Wir haben schon TISAX. Reicht das für NIS-2?

TISAX deckt viele NIS-2-Mindestmaßnahmen ab, aber nicht alle. Insbesondere BSI-Meldepflichten (24/72-Stunden), Geschäftsführungs-Nachweise und die NIS-2-spezifische Lieferanten-Logik sind in TISAX nicht enthalten. Die Cybervize-Plattform mappt beide aus einem Kontroll-Set, sodass die Doppel-Arbeit entfällt.

Wir sind Tier-2-Zulieferer ohne direkten NIS-2-Status. Was kommt auf uns zu?

Tier-2-Zulieferer bekommen NIS-2- und TISAX-Anforderungen vertraglich von Tier-1-Lieferanten oder OEMs durchgereicht. In der Praxis bedeutet das: Lieferanten-Fragebögen mit ähnlicher Detailtiefe wie NIS-2-Pflichten, ohne dass Sie direkt unter NIS-2 fallen. Strukturierte Antworten sind eine Wettbewerbs-Frage.

Wie behandeln wir CAD-Daten und Produkt-IP konkret?

Produkt-IP und CAD-Daten gehören zu den Engineering-Assets mit höchster Vertraulichkeits-Klassifikation. NIS-2 verlangt Verschlüsselung, Zugriffskontrolle und dokumentierte Datenflüsse. TISAX hat eigene Schutzbedarfsstufen für „Hohe" und „Sehr hohe" Vertraulichkeit, die direkt darauf passen.

Müssen wir alle Werke gleich behandeln?

Nein. Die Plattform erlaubt differenzierte Reifegrade pro Werk. Ältere Werke mit Legacy-OT und Greenfield-Werke mit modernen Anlagen haben unterschiedliche Risikolandschaften und kompensierende Kontrollen. Wichtig ist Dokumentation der Differenzierung, nicht Einheits-Vorgabe.

Was kostet ein Multi-Werk-Rollout?

Plattform-Lizenz skaliert nach MA-Zahl und Standort-Anzahl. Multi-Werk-Rollout typisch 16 bis 20 Wochen für drei bis fünf Werke in Deutschland, länger bei internationalen Tochtergesellschaften. Genaue Indikation kommt aus dem Risiko-Check.

NIS-2 für Automotive

Automotive trifft NIS-2 plus TISAX. Doppelte Pflicht, eine Plattform.

Anhang II des NIS2UmsuCG erfasst Automotive über die NACE-Kategorie Kraftwagen und Komponenten als wichtige Einrichtung. TISAX-Audits bleiben für OEM-Zulieferer Pflicht. Die Cybervize-Plattform mappt NIS-2 und TISAX aus einem Kontroll-Set, plus OT-Module für die Werks-IT.

NIS-2-Risiko-Check buchen

Cybervize-Plattform Reifegrad-Report nach ISO 27001 als Beleg branchenuebergreifender Beratungskompetenz

Was NIS-2 und TISAX zusammen für Automotive konkret bedeuten

OEMs und Tier-1-/Tier-2-Zulieferer fallen typischerweise unter NIS-2-Anhang II als „wichtige Einrichtung" und tragen zusätzlich vertragliche TISAX-Anforderungen aus der Automotive-Lieferkette. Vier Konsequenzen aus dieser Doppel-Regulierung für OEM-Zulieferer und Werks-Betreiber. Sektor allein reicht nicht: NIS-2-Anhang-II-Einordnung hängt von Größenwerten und konkreter Tätigkeit ab; TISAX bleibt vertragliche Anforderung, kein Gesetz. Die rechtliche Bewertung bleibt einer spezialisierten Kanzlei vorbehalten.

01 · Scope

Wichtige Einrichtung mit reaktiver Aufsicht

Anhang II bedeutet niedrigere Sanktionen als Anhang I, aber dieselben zehn Mindestmaßnahmen nach §30 NIS2UmsuCG. Aufsicht ist reaktiv, kommt aber bei einem Vorfall oder Audit-Findings.

02 · Scope

TISAX als parallele Sicherheits-Zertifizierung

TISAX (Trusted Information Security Assessment Exchange) ist Industriestandard für OEM-Zulieferer. Audit-Level 1 bis 3 abhängig von Schutzbedarf. NIS-2 deckt viele TISAX-Anforderungen ab, aber nicht alle, und umgekehrt.

03 · Scope

OT in Werken plus Office-IT in Engineering

Produktions-Werke mit OT (Robotik, Pressen, Lackierung) und Engineering-Centern mit CAD- und Produktdaten haben unterschiedliche Risikolandschaften. Beide gehören zum NIS-2-Scope.

