Was VDA ISA und TISAX® bedeuten.
TISAX® steht für „Trusted Information Security Assessment Exchange“ und ist der gemeinsame Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilindustrie. Der Verband der Automobilindustrie (VDA) und die ENX Association haben ihn etabliert, damit Hersteller und Zulieferer ein vergleichbares Schutzniveau nachweisen können, ohne sich gegenseitig wiederholt zu prüfen. Inhaltliche Grundlage ist der VDA-ISA-Katalog (Information Security Assessment), der eng an die ISO/IEC 27001 angelehnt ist und sie um die besonderen Anforderungen der Branche ergänzt.
01
Der Katalog
VDA ISA 6.0
Der Fragenkatalog ist seit dem 1. April 2024 in der Version 6.0 verbindlich. Er gliedert sich in neun Kapitel mit über vierzig Prüfzielen und ergänzt die ISO-27001-Methodik um Module für Prototypenschutz, Datenschutz und Verfügbarkeit. Der Fokus liegt auf Risikomanagement und Cyberresilienz.
02
Das Verfahren
TISAX®-Assessment
Anders als bei einer klassischen Zertifizierung wird kein Zertifikat ausgestellt, sondern ein TISAX®-Label vergeben. Dieses wird über das ENX-Portal kontrolliert mit Geschäftspartnern geteilt. Das Assessment erfolgt durch einen von der ENX akkreditierten Prüfdienstleister.
03
Die Gültigkeit
Drei Jahre Laufzeit
Ein TISAX®-Label ist drei Jahre gültig; danach steht ein erneutes Assessment an. Bereits abgeschlossene Assessments nach älteren Katalogversionen behalten bis zum Ablauf ihre Gültigkeit. Neue Verfahren laufen verpflichtend nach VDA ISA 6.0.
Rechtlicher Hinweis
TISAX® ist eine eingetragene Marke der ENX Association. Dreyfield steht jedoch in keiner geschäftlichen Beziehung mit ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.
Wann wir Sie unterstützen können.
TISAX® ist für Zulieferer und Dienstleister der Automobilindustrie längst keine freiwillige Qualitätsaussage mehr, sondern faktische Voraussetzung für die Auftragsfähigkeit. Wer mit vertraulichen Entwicklungs-, Einkaufs- oder Produktionsdaten arbeitet, kommt am Label kaum vorbei. Vier Konstellationen führen Mandantinnen und Mandanten typischerweise zu uns.
OEM oder Tier-1 fordert das Label
Ein Automobilhersteller oder ein größerer Zulieferer macht das TISAX®-Label zur Bedingung für die weitere Zusammenarbeit. Häufig steht ein Stichtag im Raum, bis zu dem das Label vorliegen muss. Wir klären den nötigen Geltungsbereich und das passende Assessment-Level und führen Sie strukturiert dorthin.
Prototypen- und Entwicklungsdaten
Sie arbeiten mit Prototypen, Konstruktionsdaten oder unveröffentlichten Modellen. Für solche Daten verlangt die Branche besondere Schutzmaßnahmen, die im VDA-ISA-Katalog als eigenes Prüfziel hinterlegt sind. Wir richten die geforderten physischen und organisatorischen Maßnahmen mit Ihnen ein.
Dienstleister ohne Teilefertigung
Die Anforderung trifft nicht nur Teilehersteller. Auch Agenturen, Entwicklungsdienstleister, IT-Unternehmen, Messebauer oder Druckereien, die für Automobilkonzerne arbeiten, werden zum Label aufgefordert. Wir bewerten den tatsächlichen Schutzbedarf und vermeiden einen überdimensionierten Geltungsbereich.
Vorhandenes ISMS ausbauen
Sie betreiben bereits ein Informationssicherheits-Management-System nach ISO 27001 und möchten es zum TISAX®-Label erweitern. Wir setzen auf der vorhandenen Methodik auf, ermitteln die branchenspezifische Lücke und führen beide Systeme in einem koordinierten Zyklus.
Drei Prüftiefen — vom Self-Assessment zum Vor-Ort-Audit.
Welches Assessment-Level für Sie gilt, hängt vom Schutzbedarf der verarbeiteten Informationen ab und wird in der Regel vom auftraggebenden Unternehmen vorgegeben. Mit steigender Vertraulichkeit steigt die Prüftiefe. Für alle Level gilt dasselbe Reifegradmodell.
