tisax zertifizierung

TISAX | Wie Unternehmen eine Zertifizierung erhalten (Definition, Kosten, Ablauf)

Was ist TISAX?

TISAX® ist ein Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie (VDA) haben einen eigenen Katalog erstellt, der von der Industrie-Norm ISO27001 abgeleitet und angepasst wurde. Immer mehr Unternehmen, die für Kunden aus der Automobilindustrie arbeiten, brauchen  eine TISAX-Zertifizierung bzw. TISAX-Freigabe.

Wie lange dauert das?

Normalerweise geht man bei der Implementierung eines ISMS von einem halben Jahr Laufzeit aus, da in den meisten Unternehmen der Status quo bei nahezu Null steht. Oft muss es jedoch schneller gehen: Der Fachbereich des Kunden kann solange nicht beauftragen, bis dem Einkauf eine TISAX-Freigabe vorliegt! Umso wichtiger ist es jetzt, auf eine Beratung zurückzugreifen, die auf TISAX spezialisiert sind.

Wer fordert TISAX in den Einkaufsbedingunen?

Die Mitglieder des VDA fordern seit 2017 eine TISAX-Zertifizierung (vor TiSAX war es ein VDA ISA Audit). Das sind u.a. Audi, BMW, MAN, Porsche oder Volkswagen. Eine gute Übersicht mit Ausschnitten der genauen Wortlaute gibt es hier bei Nextwork.

Was kostet TISAX?

Die Kosten für eine TiSAX Zertifizierung liegen üblicherweise zwischen 20.000€ und 70.000€. Die Kosten sind abhängig von der Größe des Unternehmens, den TiSAX-Labels und den umzusetzenden Maßnahmen. Beginnend bei Selbstständigen und Einzelunternehmer:innen, über kleine und mittlere Unternehmen bis hin zu Konzernen. Eine gute Übersicht der Kosten gibt es hier bei Nextwork

Wie hoch ist der Aufwand für die Einführung?

(Bei Unternehmen mit ca. 25 bis 250 Mitarbeitenden)

  • ca. 20 – 60 externe Beratungstage
  • ca. 20 – 60 interne Personentage (ISB, IT, HR)
  • ca. 6 – 12 Monate Umsetzungszeit

(Bei Unternehmen mit ca. 500 bis 5.000 Mitarbeitenden)

  • ca. 90 – 150 externe Beratungstage
  • ca. 20 – 60 interne Personentage (ISB, IT, HR)
  • ca. 10 – 19 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

(Bei Unternehmen mit ca. 25 bis 250 Mitarbeitenden)
ISB (intern oder extern)
ca. 1 – 4 Personentage pro Monat
DST (intern)
ca. 2 – 6 Personentage pro Monat

Wer kann helfen?

Wir bei Nextwork haben aus den bisherigen 500+ Projekten, die wir erfolgreich begleitet haben, einen Maßnahmenkatalog erstellt mit dem wir einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Warum treten Unternehmen an uns heran?

Wir weisen unsere Kunden bereits seit Anfang 2017 darauf hin, dass das Thema TISAX® relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Unternehmen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie sieht grob die Vorgehensweise aus?

Als erstes gehen wir eine Gap-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog (VDA ISA) wissen wir so sehr schnell, auf welchem Stand das Unternehmen ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt bei Abweichungen (findings) eine Liste der noch zu ergreifenden Maßnahmen.

Audit ohne Abweichungen

Seit Mitte 2019 ist unser Anspruch möglichst ohne Abweichungen durch eine Prüfung zu kommen. Wenn man dem Team von Nextwork genug Zeit gibt und die Maßnahmen entsprechend umsetzt, ist dies auch realistisch. Mittlerweile schaffen wir das bei jeder zweiten Prüfung. Oftmals muss es jedoch schneller gehen, da der Auftraggeber schnellstmöglich einen Prüftermin wünscht. In so einem Fall sollte man aber mindestens eine temporäre Freigabe anstreben. Denn nur so wird der Auftraggeber zufriedengestellt.

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Welche Unternehmensbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch der IT-Verantwortlichen. Dabei betrifft TISAX alle Prozesse und Abläufe. Zu 75% Prozent geht es also gar nicht um IT. Vielmehr geht es um Fragen wie: Wie läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

Da TISAX alle Prozesse und Abläufe im Unternehmen betrifft, müssen möglichst alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite.

Wer prüft und stellt das Zertifikat* aus?

Das Zertifizierungsaudit selbst führt dann eine externe Auditor*in durch, der separat und unabhängig beauftragt wird. Auf dem Internetauftritt der ENX (www.enx.com) finden sie eine Liste aller akkreditierten TISAX-Prüfdienstleister. Achtung: Es gibt kaum noch Termine für die nächsten sechs Monate um einen Prüfdienstleister für ein Zertifizierungsaudit zu bekommen. 

Mehr Infos zu TISAX bei Nextwork:

https://www.nextwork.de/tisax

TISAX® ist eine eingetragene Marke der ENX Association


Beitrag veröffentlicht

von

Zeitraum vom