TISAX®-Zertifizierung Ablauf: In 5 Schritten zum Label

Der Druck auf Zulieferer und Dienstleister in der Automobilindustrie wächst stetig. OEMs und Partner verlangen zunehmend einen validierten Nachweis über Informationssicherheit, bevor eine Zusammenarbeit zustande kommt oder fortgeführt wird. Wer hier nicht liefert, riskiert Aufträge. Im Zentrum dieser Anforderung steht oft der TISAX®-Zertifizierungsablauf. Dieser wirkt auf den ersten Blick häufig komplex und bürokratisch.

In unserer Beratungspraxis erleben wir oft, dass gerade der Einstieg in das Thema Fragen aufwirft. Wo fangen wir an? Welche Anforderungen des VDA-ISA-Katalogs betreffen uns wirklich? Wie lange dauert der Prozess bis zum fertigen Label?

Dieser Artikel ist kein rein theoretischer Exkurs. Er ist ein praxisnaher Leitfaden. Wir brechen den Prozess für Sie in fünf verständliche Schritte herunter und zeigen Ihnen, wie Sie strukturiert sowie effizient zum Ziel gelangen. Unser Ziel ist es, dass der Weg zum TISAX®-Label für Ihr Unternehmen nicht zur Belastung, sondern zum Wettbewerbsvorteil wird.

Was ist TISAX® und warum ist es notwendig?

TISAX® (Trusted Information Security Assessment Exchange) ist der branchenweite Standard für die Informationssicherheit in der Automobilindustrie. Er wurde geschaffen, um Prüfergebnisse zur Informationssicherheit zwischen Automobilherstellern (OEMs) und Dienstleistern oder Lieferanten effizient auszutauschen.

Für Unternehmen in der automobilen Lieferkette ist TISAX® heute weit mehr als eine freiwillige Qualitätsmaßnahme. Es ist faktisch die Eintrittskarte für Geschäftsbeziehungen. Wer sensible Daten verarbeitet oder physischen Kontakt zu Fahrzeugkomponenten hat, muss ein entsprechendes Label vorweisen. Nur so ist eine Beauftragung möglich.

Die klare Arbeitsteilung: VDA und ENX

In unserer Beratungspraxis erleben wir oft Verwirrung bezüglich der verschiedenen Akteure im TISAX®-Kosmos. Für das Verständnis des Prozesses ist es wichtig, zwei zentrale Verantwortlichkeiten zu unterscheiden:

1. Der VDA (das Regelwerk): Der Verband der Automobilindustrie (VDA) definiert den inhaltlichen Standard. Er gibt den Fragenkatalog heraus, auf dem jede Prüfung basiert. Dieser Katalog ist bekannt als VDA ISA (Information Security Assessment). Er deckt die drei Hauptbereiche Informationssicherheit, Prototypenschutz und Datenschutz ab. Weitere Details hierzu finden Sie direkt auf der Seite für Informationssicherheit in Unternehmen beim VDA, der als Herausgeber fungiert.
2. Die ENX Association (die Durchführung): Der VDA stellt die Fragen. Die ENX Association organisiert den Rahmen der Prüfung. Sie fungiert als neutrale Governance-Organisation. Die ENX akkreditiert die Prüfdienstleister und betreibt die Plattform für den späteren Austausch der Labels. Für das operative Verständnis des Verfahrens ist das offizielle TISAX-Teilnehmerhandbuch der ENX Association die maßgebliche Quelle.

Warum ein eigenes System?

Vor der Einführung von TISAX® sahen sich Zulieferer oft mit einer Vielzahl unterschiedlicher Audits konfrontiert. Jeder Automobilhersteller prüfte nach eigenen Kriterien. Dies verursachte enormen Aufwand und Kosten.

Das TISAX®-Modell löst dieses Problem durch gegenseitige Anerkennung. Einmal erworbene Labels werden von allen teilnehmenden Partnern wie VW, BMW oder Daimler akzeptiert. Dabei geht es nicht nur um digitale IT-Sicherheit. Abhängig von Ihrem Auftragsspektrum prüft TISAX® auch physische Sicherheitsaspekte. Dies ist etwa wichtig, wenn Sie Prototypen lagern oder Zugriff auf Testgelände haben.

