Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
TISAX Beratung: Assessment-Vorbereitung für Zulieferer | SECURAM

ISMS · TISAX®-Assessment

TISAX Beratung für Automobilzulieferer

TISAX® ist der Prüfstandard des VDA für Informationssicherheit in der Automobilbranche. Ohne gültiges Label kein Zuliefervertrag mit OEMs. SECURAM begleitet von der Readiness-Analyse über den ISMS-Aufbau nach VDA ISA 6.0 bis zum bestandenen Assessment und dem laufenden Betrieb als externer ISB.

Erstgespräch vereinbaren Leistungsumfang ↓
TISAX Automotive Security

Ausgangslage

Warum TISAX für Zulieferer unverzichtbar ist

OEMs und Tier-1-Zulieferer verlangen den Nachweis über ein geprüftes Informationssicherheitsniveau, bevor sie Aufträge vergeben.

TISAX® (Trusted Information Security Assessment Exchange) wurde vom Verband der Automobilindustrie entwickelt und wird über die ENX Association verwaltet. Der Prüfstandard bewertet die Informationssicherheit von Zulieferern anhand des VDA ISA-Katalogs in drei Assessment Levels: AL 1 (Selbstauskunft), AL 2 (Plausibilitätsprüfung mit Vor-Ort-Besuch) und AL 3 (vollständige Prüfung bei Prototypenschutz). Die meisten OEMs fordern mindestens AL 2.

Der aktuelle Anforderungskatalog VDA ISA 6.0 basiert auf der ISO 27001:2022 und erweitert sie um automotive-spezifische Controls für Prototypenschutz, Datenschutz nach DSGVO Art. 28 und 32 sowie Anbindung Dritter. Wer bereits ein zertifiziertes ISMS betreibt, deckt rund 60 bis 70 Prozent der TISAX-Anforderungen ab und muss gezielt ergänzen statt neu aufbauen.

In unseren Projekten sehen wir, dass der Zeitdruck häufig von OEM-Fristen kommt: Ohne gültiges TISAX-Label im ENX-Portal verzögern sich Vergabeverfahren oder bestehende Verträge werden nicht verlängert. SECURAM begleitet Automobilzulieferer von der Readiness-Analyse bis zum bestandenen Assessment und übernimmt auf Wunsch den laufenden Betrieb als externer Informationssicherheitsbeauftragter.

Leistungsumfang

TISAX: Vom Readiness-Check bis zum ENX-Label

Strukturierte Vorbereitung auf das TISAX-Assessment in sechs Leistungsbausteinen.

01

TISAX-Readiness-Check

Bestimmung von Scope, Assessment Level und Prüfdienstleister. Klärung, welche VDA-ISA-Module geprüft werden und ob Prototypenschutz relevant ist.

02

GAP-Analyse gegen VDA ISA 6.0

Systematischer Abgleich des Ist-Zustands gegen die Anforderungen des VDA ISA-Katalogs. Identifikation der Lücken mit Priorisierung nach Risiko und Aufwand.

03

ISMS-Aufbau oder -Erweiterung

Aufbau eines ISMS auf Basis der ISO 27001 oder Erweiterung eines bestehenden Systems um die TISAX-spezifischen Anforderungen. Richtlinien, Verfahren und Nachweise werden gemeinsam erarbeitet.

04

Automotive-spezifische Controls

Umsetzung der TISAX-eigenen Anforderungen: Prototypenschutz (physisch und digital), Datenschutz-Nachweise nach DSGVO Art. 28 und 32, Regelungen zur Anbindung Dritter.

05

Internes Audit und Assessment-Vorbereitung

Durchführung eines internen Audits als Generalprobe. Prüfung der Assessment-Reife, Nachbesserung offener Punkte und Vorbereitung der Dokumentation für den Prüfdienstleister.

06

Assessment-Begleitung

Fachliche Begleitung während des TISAX-Assessments durch den akkreditierten Prüfdienstleister. Unterstützung bei Rückfragen und Nachforderungen bis zur Label-Vergabe.

Ablauf

Vom Readiness-Check zum TISAX-Label in 6 Phasen

TISAX-Readiness-Check

Woche 1–2

Festlegung von Scope, Assessment Level und Prüfdienstleister. Klärung, ob Prototypenschutz (AL 3) oder Standard-Assessment (AL 2) erforderlich ist. Erstellung eines Projektplans mit Meilensteinen.

Ergebnis: Scope-Dokument, Assessment-Level-Festlegung, Projektplan

GAP-Analyse gegen VDA ISA 6.0

Woche 2–4

Systematischer Abgleich des Ist-Zustands gegen die Anforderungen des VDA ISA-Katalogs. Jede Anforderung wird mit einem Reifegrad bewertet und in eine priorisierte Maßnahmenliste überführt.

