TISAX®-Zertifizierung: Dauer & Gültigkeit – Ihr kompletter Zeitplan

Sind Sie Zulieferer in der Automobilindustrie? Dann wissen Sie: An der TISAX®-Anforderung führt kein Weg vorbei. Doch neben der Frage nach dem Was und Warum beschäftigt unsere Kunden vor allem eine Frage: Wie lange dauert der gesamte Prozess und wie lange ist das Label gültig? Diese Unsicherheit bei der Zeitplanung kann Projekte lähmen und zu unnötigem Stress führen.

Als Berater kenne ich diese Herausforderungen aus der Praxis. In diesem Leitfaden zeige ich Ihnen deshalb Schritt für Schritt den gesamten Ablauf, gebe Ihnen realistische Zeitrahmen an die Hand und verrate, worauf Sie strategisch achten müssen, um Ihr TISAX®-Assessment effizient und erfolgreich zu meistern.

Für den strukturierten Einstieg in den gesamten Prozess empfehlen wir unseren kompletten TISAX®-Leitfaden mit Vorgehen und Praxistipps.

Das Wichtigste in Kürze: Dauer & Gültigkeit von TISAX®

Für alle, die es eilig haben, habe ich die wichtigsten Fakten hier auf einen Blick zusammengefasst:

• Vorbereitungsdauer: Rechnen Sie mit 3 bis 9 Monaten. Dieser Zeitrahmen hängt entscheidend vom Reifegrad Ihres Informationssicherheits-Managementsystems (ISMS) ab. Eine gründliche Vorbereitung ist die beste Investition in einen reibungslosen Prozess.
• Prüfungsdauer (Assessment): Das eigentliche Audit ist vergleichsweise kurz und dauert je nach Umfang nur wenige Tage bis Wochen.
• Frist für Nachbesserungen: Bei Abweichungen haben Sie bis zu 9 Monate Zeit, um diese zu beheben – ein großzügiger Puffer, den Sie nutzen sollten.
• Gültigkeit des TISAX®-Labels: Ihr Label ist für 3 Jahre gültig. Wie Sie Ihr ISMS in den drei Jahren wirksam am Laufen halten, zeigt unser Leitfaden für wirksame interne Audits.
• Planung der Re-Zertifizierung: Mein dringendster Rat: Starten Sie den Prozess zur Erneuerung spätestens 1 Jahr vor Ablauf des Labels, um Risiken und Auftragsverluste zu vermeiden.

Was ist TISAX® und warum ist es wichtig? Eine kurze Einordnung

Wenn Sie in der Automobilbranche tätig sind, ist Ihnen der Begriff TISAX® sicher schon begegnet. TISAX® steht für Trusted Information Security Assessment Exchange und ist ein Prüf- und Austauschmechanismus für die Informationssicherheit, der vom Verband der Automobilindustrie (VDA) entwickelt wurde und von der ENX Association betrieben wird. Für Zulieferer ist er heute de facto die Eintrittskarte zur Zusammenarbeit mit den großen Herstellern.

Ein wichtiger Punkt, den ich gerne direkt zu Beginn klarstelle: Auch wenn oft von einer „TISAX®-Zertifizierung“ die Rede ist, handelt es sich formal um ein Assessment, an dessen Ende Sie ein sogenanntes TISAX®-Label erhalten. Dieser Unterschied ist mehr als eine Formalie; er betont den prozessorientierten und wiederkehrenden Charakter der Prüfung.

Die gute Nachricht ist: Das Rad wird hier nicht neu erfunden. TISAX® baut auf einem sehr soliden und international anerkannten Fundament auf: der Norm für Informationssicherheits-Managementsysteme (ISMS), der ISO/IEC 27001. Ich erkläre das gerne so: TISAX® nimmt die bewährten Prinzipien der ISO 27001 und ergänzt sie um spezifische Anforderungen der Automobilindustrie, etwa zum Prototypen- oder Datenschutz. Diese branchenspezifische Schärfung macht TISAX® so wertvoll und für Ihre Geschäftspartner unverzichtbar.

Die konkreten Prüfaspekte und Assessment-Level fassen wir in den TISAX-Anforderungen im Überblick zusammen.