Level 1
AL 1 — Selbstauskunft
Reine Selbsteinschätzung ohne externe Prüfung. Heute nur noch für wenige unkritische Anwendungsfälle relevant.
Self-Assessment
Ausfüllen des VDA-ISA-Fragenkatalogs in Eigenregie.
Keine externe Prüfung
Kein Prüfdienstleister, geringe Nachweiskraft gegenüber Partnern.
Level 2 + 3
AL 2 & AL 3 — geprüft
Die in der Praxis maßgeblichen Level. Prüfung durch einen akkreditierten Dienstleister, bei AL 3 zusätzlich vor Ort.
AL 2 — Plausibilisierung
Prüfung der Nachweise durch den Dienstleister, in der Regel per Remote-Verfahren und Dokumentensichtung.
AL 3 — Vor-Ort-Audit
Höchste Prüftiefe mit Begehung vor Ort, Interviews und Einsicht in die gelebte Praxis. Für streng vertrauliche Daten.
TISAX®-Label
Nach bestandenem Assessment, Austausch über das ENX-Portal.
Reifegrad 3 ist das Ziel.
Der VDA-ISA-Katalog bewertet jedes Prüfziel auf einer Skala von 0 bis 5. Für ein erfolgreiches Assessment muss in allen anwendbaren Anforderungen mindestens Reifegrad 3 — „etabliert“ — erreicht werden. Das bedeutet, dass Prozesse nicht nur definiert, sondern dokumentiert, gelebt und nachweisbar sind.
Unvollständig
Kein oder kein nachvollziehbarer Prozess vorhanden.
Durchgeführt
Prozess wird ausgeführt, aber nicht systematisch gesteuert.
Gesteuert
Prozess ist geplant und wird überwacht, aber nicht durchgängig dokumentiert.
Etabliert — das Prüfziel
Prozess ist definiert, dokumentiert, gelebt und nachweisbar. Ab hier wird das TISAX®-Label vergeben.
Vorhersagbar
Prozess wird anhand von Kennzahlen gesteuert und quantitativ bewertet.
Optimierend
Prozess wird kontinuierlich und systematisch verbessert.
In der Praxis
Der Sprung von Reifegrad 2 auf 3 ist der entscheidende, denn er trennt eine pragmatisch gewachsene Praxis von einer, die sich belegen lässt. Genau hier setzt unsere Arbeit an: Wir bringen die vorhandene Praxis in eine dokumentierte, auditfeste Form, statt unnötige Übererfüllung aufzubauen.
Welche Labels der Katalog kennt.
Der VDA-ISA-Katalog unterscheidet verschiedene Prüfziele, die als TISAX®-Labels vergeben werden. Welche für Sie gelten, ergibt sich aus der Art der verarbeiteten Daten und der Anforderung des auftraggebenden Unternehmens. Häufig werden mehrere Labels kombiniert.
| Prüfziel / Label | Worum es geht | Typischer Anlass |
|---|---|---|
| Information (vertraulich) | Schutz vertraulicher Informationen im Tagesgeschäft | Grund-Anforderung nahezu aller OEM und Tier-1 |
| Information (streng vertraulich) | Erhöhter Schutz besonders sensibler Informationen | Zugang zu kritischen Entwicklungs- oder Strategiedaten |
| Prototypenschutz | Physischer und organisatorischer Schutz von Prototypen, Bauteilen und Fahrzeugen | Arbeit mit unveröffentlichten Modellen und Komponenten |
| Datenschutz | Verarbeitung personenbezogener Daten gemäß Datenschutz-Modul des Katalogs | Auftragsverarbeitung personenbezogener Daten für den Auftraggeber |
| Verfügbarkeit (hoch / sehr hoch) | Sicherstellung der Verfügbarkeit kritischer Prozesse und Systeme | Just-in-Time-Lieferung, zeitkritische Leistungen |
Maßgeblich ist stets die konkrete Vorgabe des auftraggebenden Unternehmens. Wir klären den nötigen Umfang im Erstgespräch.
Was Dreyfield in einem TISAX®-Mandat leistet.
Wir sind Ihr Beratungs- und Umsetzungspartner auf dem Weg zum Label — nicht der Prüfdienstleister. Die Prüfung selbst nimmt eine von der ENX akkreditierte Stelle vor; diese Trennung ist vorgeschrieben und sichert die Unabhängigkeit des Assessments. Wir bringen Sie dorthin und begleiten Sie durch das Verfahren.
