TISAX® (Trusted Information Security Assessment Exchange) ist der Branchenstandard für Informationssicherheit in der Automobilindustrie. Grundlage ist der VDA-ISA-Fragenkatalog (aktuell ISA 6) — eine an die Branche angepasste Erweiterung der ISO 27001. Das Assessment wird von akkreditierten Prüfdienstleistern durchgeführt und über die ENX-Plattform ausgetauscht.
TISAX® Zertifizierung — Informationssicherheit in der Automobilindustrie
TISAX® (Trusted Information Security Assessment Exchange) ist der Branchenstandard für Informationssicherheit in der Automobilindustrie. Ein TISAX®-Label ist Voraussetzung für die Zusammenarbeit mit OEMs und Tier-1-Zulieferern.
Wir begleiten Sie von der Vorbereitung bis zum erfolgreichen TISAX®-Assessment — effizient und praxisnah.
Gap-Analyse anfragen
Was ist TISAX®?
TISAX® basiert auf dem VDA-ISA-Fragenkatalog und wird von der ENX Association verwaltet. Unternehmen der Automobilbranche können über TISAX® ihre Informationssicherheit von akkreditierten Prüfdienstleistern bewerten lassen und die Ergebnisse über die ENX-Plattform mit Partnern teilen.
Je nach Schutzbedarf gibt es drei Assessment-Level (AL 1–3). Die meisten OEMs fordern mindestens AL 2 oder AL 3 — mit physischer Vor-Ort-Prüfung.
TISAX® vs. ISO 27001
TISAX® und ISO 27001 haben viele Gemeinsamkeiten, unterscheiden sich aber in wichtigen Punkten:
🏭
Branchenfokus
TISAX® ist speziell für die Automobilindustrie konzipiert und enthält branchenspezifische Anforderungen wie Prototypenschutz.
🔄
Ergebnisteilung
Über die ENX-Plattform teilen Sie Ihr TISAX®-Label mit Partnern — ohne wiederholte Audits für verschiedene Auftraggeber.
📋
VDA-ISA-Katalog
Statt des ISO-27001-Annex-A nutzt TISAX® den VDA-ISA-Fragenkatalog mit eigenen Reifegraden (0–5).
TISAX®-Anforderungen
Der VDA-ISA-Katalog umfasst mehrere Prüfziele. Die häufigsten:
🔒
Informationssicherheit
Schutz vertraulicher Informationen durch technische und organisatorische Maßnahmen.
🚗
Prototypenschutz
Besondere Anforderungen an den physischen und digitalen Schutz von Prototypen und Vorentwicklungen.
👥
Datenschutz
Nachweis der DSGVO-Konformität, insbesondere bei der Verarbeitung personenbezogener Daten von Kunden und Mitarbeitern.
🏢
Drittanbieter-Management
Sicherstellung, dass auch Ihre Zulieferer und Dienstleister angemessene Sicherheitsstandards einhalten.
Der Weg zum TISAX®-Label
In vier Schritten begleiten wir Sie von der Registrierung bis zum erfolgreichen Assessment.
1
Registrierung & Scoping
Registrierung bei der ENX Association und Festlegung der Prüfziele und des Assessment-Levels.
2
Gap-Analyse & Aufbau
Bewertung Ihres Ist-Standes anhand des VDA-ISA und Umsetzung der identifizierten Maßnahmen.
3
Internes Pre-Assessment
Ein Probelauf stellt sicher, dass alle Prüfziele den geforderten Reifegrad erreichen.
4
TISAX®-Assessment
Der akkreditierte Prüfdienstleister führt das offizielle Assessment durch — wir sind an Ihrer Seite.
Häufige Fragen zur TISAX®-Zertifizierung
Was ist TISAX®?
Wer braucht eine TISAX®-Zertifizierung?
Praktisch jeder Zulieferer, der vertrauliche Informationen für Automobilhersteller (OEMs) wie VW, BMW, Daimler oder Porsche verarbeitet. Wer ohne TISAX®-Label kommt, fliegt in vielen Lieferantenportalen heute aus der Auswahl. Auch Tier-2- und Tier-3-Zulieferer werden zunehmend von ihren Auftraggebern dazu verpflichtet.
Was ist der Unterschied zwischen TISAX® und ISO 27001?
TISAX® baut auf ISO 27001 auf, ist aber automotive-spezifischer und prozessual anders gestaltet: Der VDA-ISA-Katalog enthält branchenspezifische Module (z. B. Prototypenschutz, Datenschutz nach DSGVO), das Assessment-Ergebnis wird über ENX mit Auftraggebern geteilt, und es gibt keine "Zertifizierungsstelle" im klassischen Sinn — sondern akkreditierte Prüfdienstleister. Wer ISO 27001 schon hat, hat 70–80 % der Substanz bereits.
Welche Assessment-Level gibt es bei TISAX®?
Drei: AL 1 (Selbstauskunft, kaum noch nachgefragt), AL 2 (Selbstauskunft + Plausibilitätsprüfung mit Remote-Audit) und AL 3 (zusätzlich Vor-Ort-Audit mit Stichproben). Welches Level Sie benötigen, gibt Ihr Auftraggeber vor — gängig sind AL 2 für normale vertrauliche Daten und AL 3 für hochvertrauliche bzw. Prototypenschutz-Anforderungen.
Was kostet eine TISAX®-Zertifizierung?
Die ENX-Registrierung ist mit etwa 3.000 € fix. Die eigentlichen Auditkosten hängen stark von Scope, Standortzahl und Assessment-Level ab und liegen für AL 2 typischerweise im niedrigen, für AL 3 im mittleren fünfstelligen Bereich. Der größte Kostenblock ist meist nicht das Audit selbst, sondern die Vorbereitung — also der interne Aufwand und gegebenenfalls Beratung.
Mehr dazu im Blog: „TISAX®-Kosten: Wo sie wirklich entstehen“
Wie lange ist ein TISAX®-Ergebnis gültig?
Das TISAX®-Label ist drei Jahre gültig. Anders als bei ISO 27001 gibt es keine jährlichen Überwachungsaudits — das ist organisatorisch leichter, bedeutet aber, dass die Vorbereitung auf das Re-Assessment nicht unterschätzt werden darf.
Mehr dazu im Blog: „TISAX®-Kosten: Wo sie wirklich entstehen“
Können wir den ISB extern besetzen?
Ja. TISAX® schreibt nicht vor, dass der Informationssicherheitsbeauftragte intern angestellt sein muss. Ein externer ISB kann gerade für KMUs eine effiziente Lösung sein — wichtig ist, dass er dauerhaft erreichbar, fachlich qualifiziert und mit ausreichend Tiefenkenntnis Ihres Unternehmens ausgestattet ist.
Mehr dazu im Blog: „TISAX®-Kosten: Wo sie wirklich entstehen“
Macht ein größerer Scope TISAX® automatisch teurer?
Nicht zwingend, aber tendenziell ja — mehr Standorte und mehr Mitarbeiter erhöhen den Audit-Aufwand. Wichtiger als die reine Größe ist, wie homogen der Scope ist. Ein klar abgegrenzter, gut dokumentierter Scope spart Aufwand. Ein zerklüfteter Scope mit vielen Sonderfällen kostet überproportional mehr.
Mehr dazu im Blog: „TISAX®-Kosten: Wo sie wirklich entstehen“
Bereit für TISAX®?
Starten Sie mit einer Gap-Analyse und erfahren Sie, wie nah Ihr Unternehmen am TISAX®-Label ist.