Die Dauer des TISAX®-Prozesses im Detail: Vom Start bis zum Label

Jetzt, da die Grundlagen klar sind, kommen wir zum Kernstück dieses Leitfadens: dem detaillierten Zeitplan Ihres TISAX®-Projekts. Die Dauer des TISAX®-Ablaufs wird fast vollständig von der Qualität Ihrer Vorbereitung bestimmt. Lassen Sie uns den Prozess in seine drei entscheidenden Phasen zerlegen.

Phase 1: Die Vorbereitung (3 bis 9 + Monate)

Dies ist die zeitintensivste und wichtigste Phase in jedem TISAX®-Projekt. Hier bauen Sie Ihr Informationssicherheits-Managementsystem (ISMS) auf oder passen ein bestehendes System an die TISAX®-Anforderungen an. Starten Sie bei null, sind neun Monate oder mehr realistisch.

Aus meiner Erfahrung kann ich sagen: Eine gründliche Vorbereitung zahlt sich doppelt aus. Diese Gründlichkeit ist gerade im deutschsprachigen Raum essenziell, da die hohen Standards, etwa des BSI IT-Grundschutzes, die Erwartung der Prüfdienstleister prägen.

Praxistipp: In einem Projekt konnten wir die Vorbereitungszeit auf unter vier Monate verkürzen. Der Schlüssel war eine intensive Gap-Analyse zu Beginn und die volle Unterstützung der Geschäftsführung. So konnten wir uns auf die wesentlichen Lücken konzentrieren, anstatt Zeit mit Nebensächlichkeiten zu verlieren.

Phase 2: Das eigentliche Assessment (wenige Tage bis Wochen)

Sobald Sie startklar sind, beginnt der formale Prozess: Sie registrieren sich auf dem ENX-Portal, wählen einen Prüfdienstleister und durchlaufen das Assessment. Wie auch die Daten einer Studie des TÜV zeigen, ist dieser Teil vergleichsweise kurz und dauert – je nach Unternehmensgröße und gewähltem Assessment-Level – nur wenige Tage bis Wochen.

Phase 3: Umgang mit Abweichungen (bis zu 9 Monate)

Selten verläuft ein Assessment komplett ohne Beanstandungen. Werden Abweichungen (sog. „Non-Conformities“) festgestellt, ist das kein Grund zur Panik. Gemäß den offiziellen Regeln der ENX Association haben Sie bis zu neun Monate Zeit, um diese Mängel zu beheben und die Nachweise einzureichen. Diese großzügige Frist ist ein entscheidender Puffer, den Sie strategisch nutzen sollten, um auch größere Lücken ohne Hektik zu schließen.

Wie lange ist eine TISAX®-Zertifizierung gültig?

Sie haben das Label erfolgreich erhalten – herzlichen Glückwunsch! Doch wie lange können Sie sich nun auf diesem Erfolg ausruhen? Die Antwort ist klar: Ein TISAX®-Label ist grundsätzlich drei Jahre gültig.

Dieser Dreijahreszyklus ist ein Branchenstandard, der sicherstellen soll, dass die hohen Anforderungen an die Informationssicherheit regelmäßig auf den Prüfstand gestellt werden. Der entscheidende Punkt, den ich hier betonen möchte: Während dieser drei Jahre gibt es keine formellen Zwischen- oder Überwachungsaudits durch den Prüfdienstleister. Das verleitet jedoch viele Unternehmen fälschlicherweise zu der Annahme, sie könnten sich zurücklehnen.

Aus meiner Erfahrung ist das ein fataler Trugschluss. Die klare Erwartung ist, dass Sie Ihr ISMS durch kontinuierliche interne Audits lebendig und aktuell halten. Diese Notwendigkeit wird durch regulatorischen Druck untermauert. Neue Vorschriften wie die der UN-ECE zu Cybersecurity fordern eine ständige Auseinandersetzung mit Sicherheit. Ebenso hilft eine regelmäßige Revalidierung, die Forderung der DSGVO (GDPR) nach „Sicherheit auf dem Stand der Technik“ zu erfüllen.

Nach dem Assessment ist vor dem Assessment: die TISAX®-Re-Zertifizierung

Diese kontinuierliche Arbeit ist nicht nur eine gute Praxis, sondern mündet direkt in die nächste wichtige Phase: Nach drei Jahren ist ein vollständiges Re-Assessment erforderlich, um die Gültigkeit Ihres Labels lückenlos zu verlängern.