Zusammenfassend dient TISAX® drei wesentlichen Zielen im B2B-Kontext:

• Standardisierung: Ein einheitliches Sicherheitsniveau in der gesamten Lieferkette.
• Effizienz: Vermeidung von Mehrfach-Audits durch verschiedene Auftraggeber.
• Vertrauen: Nachweisbarer Schutz von sensiblen Entwicklungsdaten und Prototypen.

Der TISAX®-Zertifizierungsablauf: Schritt für Schritt

Der Weg zum Label mag auf den ersten Blick komplex erscheinen. Er folgt jedoch einer klaren und standardisierten Logik. Für Automobilzulieferer ist das Verständnis dieses TISAX-Ablaufs entscheidend. Nur so lassen sich Zeit und Kosten effizient planen. Der offizielle Prozess orientiert sich dabei strikt an den Vorgaben der ENX Association.

Laut dem offiziellen TISAX-Teilnehmerhandbuch der ENX Association gliedert sich das Verfahren im Kern in drei Hauptphasen: Registrierung, Assessment und Austausch. Für die praktische Umsetzung in Ihrem Unternehmen hat es sich bewährt, diese Phasen in 5 operative Schritte zu unterteilen.

Schritt 1: Registrierung im ENX-Portal

Der Prozess beginnt zwingend mit der Online-Registrierung auf der Plattform der ENX. Dieser Schritt ist fundamental. Hier definieren Sie Ihren sogenannten Prüfbereich (Scope). Sie legen fest, welche Standorte und welche Prozesse auditiert werden sollen.

Nach der Registrierung im ENX-Portal erhalten Sie Ihre Scope-ID. Ohne diese ID können Sie keinen Prüfdienstleister beauftragen. Achten Sie hierbei auf Präzision. Ein zu weit gefasster Scope erhöht den Prüfaufwand unnötig. Ein zu enger Scope wird von Ihren Kunden eventuell nicht akzeptiert.

Schritt 2: Selbstauskunft & Gap-Analyse (VDA ISA)

Bevor ein externer Prüfer Ihr Unternehmen betritt, müssen Sie Ihren Status quo bewerten. Die Basis hierfür bildet der VDA-ISA-Katalog Version 6 – Verband der Automobilindustrie. Sie füllen diesen Fragebogen als Selbstauskunft vollständig aus.

Schritt 3: Auswahl des Prüfdienstleisters

TISAX® erlaubt Ihnen den freien Wettbewerb. Sie können Ihren Prüfdienstleister aus einer Liste akkreditierter Unternehmen selbst auswählen. Zu diesen gehören beispielsweise TÜV, Dekra, BSI oder DQS. Holen Sie mehrere Angebote ein, sobald Ihre Scope-ID vorliegt. Die Tagessätze können variieren.

Schritt 4: Die Prüfung (Assessment)

Die eigentliche Auditierung erfolgt durch den gewählten Dienstleister. Diese findet je nach angestrebtem Assessment-Level rein dokumentenbasiert oder als Vor-Ort-Prüfung statt. Der Auditor gleicht Ihre Selbstauskunft mit der Realität ab. Werden Abweichungen festgestellt, erhalten Sie einen Maßnahmenplan. Erst nach Behebung aller kritischen Abweichungen gilt das Audit als bestanden.

Schritt 5: Austausch & Label-Erhalt

Nach erfolgreichem Abschluss wird das Ergebnis nicht automatisch veröffentlicht. Sie behalten die Hoheit über Ihre Daten. Im letzten Schritt erfolgt der Labelaustausch über die ENX-Plattform. Sie schalten Ihr TISAX-Label für spezifische Partner frei. Damit weisen Sie Ihre Compliance nach und stellen die Beauftragung sicher.