Ergebnis: GAP-Report, priorisierte Maßnahmenliste

ISMS-Aufbau oder -Erweiterung

Woche 4–14

Aufbau eines ISMS auf Basis der ISO 27001 oder gezielte Erweiterung eines bestehenden Systems. Erstellung der Sicherheitsrichtlinien, Risikoanalyse und Dokumentation der Controls.

Ergebnis: ISMS-Dokumentation, Risikoanalyse, SoA

TISAX-spezifische Controls

Woche 12–18

Umsetzung der automotive-spezifischen Anforderungen: Prototypenschutz, DSGVO-Nachweise, Anbindung Dritter. Diese Phase läuft teilweise parallel zum ISMS-Aufbau.

Ergebnis: Prototypenschutz-Konzept, Datenschutz-Nachweise, Drittanbieter-Management

Internes Audit und Assessment-Vorbereitung

Woche 18–20

Durchführung eines internen Audits als Generalprobe für das TISAX-Assessment. Nachbesserung identifizierter Schwachstellen und Vorbereitung der Assessment-Dokumentation.

Ergebnis: Audit-Bericht, Maßnahmenplan, Assessment-Dokumentation

Assessment-Begleitung und ISBaaS-Übergang

Woche 20–24 / fortlaufend

Fachliche Begleitung während des TISAX-Assessments. Nach erfolgreicher Label-Vergabe Übergang in den laufenden Betrieb mit SECURAM als externem ISB für die Re-Assessment-Vorbereitung.

Ergebnis: TISAX-Label, ISBaaS-Vertrag für laufenden Betrieb

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter) ohne bestehendes ISMS. Bei vorhandenem ISO-27001-zertifiziertem ISMS verkürzt sich der Zeitraum auf 3 bis 5 Monate.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

TISAX als Einstieg in die ISMS-Strategie

Wer für TISAX ein ISMS aufbaut, legt gleichzeitig die Basis für ISO 27001 und NIS-2. SECURAM plant Ihr System von Anfang an erweiterungsfähig.

60 bis 70 Prozent der TISAX-Anforderungen decken sich mit ISO 27001. Wer beide Standards integriert plant, vermeidet doppelten Aufwand und verkürzt die Zertifizierungszeit.

Weitere Standards in der ISMS-Säule
BSI IT-Grundschutz KRITIS DORA CISIS12 CRA

Laufender Betrieb

ISBaaS — Externer ISB für den TISAX-Betrieb

Nach dem bestandenen TISAX-Assessment muss das ISMS drei Jahre lang betrieben, gepflegt und weiterentwickelt werden, bevor das Re-Assessment ansteht. SECURAM übernimmt diese Aufgabe als externer Informationssicherheitsbeauftragter (ISBaaS) und stellt sicher, dass Ihr Label nicht verfällt.

Gerade für Zulieferer, die keinen eigenen ISB beschäftigen, ist das Modell wirtschaftlich sinnvoll: Sie erhalten die Fachkompetenz eines erfahrenen ISB, ohne eine Vollzeitstelle besetzen zu müssen. Die Re-Assessment-Vorbereitung ist im laufenden Betrieb bereits enthalten.

  • Laufende Pflege und Weiterentwicklung des ISMS nach VDA ISA
  • Vorbereitung und Begleitung des Re-Assessments nach drei Jahren
  • Durchführung interner Audits und Management Reviews
  • Ansprechpartner für OEMs und Prüfdienstleister

