Cybervize - Cybersecurity Beratung

Der TISAX-Prozess über die ENX-Plattform

TISAX / VDA ISACISOISMS ManagerLieferantenmanagementVertrieb

Kernaussage

TISAX ist kein einmaliges Audit, sondern ein gesteuerter Prozess, der über die ENX-Plattform läuft und in einem teilbaren Prüfergebnis (Label) mündet. Die ENX Association betreibt diesen Prozess im Auftrag des VDA; die Prüfung selbst erfolgt durch akkreditierte TISAX-Prüfdienstleister. Sinn des Verfahrens ist die gegenseitige Anerkennung: Ein einmal erzieltes Ergebnis lässt sich kontrolliert mit mehreren Partnern teilen, statt für jeden Kunden ein eigenes Audit zu durchlaufen.

Für das Management heißt das: Die wichtigsten Hebel liegen früh. Der CISO steuert TISAX als Strecke von der Registrierung bis zum Label-Austausch, nicht als Prüfungstermin.

Problem in der Praxis

Viele Organisationen behandeln TISAX wie eine Prüfung, auf die man sich kurzfristig vorbereitet. Sie unterschätzen, dass der Prozess aus mehreren voneinander abhängigen Schritten besteht und die wichtigsten Weichen früh gestellt werden.

Typisch ist, dass der Scope unter Zeitdruck zu eng oder zu weit gezogen wird. Ein zu enger Scope deckt nicht ab, was der Kunde verlangt, und macht das Label wertlos; ein zu weiter zieht nicht betroffene Standorte in die Prüfung und treibt Aufwand und Risiko. Ebenso unterschätzt wird die Selbstbewertung: als Formular ausgefüllt statt als ehrliche Standortbestimmung, sodass die Lücke zwischen Selbstbild und Prüfergebnis erst im Assessment sichtbar wird.

CISO-Einordnung

Der CISO sollte den TISAX-Prozess entlang weniger Steuerungsfragen denken, nicht entlang eines Prüfkatalogs:

  • Welche Geschäftsbeziehung erfordert das Label, mit welchem Schutzbedarf, und welche Standorte, Prozesse und Prüfziele gehören wirklich in den Scope?
  • Welches Assessment-Level ist angemessen, und wie belastbar ist unsere Selbstbewertung, bevor ein externer Prüfer kommt?
  • Wer steuert etwaige Korrekturmaßnahmen, an wen geben wir das Ergebnis über die Plattform frei, und wann läuft es aus?

Diese Fragen sind bewusst generisch und ersetzen keine Vorgaben von ENX oder VDA. Wichtig ist die Rollentrennung: ENX betreibt Plattform und Governance, der Prüfdienstleister beurteilt unabhängig, die Organisation bleibt verantwortlich für Scope, Reife und Nachweise.

Umsetzungsperspektive

Der Prozess lässt sich als zusammenhängende Strecke betreiben:

  • Registrierung und Scope. Die Organisation registriert sich bei ENX und legt den Prüfumfang fest: betroffene Standorte, Prozesse, Informationen sowie die angestrebten Prüfziele und Labels. Der Scope ist die Grundlage für alles Weitere und sollte mit den Anforderungen des Kunden (OEM oder Zulieferer) abgestimmt werden.
  • Selbstbewertung. Mit dem VDA ISA - aktuelle Katalogbasis ist VDA ISA 6 - bewertet die Organisation ihren Reifegrad je Kriterium auf der Skala von 0 bis 5. Die Zielreife liegt in der Regel bei mindestens Stufe 3 ("Established"); einzelne Ziele können höher liegen, maßgeblich ist die jeweils gültige Katalogversion. Aufbau und Module des Katalogs behandelt der dedizierte Artikel tisax-002.
  • Assessment. Ein akkreditierter Prüfdienstleister führt das Assessment gemäß dem gewählten Assessment-Level (AL1, AL2 oder AL3) durch; das Level bestimmt die Prüftiefe im Prozess. Höherer Schutzbedarf führt zu höherer Prüftiefe, von der Plausibilitätsbetrachtung bis zur vertieften beziehungsweise Vor-Ort-Prüfung.
  • Korrekturmaßnahmen. Werden Abweichungen festgestellt, wird ein Korrekturmaßnahmenplan vereinbart und nachverfolgt. Erst nach Behandlung der relevanten Abweichungen kann das Ergebnis als bestanden gelten.
  • Label und Austausch. Bei erfolgreichem Abschluss wird das TISAX-Label vergeben. Es wird nicht öffentlich publiziert, sondern kontrolliert über die ENX-Plattform mit ausgewählten Partnern geteilt; die Organisation entscheidet, wem sie Einblick gewährt. Welche Assessment-Level und Labels es im Detail gibt, behandelt der dedizierte Artikel tisax-004.
  • Geltungsdauer. Labels haben eine begrenzte Gültigkeit, in der Regel drei Jahre; genaue Dauer und Bedingungen sind an den aktuellen ENX/VDA-Vorgaben zu prüfen und rechtzeitig für eine Re-Prüfung einzuplanen.