Assessment-Level und Prüfziele verstehen

Eine der häufigsten Fragen zu Beginn eines Projekts lautet bei uns: „Welches Prüfverfahren kommt auf uns zu?“ Die Antwort hängt direkt von der Sensibilität der Daten ab. TISAX® unterscheidet hier nach dem Schutzbedarf. Dieser kann „hoch“ oder „sehr hoch“ sein. Davon hängt ab, welches Assessment Level (AL) angewendet wird.

Es ist entscheidend, die Assessment-Level 1, 2 und 3 klar voneinander abzugrenzen. Nicht jedes Unternehmen benötigt einen Auditor vor Ort.

Übersicht der Assessment Level (AL)

In der folgenden Tabelle haben wir die Unterschiede für Sie zusammengefasst:

Assessment Level	Prüfmethode	Anwendungsbereich / Schutzbedarf
Level 1 (AL1)	Reine Selbsteinschätzung ohne Prüfung durch Dritte.	Dient meist nur internen Zwecken. Das ist für ein offizielles TISAX®-Label in der Regel nicht ausreichend.
Level 2 (AL2)	Plausibilitätsprüfung durch einen Prüfdienstleister. Überwiegend telefonisch/remote.	Geeignet für Informationen mit hohem Schutzbedarf. Der Auditor prüft Dokumente und führt Interviews.
Level 3 (AL3)	Umfassende Prüfung inklusive Vor-Ort-Begehung.	Zwingend für Informationen mit sehr hohem Schutzbedarf oder bei Prototypenschutz.

Detaillierte Definitionen und Abgrenzungen zwischen der Remote-Prüfung und der Vor-Ort-Inspektion finden Sie auch im TISAX® Trusted Information Security Assessment Exchange – BSI Group Client Guide. Hier wird deutlich, dass die physische Präsenz des Auditors bei Level 3 notwendig ist. Nur so lässt sich sicherstellen, dass Sicherheitsmaßnahmen nicht nur auf dem Papier existieren.

Die Prüfziele im Detail

Neben dem Level definieren Sie bei der Registrierung auch die konkreten Prüfziele. Diese lassen sich grob in drei Kategorien unterteilen:

1. Informationssicherheit: Der Standardfall. Hier geht es um die Sicherheit von Daten, die Sie empfangen, verarbeiten oder speichern.
2. Datenschutz: Relevante Kategorie, wenn Sie personenbezogene Daten im Auftrag verarbeiten.
3. Prototypenschutz: Relevante Kategorie für Unternehmen, die physische oder digitale Prototypen wie Erlkönige oder Bauteile handhaben.

Besonders beim Thema Prototypenschutz entstehen oft Lücken in der Vorbereitung. Hier geht es um physische Sicherheit wie Sichtschutz, Zäune oder Kameraüberwachung. Daher ist fast immer ein Assessment Level 3 erforderlich. Wie in den Schulungsunterlagen zur Informationssicherheit nach VDA ISA und TISAX – mITSM Training Documentation dargelegt wird, besteht ein direkter Zusammenhang zwischen den Anforderungen an den Prototypenschutz und den notwendigen physischen Sicherheitsmaßnahmen. Ein Auditor muss diese zwingend vor Ort inspizieren.

Reifegrad und Erfolgskriterien: Worauf Auditoren achten

Ein häufiges Missverständnis zu Beginn einer TISAX®-Vorbereitung betrifft die Dokumentation. Viele nehmen an, dass das bloße Vorhandensein einer Richtlinie ausreicht. Tatsächlich prüft der Auditor jedoch nicht nur die Existenz von Dokumenten. Er prüft die wirksame ISMS-Implementierung im Arbeitsalltag. Die Bewertung erfolgt anhand eines sechsstufigen Reifegradmodells. Dieses ist im VDA-ISA-6.0-Excel-Katalog präzise definiert.

Um das TISAX®-Label zu erhalten, müssen Sie im Zielreifegrad bestehen. Doch was bedeuten diese Stufen konkret für Ihre Vorbereitung?