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — TISAX

TISAX® steht für Trusted Information Security Assessment Exchange. Es handelt sich um einen Prüfstandard des Verbands der Automobilindustrie (VDA), der die Informationssicherheit bei Zulieferern und Dienstleistern der Automobilbranche bewertet. Die Prüfung erfolgt anhand des VDA ISA-Katalogs (Information Security Assessment) durch von der ENX Association akkreditierte Prüfdienstleister. Das Ergebnis ist ein TISAX-Label, das drei Jahre gültig ist und über das ENX-Portal von OEMs und Tier-1-Zulieferern abgerufen werden kann.
Das Assessment Level legt der Auftraggeber fest, in der Regel der OEM oder Tier-1-Zulieferer. AL 1 ist eine Selbstauskunft ohne externe Prüfung und wird selten akzeptiert. AL 2 umfasst eine Plausibilitätsprüfung mit Vor-Ort-Besuch und ist der Standard für die meisten Zulieferer. AL 3 wird bei Prototypenschutz und besonders sensiblen Daten verlangt und beinhaltet eine vollständige Vor-Ort-Prüfung mit erhöhten Nachweispflichten.
In unseren Projekten rechnen wir bei Unternehmen ohne bestehendes ISMS mit 6 bis 12 Monaten vom Kick-off bis zum bestandenen Assessment. Organisationen, die bereits über ein ISO-27001-zertifiziertes ISMS verfügen, können den Zeitraum auf 3 bis 5 Monate verkürzen, weil rund 60 bis 70 Prozent der Anforderungen bereits abgedeckt sind. Die verbleibende Zeit entfällt auf automotive-spezifische Controls wie Prototypenschutz und DSGVO-Nachweise.
Die Kosten hängen vom Assessment Level, dem Scope und dem vorhandenen Reifegrad ab. AL 3 mit Prototypenschutz erfordert mehr Aufwand als ein Standard-AL-2-Assessment. Pauschalpreise wären unseriös. Ein TISAX-Readiness-Check liefert innerhalb von ein bis zwei Wochen eine belastbare Aufwandsschätzung. SECURAM arbeitet auf Tagessatzbasis, sodass Sie die Kostenkontrolle behalten.
SECURAM behandelt TISAX nicht als isoliertes Projekt, sondern als Teil der ISMS-Strategie. Wer bereits ISO 27001 hat oder plant, nutzt die 60 bis 70 Prozent Überschneidung, statt doppelt aufzubauen. Zusätzlich deckt SECURAM auch NIS-2 und DORA ab, sodass Zulieferer, die unter mehrere Regelwerke fallen, nur einen Berater brauchen. Nach dem Assessment übernimmt SECURAM auf Wunsch den laufenden Betrieb als externer Informationssicherheitsbeauftragter.
VDA ISA 6.0 ist der aktuelle Anforderungskatalog für TISAX-Assessments, herausgegeben vom Verband der Automobilindustrie. Die Version 6.0 basiert auf der ISO 27001:2022 und enthält darüber hinaus automotive-spezifische Prüfkriterien für Prototypenschutz, Datenschutz nach DSGVO Art. 28 und 32 sowie Anbindung an Dritte. Der Katalog ist in Module unterteilt, die je nach Scope und Assessment Level geprüft werden.
ISO 27001 bildet eine sehr gute Grundlage und deckt erfahrungsgemäß 60 bis 70 Prozent der TISAX-Anforderungen ab. Was hinzukommt, sind automotive-spezifische Controls: Prototypenschutz (physisch und digital), erweiterte Datenschutz-Nachweise nach DSGVO Art. 28 und 32 sowie spezifische Anforderungen an die Anbindung Dritter. Wer bereits ein zertifiziertes ISMS betreibt, muss also nicht bei null beginnen, sondern erweitert gezielt.
Das TISAX-Label ist drei Jahre gültig, gerechnet ab dem Datum des bestandenen Assessments. Nach Ablauf ist ein vollständiges Re-Assessment erforderlich, kein vereinfachtes Überwachungsaudit wie bei ISO 27001. Deshalb empfehlen wir, den laufenden Betrieb des ISMS sauber aufzusetzen und spätestens sechs Monate vor Ablauf mit der Re-Assessment-Vorbereitung zu beginnen.
Prototypenschutz ist ein TISAX-spezifisches Prüfmodul, das bei Assessment Level AL 3 relevant wird. Es umfasst sowohl den physischen Schutz von Prototypen und Testfahrzeugen als auch den digitalen Schutz von Konstruktionsdaten, CAD-Dateien und Designentwürfen. Die Anforderungen gehen über klassische Informationssicherheit hinaus und betreffen Zugangskontrollen, Fotografierverbote, Transportregelungen und spezifische IT-Segmentierung.
Ja, und es ist in vielen Fällen sinnvoll. Automobilzulieferer, die unter die NIS-2-Richtlinie fallen, brauchen sowohl ein TISAX-Label für ihre OEM-Kunden als auch den NIS-2-Nachweis gegenüber dem BSI. Da beide Standards auf einem ISMS aufbauen, lässt sich die Implementierung integriert planen. SECURAM stimmt die Controls aus VDA ISA 6.0 und den NIS-2-Anforderungen aufeinander ab, sodass kein redundanter Aufwand entsteht.

TISAX-Assessment vorbereiten

Klären Sie in einem Erstgespräch Scope, Assessment Level und Zeitrahmen für Ihr TISAX-Projekt.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die TISAX-Vorbereitung

GAP-Analyse

TISAX GAP-Analyse

Systematischer Abgleich Ihres Ist-Zustands gegen VDA ISA 6.0. Sie erhalten einen priorisierten Maßnahmenplan mit Aufwandsschätzung.

GAP-Analyse anfragen →
Internes Audit

Internes Audit nach VDA ISA

Generalprobe vor dem TISAX-Assessment. SECURAM prüft als unabhängige Instanz, ob Ihre Organisation assessment-reif ist.

Audit anfragen →
Implementierung

TISAX implementieren

Vom ISMS-Aufbau über Prototypenschutz bis zum bestandenen Assessment. SECURAM begleitet den gesamten Weg zum ENX-Label.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen