustrie. Er ermöglicht Unternehmen, die Umsetzung definierter Informationssicherheitsanforderungen nachzuweisen und Assessment-Ergebnisse innerhalb des TISAX®-Netzwerks auszutauschen.
-
Ist TISAX® eine Zertifizierung?
Nein. TISAX® ist kein klassisches Zertifizierungsverfahren. Nach erfolgreichem Assessment erhalten Unternehmen ein TISAX®-Label beziehungsweise ein Assessment-Ergebnis, das über die ENX-Plattform für berechtigte Geschäftspartner verfügbar gemacht werden kann.
-
Wer benötigt ein TISAX® Assessment?
Ein TISAX® Assessment ist insbesondere für Unternehmen relevant, die in der Automobilindustrie tätig sind oder mit Herstellern, Zulieferern und Entwicklungspartnern zusammenarbeiten. Dies gilt vor allem dann, wenn vertrauliche Informationen, Prototypendaten oder personenbezogene Daten verarbeitet werden.
-
Wie lange ist ein TISAX® Label gültig?
Die Ergebnisse eines TISAX® Assessments sind in der Regel drei Jahre gültig. Nach Ablauf dieses Zeitraums ist ein erneutes Assessment erforderlich, um die Aktualität und Wirksamkeit der Informationssicherheitsmaßnahmen nachzuweisen.
-
Was ist der Unterschied zwischen TISAX® und ISO 27001?
ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme (ISMS). TISAX® basiert auf dem VDA ISA-Katalog, der sich in wesentlichen Teilen an ISO 27001 orientiert und um spezifische Anforderungen der Automobilindustrie erweitert wurde. Während ISO 27001 branchenübergreifend anwendbar ist, wurde TISAX® gezielt für die Anforderungen der Automobilbranche entwickelt.
-
Welche Assessment Levels gibt es?
TISAX® unterscheidet die Assessment Levels AL1, AL2 und AL3. Das jeweils erforderliche Level richtet sich nach dem Schutzbedarf der Informationen sowie den Anforderungen von Kunden und Geschäftspartnern. Mit steigenden Anforderungen erhöht sich auch die Tiefe und Intensität der Prüfung.
-
Wie lange dauert die Vorbereitung auf ein TISAX® Assessment?
Der Vorbereitungsaufwand hängt von verschiedenen Faktoren ab, beispielsweise von der Unternehmensgröße, dem Umfang der zu prüfenden Standorte und Prozesse sowie dem Reifegrad des bestehenden Informationssicherheitsmanagements. Unternehmen mit bereits etablierten Sicherheitsstrukturen können den Vorbereitungsaufwand häufig deutlich reduzieren. -
Welche Voraussetzungen müssen für ein TISAX® Assessment erfüllt sein?
Vor dem Assessment sollten die relevanten Anforderungen des VDA ISA-Katalogs umgesetzt und dokumentiert sein. Darüber hinaus ist eine Registrierung auf der ENX-Plattform erforderlich. Eine strukturierte Selbstbewertung hilft dabei, den Vorbereitungsstand zu prüfen und mögliche Handlungsfelder frühzeitig zu identifizieren.
Warum Bureau Veritas?
Bureau Veritas unterstützt Unternehmen weltweit bei der Bewertung und Verbesserung ihrer Managementsysteme und Sicherheitsprozesse.
Unsere Expert:innen begleiten Sie während des gesamten Assessment-Prozesses – von der Vorbereitung bis zur erfolgreichen Durchführung des Assessments.
ERGÄNZENDE SERVICES
Entdecken Sie unsere Cyber Security Services für mehr Kontrolle über Ihre digitale Sicherheit.