04 · Scope

Lieferketten-Reziprozität

OEMs geben TISAX und NIS-2-Anforderungen an Zulieferer weiter. Tier-1-Zulieferer geben sie weiter an Tier-2-Zulieferer. Wer in einer Lieferkette steht, bekommt die Anforderungen vertraglich, auch wenn er selbst nicht direkt NIS-2-betroffen ist.

Fünf Mindestmaßnahmen am Automotive-Beispiel

Fünf NIS-2-Mindestmaßnahmen, übersetzt in Automotive-Praxis (mit TISAX-Kreuzbezug).

Risikoanalyse für Produktion und Engineering

Risiko-Register mit Werks-OT (Robotik, Pressen), Engineering-IT (CAD-Daten, Produkt-IP) und Office-IT. Schutzziele unterscheiden sich: Produktion = Verfügbarkeit, Engineering = Vertraulichkeit, Office = Integrität.

Sicherheit in der Lieferkette mit Tier-Logik

Lieferanten-Inventar mit Tier-Klassifikation und Kritikalität. TISAX-Status der Lieferanten dokumentiert, alternative Lieferanten für Single-Source-Komponenten identifiziert.

Sicherheit beim Erwerb von Steuerungen und Robotik

Beschaffungs-Prozess mit Security-Anforderungen für neue Produktions-Anlagen, Patch-Management mit Wartungsfenstern, Fernwartungs-Zugänge für Maschinen-Hersteller dokumentiert.

Verschlüsselung für Engineering-Daten und Produkt-IP

CAD-Daten und Produkt-IP verschlüsselt at-rest und in-transit, Schlüssel-Management dokumentiert, Daten-Klassifikation nach TISAX-Schutzbedarfsstufen.

Multi-Faktor-Authentifizierung für Engineering-Zugänge

MFA für Engineering-Workstations, Cloud-CAD-Plattformen und Lieferanten-Portale. Privilegierte Konten gesondert. Zugriffsrechte regelmäßig rezertifiziert.

Cybervize-Bausteine für Automotive

Die Cybervize-Plattform deckt ISMS, Assessment (NIS-2 plus TISAX), TPRM und BCM in einer Lösung ab. Für Automotive besonders relevant: TISAX-Mapping, Multi-Werks-Assessment, Lieferanten-Tier-Logik.

Service 01

NIS-2-Risiko-Check

Kostenloses 30-Minuten-Erstgespräch mit indikativer NIS-2-Einordnung, Top-5-Lücken und Pfad-Empfehlung.

Mehr erfahren Service 02

Cybervize-Plattform

ISMS, Compliance und Nachweisführung aus einer Plattform. Multi-Entity, Multi-Country, KI-gestützt.

Mehr erfahren Service 03

Virtual CISO

Plattform plus dauerhafte CISO-Funktion. Für Häuser ohne eigenen CISO.

Mehr erfahren Service 04

NIS-2-Einführungsprojekt

Gap-Assessment, Roadmap, Implementierung über die Plattform. Festpreis ab 4.500 Euro.

Mehr erfahren

Selbst-Check verfügbar

NIS-2-Reifegrad-Check: 30 Fragen, 10 Pflichtbereiche aus §30 BSIG, Sofort-Ampel

Kostenfrei, ohne Anmeldung, etwa 5 Minuten. Detail-Auswertung optional per Email.

Check starten

Warum Cybervize für Automotive passt

Branchen-Erfahrung in Automotive und produzierendem Gewerbe aus 25 Jahren ISMS-Praxis bei PwC, Deloitte und KPMG. TISAX-Erfahrung von OEM- und Tier-1-Mandaten. Plattform deckt TISAX und NIS-2 aus einem Kontroll-Set ab.

TISAX: Audit-Level 1 bis 3 Coverage
Multi-Werk: Konzernweiter Roll-out
NIS-2 + TISAX: aus einem Kontroll-Mapping
OEM + Tier-1: Branchen-Mandate

Häufige Fragen aus dem Automotive-Sektor

NIS-2 und TISAX in 30 Minuten einordnen

Kostenloser Risiko-Check mit indikativer NIS-2-Einordnung, TISAX-Status-Indikator und Pfad-Empfehlung. Idealerweise dabei: IT-Leitung oder TISAX-Verantwortliche plus Geschäftsführung.

NIS-2-Risiko-Check buchen

Mitgliedschaften, Programme und Partnerschaften

Automotive trifft NIS-2 plus TISAX. Doppelte Pflicht, eine Plattform.

Was NIS-2 und TISAX zusammen für Automotive konkret bedeuten

Wichtige Einrichtung mit reaktiver Aufsicht

TISAX als parallele Sicherheits-Zertifizierung