Brauche ich für TISAX zwingend ein ISO 27001 Zertifikat?

Nein. TISAX ist ein eigenständiges Verfahren. Ein ISO-27001-Zertifikat ist keine Voraussetzung. Allerdings erleichtert ein bestehendes ISMS nach ISO 27001 die TISAX-Vorbereitung erheblich.

Wie lange ist ein TISAX-Label gültig?

Drei Jahre. Im Gegensatz zur ISO 27001 gibt es keine jährlichen Überwachungsaudits. Nach drei Jahren muss ein vollständiges Re-Assessment durchgeführt werden.

Kann ich TISAX und ISO 27001 gleichzeitig umsetzen?

Ja, und das ist sinnvoll. Der VDA ISA basiert auf ISO 27001, sodass ein integrierter Ansatz Doppelarbeit vermeidet.

Wer braucht Prototypenschutz (AL3 mit Anhang A5)?

Zulieferer, die Zugang zu Prototypen, Vorserienfahrzeugen, Designzeichnungen oder anderen vertraulichen Entwicklungsinformationen haben.

TISAX und ISMS: Anforderungen, Ablauf und Software für Automotive-Zulieferer

Wer als Zulieferer in der Automobilindustrie tätig ist, kommt an TISAX nicht vorbei. OEMs wie Volkswagen, BMW und Mercedes-Benz verlangen den Nachweis eines angemessenen Informationssicherheitsniveaus.

Was ist TISAX?

TISAX steht für Trusted Information Security Assessment Exchange. Es basiert auf dem VDA ISA Katalog und wird von der ENX Association betrieben. Das Besondere: Ergebnisse werden über die ENX-Plattform ausgetauscht — ein Zulieferer muss nicht für jeden Kunden ein separates Audit durchführen.

TISAX vs. ISO 27001

Kriterium	TISAX	ISO 27001
Herkunft	VDA / ENX Association	ISO/IEC (international)
Branchenfokus	Automobilindustrie	Branchenunabhängig
Prototypenschutz	Eigenes Modul (Anhang A5)	Nicht abgedeckt
Assessment-Stufen	AL1, AL2, AL3	Keine Abstufung
Gültigkeitsdauer	3 Jahre	3 Jahre (mit jährlicher Überwachung)
Ergebnisaustausch	Über ENX-Plattform	Zertifikat direkt beim Unternehmen

Der VDA ISA Katalog

Informationssicherheit (Basis): Sicherheitspolitik, Organisation, Asset-Management, Zugriffskontrolle, Kryptografie, physische Sicherheit, Incident Management.

Anhang A5 — Prototypenschutz: Physische Sicherheit (Werkschutz, Zutrittskontrollen, Fotoverbot), digitale Sicherheit und organisatorische Maßnahmen (Need-to-know-Prinzip).

Anhang A6 — Datenschutz: Anforderungen zum Umgang mit personenbezogenen Daten, einschließlich Fahrzeugdaten und Connected-Car-Informationen.

Für ein TISAX-Label muss ein Reifegrad von mindestens 3 (definiert und etabliert) erreicht werden.

TISAX Assessment: Ablauf und Prüfstufen

AL1 — Selbstauskunft: Wird selten akzeptiert.

AL2 — Plausibilitätsprüfung: Remote per Telefoninterview und Dokumentenprüfung.

AL3 — Umfassende Prüfung: Vollständiges Vor-Ort-Assessment. Die meisten OEMs verlangen AL3.

Zeitrahmen und Kosten

Vorbereitung: 3–9 Monate. Assessment-Kosten: 10.000–30.000 € für AL3. Detaillierte Übersicht in Was kostet ein ISMS?.

ISMS-Software mit TISAX-Unterstützung

VDA ISA Katalog integriert — mit allen Prüffragen und Reifegradskala
Selbstbewertungs-Tool auf Basis des aktuellen ISA (Version 6.0)
Prototypenschutz-Modul (Anhang A5) als eigener Prüfbereich
Gap-Analyse zwischen Ist-Zustand und TISAX-Anforderungen
Nachweis-Management zur Dokumentation der Reifegraderfüllung
Parallelbetrieb mit ISO 27001 und ggf. BSI IT-Grundschutz

Häufige Fragen zu TISAX

ISMS-Software mit TISAX-Unterstützung gesucht?

Vergleichen Sie Lösungen, die den VDA ISA Katalog integriert haben.

Zum ISMS-Software-Vergleich

Top-Vergleiche

Weitere Vergleiche