Mein wichtigster Praxistipp lautet daher: Starten Sie den Prozess zur TISAX®-Re-Zertifizierung spätestens ein Jahr vor Ablauf Ihres aktuellen Labels. Dieser Zeitpuffer ist strategisch entscheidend. Ich habe in meiner Praxis leider oft die gravierenden Folgen einer zu späten Planung miterlebt: Ein Zulieferer, der diesen Zeitplan ignorierte, verlor kurz vor Ablauf seines Labels einen Millionenauftrag, da der OEM eine durchgehende TISAX®-Konformität forderte.

Betrachten Sie die Re-Zertifizierung daher nicht als lästige Pflicht, sondern als strategische Chance zur kontinuierlichen Verbesserung, wie es auch Forschungsarbeiten zur Wirksamkeit von Managementsystemen betonen.

Exkurs: TISAX® im Vergleich zu anderen Standards wie dem NIST-Framework

Um Ihr Verständnis abzurunden und TISAX® im globalen Kontext besser einordnen zu können, möchte ich Ihnen einen kurzen Vergleich mit einem anderen bekannten Standard bieten. Besonders der Vergleich mit dem NIST Cybersecurity Framework aus den USA verdeutlicht die unterschiedlichen Philosophien.

• TISAX® ist ein branchenspezifischer Prüf- und Austauschmechanismus. Sein Ziel ist es, ein einheitliches und vergleichbares Sicherheitsniveau für die automobile Lieferkette zu schaffen. Für Sie als Zulieferer ist es eine klare, verbindliche Vorgabe.
• Das NIST Cybersecurity Framework ist hingegen ein universeller und flexibler Leitfaden. Mit seinen Kernfunktionen (Identify, Protect, Detect, Respond, Recover) bietet es einen strategischen Werkzeugkasten, schreibt aber keine konkreten, prüfbaren Maßnahmen vor.

Aus meiner Erfahrung schließt das eine das andere nicht aus. TISAX® ist in der Automobilindustrie die unumgängliche „Eintrittskarte“. Das NIST-Framework kann jedoch eine hervorragende Grundlage sein, um Ihr ISMS strategisch aufzubauen.

Fazit: Planen Sie Ihre TISAX®-Zertifizierung strategisch

Aus meiner täglichen Praxis kann ich Ihnen versichern: Die erfolgreiche TISAX®-Zertifizierung ist kein einmaliger Sprint, sondern ein strategischer Marathon. Die entscheidenden Erkenntnisse sind:

• Die Dauer des Prozesses wird fast ausschließlich von der Qualität Ihrer Vorbereitung bestimmt.
• Die Gültigkeit von drei Jahren gibt Ihnen einen verlässlichen Planungsrahmen vor.
• Die Re-Zertifizierung muss zwingend frühzeitig angegangen werden, um eine lückenlose Compliance sicherzustellen.

Eine sorgfältige TISAX®-Planung schützt Sie vor empfindlichen Vertragsstrafen, sichert Ihre Position in der Lieferkette und macht aus einer lästigen Pflicht einen echten Wettbewerbsvorteil. Betrachten Sie den Prozess nicht als Hürde, sondern als integralen Bestandteil Ihrer Geschäftsstrategie.

Sie stehen vor Ihrem TISAX®-Assessment und benötigen eine strategische Planung, die Ihnen Zeit und Nerven spart?

Lassen Sie uns gemeinsam Ihren Weg zum TISAX®-Label ebnen. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

Autor*in

Eckhard Köllner

Geschäftsführer @ BOS GmbH & Co. KG

„Seit 1996 berate ich verschiedenste Kunden – von KMU bis zu Großkonzernen. Meine Beratungsschwerpunkte liegen im Bereich der Informationssicherheit und der Managementsysteme. Neben den Projekteinsätzen in unterschiedlichen Branchen bin ich als Dozent für verschiedene Bildungsträger tätig. Meine Devise ist einfache, praktikable und wirtschaftliche Lösungen für unsere Kund*innen zu finden.“

Weitere Artikel

• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  Externes Audit meistern: Ihr praxisorientierter Leitfaden
• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  QMB: Der Leitfaden zu Aufgaben, Rolle & Bedeutung (ISO 9001)
• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  Audit-Vorbereitung für Mitarbeiter: So meistern Sie die Prüfung souverän
• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  TISAX®-Anforderungen meistern: Der praxisnahe Leitfaden für Ihr Audit