Das Reifegradmodell im Überblick

Die Skala reicht von Level 0 (unvollständig) bis Level 5 (optimierend). Für die Zertifizierung sind in der Regel die Stufen 2 und 3 die kritischen Schwellenwerte. Diese gilt es zu verstehen:

• Level 0 bis 1 (Unvollständig / Durchgeführt): Prozesse sind nicht vorhanden oder erfolgen rein intuitiv auf Zuruf. Es gibt keine Dokumentation. Dies ist für eine Zertifizierung nicht ausreichend.
• Level 2 (gesteuert/managed): Sie haben Ihre Prozesse für Informationssicherheit dokumentiert. Es existieren Richtlinien, Konzepte und Arbeitsanweisungen. Viele Unternehmen bleiben an diesem Punkt stehen. Das genügt jedoch oft nicht.
• Level 3 (etabliert/established): Dies ist der entscheidende Standard. Ein Prozess ist nicht nur dokumentiert. Er ist in das Unternehmen integriert und wird gelebt.

Die höheren Stufen, Level 4 und Level 5, beziehen sich auf messbare Überwachung über Zeiträume hinweg und stetige Verbesserung. Diese sind für das Basiszertifikat an vielen Stellen nicht zwingend der Startpunkt.

Das Ziel: Der gelebte Prozess

In unserer Beratungspraxis erleben wir häufig eine Diskrepanz. Unternehmen erstellen hervorragende Dokumentationen, scheitern aber an der Operationalisierung. Ein Auditor wird nicht nur prüfen, ob es einen Prozess für das Onboarding neuer Mitarbeiter gibt. Dieser entspräche Level 2. Er wird stichprobenartig nachweisen wollen, ob dieser Prozess im letzten Halbjahr bei Neueinstellungen auch konsequent angewendet wurde. Das entspricht Level 3.

Das bedeutet für Sie:

1. Schreiben Sie auf, was Sie tun.
2. Tun Sie, was Sie aufgeschrieben haben.
3. Wichtig: Produzieren Sie Nachweise wie Logs, Protokolle oder Tickets. Diese belegen, dass Sie die Prozesse über einen gewissen Zeitraum hinweg aktiv ausgeführt haben.

Schließen Sie die Lücke zwischen theoretischem Anspruch und praktischer Wirklichkeit. Nur dann wird das Reifegradmodell für Sie zum Erfolgsfaktor.

Dauer und Kosten der Zertifizierung

Eine der häufigsten Fragen in unseren Beratungsgesprächen betrifft die notwendigen Ressourcen. Mit welchem Budget und welchem Zeitrahmen muss gerechnet werden? Jedes Unternehmen bringt unterschiedliche Voraussetzungen mit. Daher gibt es keinen Einheitspreis. Dennoch lassen sich auf Basis unserer Erfahrungswerte realistische Rahmenbedingungen abstecken.

Wie viel Zeit sollten Sie einplanen?

Die Dauer für Vorbereitung und Audit hängt maßgeblich von Ihrem aktuellen Informationssicherheits-Reifegrad ab. In unserer Praxis sehen wir meist zwei Szenarien:

1. Hoher Reifegrad: Verfügt Ihr Unternehmen bereits über ein etabliertes ISMS wie bei einer ISO 27001, kann der Prozess oft in wenigen Monaten abgeschlossen werden. Hier geht es primär um das Mapping auf die spezifischen VDA-Anforderungen.
2. Start auf der grünen Wiese: Fehlen dokumentierte Prozesse weitgehend, sollten Sie realistisch 9 bis 12 Monate einplanen. Bedenken Sie dabei einen wichtigen Aspekt: Sicherheitsmaßnahmen dürfen nicht nur auf dem Papier existieren. Sie müssen über einen gewissen Zeitraum im Unternehmen gelebt werden, um ihre Wirksamkeit nachzuweisen. Erst dann gibt der Auditor sein OK.

Zusammensetzung der Kosten

Die Kosten der TISAX®-Zertifizierung setzen sich aus externen Gebühren und internen Investitionen zusammen. Eine pauschale Summe zu nennen, ist schwierig. Die Preise variieren je nach Größe des Prüfbereichs (Scope) und dem gewählten Assessment-Level.