Typische Fehler

  1. Scope und Prüfziele werden ohne Abgleich mit der konkreten Kundenanforderung festgelegt.
  2. Die Selbstbewertung wird beschönigt, sodass das externe Assessment unerwartete Abweichungen aufdeckt.
  3. Das Assessment-Level wird zu niedrig gewählt und passt nicht zum tatsächlichen Schutzbedarf.
  4. Korrekturmaßnahmen werden als Einmalaktion behandelt statt nachverfolgt.
  5. Der Label-Austausch wird unkoordiniert gehandhabt oder die Geltungsdauer nicht überwacht, sodass das Label vor einer wichtigen Geschäftsentscheidung ausgelaufen ist.

Risiken und Trade-offs

Der zentrale Trade-off liegt im Scope: Ein breiter Scope mit hohem Assessment-Level erzeugt ein vielseitig nutzbares Ergebnis, kostet aber mehr; ein enger Scope ist günstiger, deckt aber möglicherweise nicht alle Kundenanforderungen ab und zwingt später zu Nachprüfungen.

Ein zweites Spannungsfeld ist Zeit gegen Reife: Ein zu früh terminiertes Assessment riskiert Korrekturschleifen, ein zu spätes verpasst geschäftliche Fristen. Und weil die Geltungsdauer begrenzt ist, verlangt TISAX eine geplante Erneuerung, sonst entsteht eine Lücke im Nachweis.

Entscheidungspunkte

  • Welcher Scope deckt die Kundenanforderung ab, ohne unnötige Standorte und Prozesse einzubeziehen?
  • Welche Prüfziele, Labels und welches Assessment-Level entsprechen dem Schutzbedarf?
  • Ist die Selbstbewertung belastbar genug, um den externen Prüfer kommen zu lassen?
  • Welche Partner erhalten über die Plattform Zugriff auf das Ergebnis, und wie wird die Erneuerung vor Ablauf gesteuert?

Praktische Empfehlungen

  1. Klären Sie die konkrete Kundenanforderung, bevor Sie Scope, Prüfziele und Assessment-Level festlegen.
  2. Führen Sie die Selbstbewertung als ehrliches internes Gap-Assessment und schließen Sie Lücken vor dem externen Assessment.
  3. Wählen Sie einen akkreditierten Prüfdienstleister frühzeitig und stimmen Sie Zeitplan und Prüfumfang verbindlich ab.
  4. Planen Sie Korrekturmaßnahmen mit Owner, Termin und Wirksamkeitsnachweis, nicht als kurzfristige Reparatur.
  5. Steuern Sie den Label-Austausch bewusst, überwachen Sie die Geltungsdauer und starten Sie die Erneuerung rechtzeitig; prüfen Sie verbindliche Details an den aktuellen ENX/VDA-Vorgaben.

Relevante Normreferenzen

  • VDA ISA (Information Security Assessment): Prüfkatalog des VDA als Grundlage des Verfahrens; lizenziert, nur als Referenz genannt.
  • TISAX / ENX-Regelwerk: Verfahrens- und Governance-Vorgaben der ENX Association zu Prozess, Labels und Geltungsdauer.
  • ISO/IEC 27001: verwandte ISMS-Referenz, an der der VDA ISA angelehnt ist (eigenständiges TISAX-Modell, keine ISO-Zertifizierung).

Häufige Fragen

Ist TISAX ein einmaliges Audit?+

Nein. TISAX ist ein Prozess mit begrenzt gültigem Ergebnis; das Label muss vor Ablauf erneuert werden (Geltungsdauer an aktuellen ENX/VDA-Vorgaben prüfen).

Wer führt das Assessment durch?+

Ein akkreditierter TISAX-Prüfdienstleister. ENX betreibt Plattform und Governance, führt die Prüfung aber nicht selbst durch.

Warum ist der Scope so wichtig?+

Er bestimmt, was geprüft wird und ob das Label die Kundenanforderung abdeckt. Ein falscher Scope führt zu wertlosen Ergebnissen oder unnötigem Aufwand.

Wird ein TISAX-Label öffentlich veröffentlicht?+

Nein. Das Ergebnis wird kontrolliert über die ENX-Plattform mit ausgewählten Partnern geteilt.

Was passiert bei Abweichungen im Assessment?+

Es wird ein Korrekturmaßnahmenplan vereinbart und nachverfolgt; erst nach Behandlung der relevanten Abweichungen gilt das Ergebnis als bestanden.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen TISAX / VDA ISA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tisax-005.