Zum Hauptinhalt springen
Informationssicherheit / NIS2

VDA ISA / TISAX

Der Prüfkatalog des Verbands der Automobilindustrie zur Informationssicherheit, geprüft über das TISAX-Verfahren der ENX Association.

VDA ISA (Information Security Assessment) ist ein Prüfkatalog des Verbands der Automobilindustrie (VDA), der Anforderungen an die Informationssicherheit von Unternehmen in der Automobilzuliefererkette definiert. Der Katalog basiert inhaltlich auf ISO/IEC 27001 und wurde um branchenspezifische Anforderungen aus dem Automobilumfeld erweitert. Er ist in drei Bewertungsstufen gegliedert: Normal, High und Very High, die unterschiedliche Schutzniveaus für Informationsklassen abbilden.

TISAX (Trusted Information Security Assessment Exchange) ist das standardisierte Prüf- und Austauschverfahren, über das VDA-ISA-Bewertungen in der Automobilindustrie durchgeführt und geteilt werden. Es wird von der ENX Association betrieben und ermöglicht es, dass ein Audit-Ergebnis mit mehreren OEM-Partnern geteilt werden kann, ohne dass für jeden Kunden ein separates Audit erforderlich ist. Dadurch wird der Aufwand für Zulieferer erheblich reduziert.

Für Unternehmen in der Automobilzulieferkette, die sensible Fahrzeugdaten, Prototypeninformationen oder personenbezogene Daten von Kunden verarbeiten, ist ein TISAX-Label faktisch zur Marktzugangsvoraussetzung geworden. Großkonzerne wie BMW, Volkswagen oder Daimler fordern es regelmäßig von ihren Lieferanten. Die Prüfung erfolgt durch autorisierte TISAX-Auditdienstleister; das Ergebnis wird im TISAX-Portal der ENX Association veröffentlicht und kann selektiv mit Partnern geteilt werden.

Rechtliche Grundlage

VDA ISA Katalog (aktuelle Version), TISAX-Teilnahmebedingungen (ENX Association)

Praxisbeispiel

Ein Automobilzulieferer mit 300 Mitarbeitenden erhält von zwei OEM-Kunden die Anforderung, ein TISAX-Label der Stufe „High" (AL 3) nachzuweisen, da er Prototypenfahrzeuge fotografiert und die Daten verarbeitet. Das Unternehmen registriert sich im ENX-Portal, führt eine Selbstbewertung anhand des VDA-ISA-Katalogs durch und identifiziert Lücken bei der physischen Zugangskontrolle und im Bereich Lieferantenmanagement. Nach Schließung der Lücken beauftragt es einen zugelassenen TISAX-Auditdienstleister, der das Audit erfolgreich abschließt. Das TISAX-Label wird im Portal freigeschaltet und kann nun mit beiden OEM-Kunden geteilt werden.

Häufige Fragen

TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschverfahren für Informationssicherheitsaudits in der Automobilindustrie. Es basiert auf dem VDA-ISA-Katalog und ermöglicht es, ein Audit-Ergebnis mit mehreren OEM-Partnern zu teilen, ohne mehrfache Prüfungen durchlaufen zu müssen.
Ein TISAX-Label wird benötigt, wenn Sie als Zulieferer oder Dienstleister sensible Informationen für OEMs oder andere Automobilunternehmen verarbeiten, wie etwa Prototypendaten, Kundendaten oder Fahrzeugentwicklungsinformationen. Viele Tier-1- und Tier-2-Zulieferer werden von ihren OEM-Kunden verbindlich zur TISAX-Teilnahme verpflichtet.
TISAX unterscheidet zwischen Assessment Level AL 2 (Normal, nur Selbstbewertung mit Plausibilitätsprüfung) und AL 3 (High/Very High, vollständiges Vor-Ort-Audit). Je nach Schutzbedarfsklasse der verarbeiteten Informationen fordern OEMs unterschiedliche Assessment Levels von ihren Zulieferern.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISMS (Informationssicherheits-Managementsystem) ISO 27001 Audit Risikobewertung (Risk Assessment) Technische und organisatorische Maßnahmen (TOMs)
Zurück zum Glossar