GAP-Analyse
Strukturierter Abgleich Ihres Ist-Zustands gegen den VDA-ISA-Katalog 6.0. Wir ermitteln je Prüfziel den aktuellen Reifegrad, zeigen die Lücke zum geforderten Reifegrad 3 und priorisieren die Maßnahmen nach Aufwand und Wirkung.
ISMS-Aufbau
Aufbau oder Ausbau des Informationssicherheits-Management-Systems auf Basis der ISO 27001 — Sicherheitsleitlinie, Rollen, Risikomanagement, dokumentierte Verfahren. Wo ein ISMS besteht, ergänzen wir gezielt die branchenspezifischen Anforderungen.
Self-Assessment
Gemeinsames Ausfüllen des VDA-ISA-Fragenkatalogs mit belastbaren Reifegrad-Einschätzungen und der nötigen Nachweisdokumentation. So gehen Sie vorbereitet und ohne böse Überraschungen in das Assessment beim Prüfdienstleister.
Assessment-Begleitung
Vorbereitung auf den Termin mit dem akkreditierten Prüfdienstleister, Begleitung während des Assessments und Abarbeitung etwaiger Korrekturmaßnahmen aus einem Maßnahmenplan — bis das TISAX®-Label vergeben und über ENX geteilt ist.
Was nicht enthalten ist
Wir führen das TISAX®-Assessment nicht selbst durch und vergeben kein Label — das ist akkreditierten Prüfdienstleistern vorbehalten, und die Trennung von Beratung und Prüfung ist gewollt. Ebenso liefern wir keine Sicherheits-Hardware und übernehmen keinen laufenden IT-Betrieb. Auf Wunsch vermitteln wir den Kontakt zu einem geeigneten Prüfdienstleister.
Vom Status zum TISAX®-Label.
Vom Projekt-Start bis zum Label vergehen je nach Ausgangslage und gefordertem Level typischerweise drei bis neun Monate. Unternehmen mit vorhandenem ISMS nach ISO 27001 erreichen den unteren Rand des Korridors, weil ein großer Teil der Anforderungen bereits steht.
Scope & Level
Festlegung des Geltungsbereichs und Abstimmung des geforderten Assessment-Levels und der Labels mit der Anforderung des Auftraggebers.
1–2 Wochen
GAP-Analyse
Abgleich gegen den VDA-ISA-Katalog 6.0, Reifegradbestimmung je Prüfziel, priorisierter Maßnahmenplan.
2–4 Wochen
Umsetzung
Aufbau bzw. Ausbau des ISMS, Einführung fehlender Maßnahmen, Erstellung der nötigen Dokumentation bis Reifegrad 3.
6–20 Wochen
Self-Assessment
Ausfüllen des Fragenkatalogs, Zusammenstellung der Nachweise, interne Prüfung vor dem externen Termin.
2–3 Wochen
Assessment & Label
Begleitung durch das Assessment beim akkreditierten Prüfdienstleister, Abarbeitung von Korrekturmaßnahmen, Label-Vergabe über ENX.
je nach Dienstleister
Anschluss an ISO 27001 und NIS2.
TISAX® steht nicht für sich allein. Wer die Schnittstellen zu vorhandenen Management-Systemen und kommenden regulatorischen Pflichten von Anfang an mitdenkt, vermeidet Parallelstrukturen und senkt den Aufwand im laufenden Betrieb.
VDA ISA / TISAX®
Automotive-Informationssicherheit auf Basis des VDA-ISA-Katalogs 6.0
Das Fundament des Katalogs
Der VDA-ISA-Katalog baut auf der ISO/IEC 27001 auf. Ein vorhandenes ISMS deckt einen erheblichen Teil der Anforderungen bereits ab — Risikomethodik, Geltungsbereich und Audit-Routinen lassen sich übernehmen.
Vorsprung bei kommender Regulatorik
Ein TISAX®-Label schafft eine gute Grundlage für Anforderungen aus der NIS2-Richtlinie. Viele Maßnahmen zur Cyberresilienz, die der Katalog 6.0 verlangt, zahlen direkt auf die regulatorische Pflicht ein.
