Mit TISAX ist ein eigenes Auditsystem aus der Automobilindustrie, Anlagen- und Maschinenbau sowie aus übergreifenden Branchen für die Informationssicherheit eingeführt worden. Die TISAX-Zertifizierung wurde aus international anerkannten ISO Normen abgeleitet, um so die spezifischen Anforderungen der Automobilbranche abzubilden und mit konkreten Kontrollpunkten umzusetzen. Hierbei wird ein an CMMI angelehntes Reifegradmodell verwendet, welches im Ergebnis einen durchschnittlichen Reifegrad von „3“ erwartet.
Seit 2005 gibt es von dem Verband der deutschen Automobilindustrie (VDA) Anforderungen an die Informationssicherheit für Zu- und Lieferanten, daraus entstand TISAX. Der VDA ISA Katalog wurde 2020 grundlegend überarbeitet und sowohl strukturell als auch inhaltlich optimiert. Im Vordergrund stand hierbei, die Arbeit mit dem Katalog einfacher und effizienter zu gestalten und damit Aufwände für Unternehmen und Prüfer zu reduzieren. Es wurden nicht nur alle Anforderungen des Moduls „Informationssicherheit“ bezüglich des aktuellen Stands der Technik und auf Angemessenheit hin geprüft, sondern auch Redundanzen entfernt und den VDA ISA Katalog zu einem umfangreichen Tool weiterentwickelt.
Die Module "Prototypenschutz" und „Datenschutz“ wurden ebenfalls an die neue Struktur des Katalogs angepasst. Bei der Etablierung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus werden die Mitgliedsunternehmen durch die „Empfehlung Informationssicherheit“ und den VDA ISA Katalog unterstützt.
Wie wichtig ist TISAX für Lieferanten?
TISAX wird zukünftig eine Grundvoraussetzung sein, um als Zulieferer mit OEMs (Original Equipment Manufacturer - Originalgerätehersteller) zusammenarbeiten zu können. Für viele Zulieferer heißt es dann: Kein Geschäft ohne Label. Um den Mehrfachaufwand zu reduzieren, hat der VDA in Zusammenarbeit mit der ENX TISAX etabliert. Hier dient eine eigens entwickelte Online-Plattform dem unternehmensübergreifenden Austausch von Prüfergebnissen in der Informationssicherheit. Die ENX Association ist mit dem Betrieb der Plattform vertraut. Die Unternehmen schalten auf der Plattform Ihre Ergebnisse frei und teilen diese mit Ihrem Geschäftspartner und Zeigen sodass ihre Informationssicherheit TISAX -konform ist.
Die Assessment-Level
Es gibt drei verschiedene Assessment-Level, denen sich Lieferanten und Zulieferer unterziehen können, welches nach der Sensibilität der geteilten Daten und Informationen ausgewählt wird. Die Level unterscheiden sich im jeweiligen Prüfverfahren und der Intensität der Prüfung: von Level 1 (Self-Assessment ohne TISAX Label), Level 2 (Self Assessment, welches in stichprobenartig durch den externen Auditor in geringer Tiefe durch die Auditoren auf Korrektheit überprüft wird), bis hin zu Level 3 (Vor-Ort Prüfung der Informationssicherheit).
Welche Vorteile bietet TISAX? Und wo lauern Probleme?
Die Zulieferer sparen sich durch die Umsetzung der TISAX Anforderungen mehrere externe Lieferantenaudits und müssen nur noch im Rahmen eines Zertifizierungsverfahrens alle drei Jahre geprüft werden. Um TISAX umzusetzen, werden die notwendigen Ressourcen der einzelnen Fachabteilungen, das Bekenntnis der Geschäftsführung und ebenfalls wie bei anderen Managementsystemen ein etabliertes ISMS benötigt. TISAX ist kein Selbstläufer. Um ein entsprechendes Label zu erhalten, sind unabdingliche Grundvoraussetzungen ein Bekenntnis der Geschäftsführung, angemessene zeitliche wie auch personelle Ressourcen sowie ein profundes Branchen-Knowhow notwendig.
Gerne unterstützt die Firma Althammer und Kill Sie bei der Umsetzung einer TISAX-Norm. Profitieren Sie von der ganzheitlichen Unterstützung aus den Bereichen, Datenschutz, Informationssicherheit und Compliance.