Als grobe Orientierung für kleine und mittlere Unternehmen (KMU) hat sich in Marktanalysen eine Spanne herauskristallisiert. Die externen Gesamtkosten liegen oft zwischen ca. 8.000 Euro und über 20.000 Euro. Diese teilen sich wie folgt auf:

• Externe Kosten:
  • ENX-Registrierungsgebühr: Diese ist fix und an die ENX Association zu entrichten.
  • Prüfdienstleister: Die Tagessätze der Auditoren wie TÜV, DEKRA oder DQS variieren. Ein Vor-Ort-Audit bei Level 3 ist durch Reisekosten und Zeitaufwand naturgemäß teurer als eine Remote-Prüfung bei Level 2.
• Interne Kosten:
  • Hierzu zählen Personalaufwände für die Koordination, die Erstellung der Dokumentation sowie ggf. Beratungskosten durch externe Experten. Diese unterstützen Sie bei der Gap-Analyse und Maßnahmenumsetzung.
  • Dazu kommen Investitionen in IT-Infrastruktur oder physische Sicherheit wie Zutrittssysteme oder Zäune für den Prototypenschutz, falls hier Lücken bestehen.

Gültigkeitsdauer und Re-Assessment

Planen Sie auch den Zyklus der Zertifizierung in Ihr Budget ein. Ein TISAX®-Label ist zeitlich begrenzt. Gemäß den TISAX Participation General Terms and Conditions – ENX Association beträgt die maximale Gültigkeitsdauer des Labels drei Jahre.

Wichtig zu wissen: Im Gegensatz zu einer ISO-27001-Zertifizierung gibt es bei TISAX® keine jährlichen Überwachungsaudits. Stattdessen ist nach Ablauf der drei Jahre ein komplettes Re-Assessment notwendig. Wir empfehlen unseren Mandanten daher ein vorausschauendes Handeln. Stoßen Sie den Prozess zur Erneuerung rechtzeitig vor Ablauf des Labels an. So vermeiden Sie Lücken in der Nachweisführung gegenüber Ihren Kunden.

Fazit: Gut geplant ist halb zertifiziert

Der Weg zum TISAX®-Label mag auf den ersten Blick wie eine bürokratische Hürde wirken. In der Praxis ist er vor allem eines: ein strukturierter Prozess zur Steigerung Ihrer Informationssicherheit. Wer den TISAX-Zertifizierungsablauf von der sauberen Scope-Definition bis zum finalen Audit gewissenhaft plant, minimiert Reibungsverluste. Sie sichern sich damit langfristig die Wettbewerbsfähigkeit als Zulieferer in der Automobilindustrie.

Ein weiterer strategischer Vorteil wird dabei oft übersehen. Die Investition in Informationssicherheit ist ein entscheidender Schritt in Richtung Zukunftssicherheit. Wie die ENX Association in ihrem Dokument NIS2 Fulfilment Through TISAX darlegt, erfüllen Sie mit der Umsetzung der VDA-ISA-Anforderungen bereits heute wesentliche Aspekte der kommenden europäischen NIS2-Richtlinie. Eine erfolgreiche Zertifizierung ist somit nicht nur eine Eintrittskarte für aktuelle OEM-Beauftragungen. Sie bereitet Sie auch effektiv auf kommende gesetzliche Verschärfungen vor.

Wir unterstützen Sie auf Ihrem Weg zum Label

Sind Sie unsicher, welches Assessment-Level für Ihre spezifischen Anforderungen notwendig ist? Dann hilft Ihnen unser praktischer Leitfaden zum TISAX-Label weiter.

Wissen Sie nicht, wie Sie die Gap-Analyse effizient starten sollen? In unserer Beratungspraxis erleben wir immer wieder, dass ein externer Blick hilft. So nehmen wir unnötige Komplexität aus dem Projekt und lenken den Fokus auf das Wesentliche.

Unser Expertenteam unterstützt Sie gerne bei der Vorbereitung und begleitet Sie durch den gesamten Prozess. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch, um Ihren aktuellen Status zu besprechen.