Laufende Betreuung des ISMS
Über das Label hinaus übernehmen wir auf Wunsch die Rolle des externen Informationssicherheits-Beauftragten und halten das Management-System im laufenden Betrieb auditfest.
Was Mandantinnen und Mandanten häufig fragen.
Von der Wahl des Assessment-Levels bis zur Gültigkeit des Labels — die Fragen, die im Erstgespräch am häufigsten aufkommen.
Ist TISAX® eine Zertifizierung?
Nicht im klassischen Sinn. TISAX® ist ein Prüf- und Austauschverfahren, an dessen Ende kein Zertifikat, sondern ein TISAX®-Label steht. Dieses Label wird über das ENX-Portal kontrolliert mit Geschäftspartnern geteilt. Inhaltlich beruht das Verfahren auf dem VDA-ISA-Katalog, der eng an die ISO/IEC 27001 angelehnt ist.
Wir haben bereits ISO 27001 — was ändert das?
Erheblich. Der VDA-ISA-Katalog baut auf der ISO 27001 auf, sodass ein vorhandenes ISMS einen großen Teil der Anforderungen bereits erfüllt. Wir ermitteln die branchenspezifische Lücke — etwa beim Prototypenschutz oder bei der Verfügbarkeit — und ergänzen gezielt, statt ein zweites System aufzubauen. Das verkürzt den Weg zum Label deutlich.
Welches Assessment-Level brauchen wir?
Das gibt in der Regel das auftraggebende Unternehmen vor, abhängig vom Schutzbedarf der Daten, mit denen Sie arbeiten. AL 2 mit Prüfung durch einen akkreditierten Dienstleister ist der häufigste Fall; AL 3 mit Vor-Ort-Audit gilt für streng vertrauliche Daten. Reine Selbstauskünfte ohne externe Prüfung (AL 1) spielen heute kaum noch eine Rolle. Wir klären die konkrete Vorgabe im Erstgespräch.
Was bedeutet Reifegrad 3?
Der Katalog bewertet jedes Prüfziel von 0 bis 5. Reifegrad 3 — „etabliert“ — ist die Schwelle, ab der das Label vergeben wird. Er verlangt, dass Prozesse nicht nur existieren, sondern definiert, dokumentiert, gelebt und nachweisbar sind. Der Schritt von Reifegrad 2 auf 3 ist erfahrungsgemäß der entscheidende und der Schwerpunkt unserer Arbeit.
Gilt TISAX® nur für Teilehersteller?
Nein. Die Anforderung trifft alle, die in der Wertschöpfungskette der Automobilindustrie mit vertraulichen Daten arbeiten — auch Entwicklungs- und IT-Dienstleister, Agenturen, Messebauer oder Druckereien, die für Automobilkonzerne tätig sind. Maßgeblich ist nicht die Branche im engeren Sinn, sondern die Frage, welche Daten Sie für Ihren Auftraggeber verarbeiten.
Wie lange ist das Label gültig?
Ein TISAX®-Label ist drei Jahre gültig. Danach steht ein erneutes Assessment an. Wir empfehlen, das ISMS über die gesamte Laufzeit gelebt zu halten, statt erst kurz vor Ablauf wieder aktiv zu werden — das hält den Re-Assessment-Aufwand niedrig und das Schutzniveau durchgängig hoch.
Führt Dreyfield das Assessment selbst durch?
Nein. Das Assessment nimmt ein von der ENX akkreditierter Prüfdienstleister vor — diese Trennung von Beratung und Prüfung ist vorgeschrieben und sichert die Unabhängigkeit. Wir bereiten Sie auf das Assessment vor, begleiten Sie durch das Verfahren und arbeiten etwaige Korrekturmaßnahmen ab. Auf Wunsch vermitteln wir den Kontakt zu einem geeigneten Dienstleister.
Rechtlicher Hinweis: TISAX® ist eine eingetragene Marke der ENX Association. Dreyfield steht jedoch in keiner geschäftlichen Beziehung mit ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.
Jetzt Beratungsgespräch vereinbaren!
Wir beraten Sie gerne zum Thema Beratung zu VDA ISA & TISAX®. Kontaktieren Sie uns einfach per E-Mail oder Telefon oder nutzen Sie unser Kontaktformular!
Lieber telefonisch? +49 8912414 9000
Vielen Dank — Ihre Anfrage ist bei uns eingegangen. Wir melden uns zeitnah bei Ihnen.