TISAX und Cybersecurity Risikomanagement in der Lieferkette

Befolgen Sie diese fünf bewährten Verfahren, um die Einhaltung von TISAX zu vereinfachen.

Dekoratives Bild

TISAX (Trusted Information Security Assessment Exchange) is an information security standard developed by the German Association of the Automotive Industry (VDA) and managed by the ENX Association. Since its introduction in 2017, automotive manufacturers, parts manufacturers, and suppliers across Europe—and increasingly globally—have widely adopted TISAX to ensure a uniform level of information security across the industry. Today, more than 17,500 sites across 90+ countries have been assessed under the TISAX framework, making it one of the most widely used assessment mechanisms in any industry sector.

Because TISAX requires a comprehensive examination of information security controls, automotive manufacturers and parts suppliers should develop a risk assessment and ongoing monitoring strategy that aligns with its requirements to enhance cyber resilience across global automotive supply chains.

In diesem Beitrag werden die Herausforderungen für die Informationssicherheit in der Automobilindustrie, die TISAX-Kontrollen für die Informationssicherheit und die Anforderungen an die Einhaltung der Vorschriften sowie bewährte Verfahren zur Vereinfachung der TISAX-Einhaltung untersucht.

Herausforderungen für die Informationssicherheit in der Automobilindustrie

TISAX wurde entwickelt, um den besonderen Herausforderungen und Bedürfnissen der Automobilindustrie im Bereich der Informationssicherheit gerecht zu werden.

Unterschiedliche Sicherheitsanforderungen

Typically, each automotive manufacturer develops its own information security standards and applies these requirements to its suppliers. This approach required suppliers to comply with multiple, sometimes conflicting, security criteria.

Audit-Müdigkeit

Ohne einen gemeinsamen Standard wurden die Lieferanten mehreren Audits durch verschiedene Hersteller unterzogen, die die Informationssicherheit jeweils nach ihren eigenen Kriterien bewerteten. Dies war nicht nur repetitiv, sondern auch ressourcenintensiv für die Lieferanten.

Globale Lieferketten

Die Automobilindustrie zeichnet sich durch komplexe, globale Lieferketten aus, an denen zahlreiche Partner und Zulieferer aus verschiedenen Regionen beteiligt sind. Die einheitliche Verwaltung der Informationssicherheit in einem so großen Netzwerk ohne einen gemeinsamen Standard wurde immer schwieriger und riskanter.

Zunehmende Cyber-Bedrohungen

As the industry adopted more digital technologies and connected systems, the risk of cyber threats increased. There was a clear need for a standardized approach to protect systems, sensitive information, and intellectual property effectively. Automotive manufacturers such as Toyota have been impacted by significant cyberattacks against suppliers. In late 2024, a ransomware attack against Jaguar Land Rover halted global vehicle production for nearly 40 days, underscoring how a single breach can cascade across an entire manufacturing operation.

Einhaltung von Vorschriften

Automotive suppliers operating in the EU now face obligations under the EU NIS2 Directive, which introduces stricter cybersecurity requirements across supply chains and places direct and indirect obligations on every tier of the supplier ecosystem. Notably, an analysis by ENX’s expert working groups confirmed that organizations achieving TISAX compliance under the ISA 6.0 catalog are well-positioned to meet the core requirements of NIS2, including risk management, incident response, supply chain security, governance, and technical safeguards.

TISAX aims to harmonize information security assessments, reduce the audit burden on suppliers, and ensure that all participants in the automotive supply chain adhere to high security standards. Note that country-specific reporting obligations may require additional steps beyond TISAX.

TISAX Informationssicherheitskontrollen und Berichterstattung

Currently on version 6.0.3, the TISAX Information Security Assessment (ISA) evaluates 80 information security, prototype protection, and data protection controls across the following nine (9) control families:

  • Infosec-Richtlinien & Organisation
  • Personalwesen
  • Physische Sicherheit
  • Identity and Access Management
  • IT Security / Cyber Security
  • Beziehungen zu den Lieferanten
  • Einhaltung der Vorschriften
  • Schutz von Prototypen
  • Datenschutz

Eine abgeschlossene ISA stellt die Bewertungsergebnisse in einem Spinnendiagramm dar und bewertet den Reifegrad jeder Kontrollunterfamilie von 0 (niedrig) bis 5 (hoch). Jede Kontrolle wird auch gleichwertigen Kontrollen in Branchenstandards wie ISO 27001, NIST 800-53, BSI und anderen zugeordnet.

TISAX-Konformitätsanforderungen

Since it is voluntary, TISAX itself does not impose penalties for non-compliance in the traditional sense of regulatory fines. However, not being TISAX-compliant can have significant repercussions for businesses in the automotive industry, particularly regarding their business relationships and reputation.

For many in the automotive industry, TISAX compliance is equated with the bottom line. Companies achieving TISAX compliance demonstrate their commitment to protecting sensitive information, thereby enhancing trust among business partners, mitigating risks associated with cyber threats and regulatory non-compliance, and improving revenue, new client acquisition, and existing client retention. The automotive industry strongly incentivizes TISAX, making it nearly essential for companies that want to stay competitive and secure in the sector.

Um TISAX-konform zu werden, müssen Organisationen in der Automobilindustrie mehrere Anforderungen erfüllen, die auf dem VDA-Katalog ISA (Information Security Assessment) basieren. Dieser Katalog passt die Norm ISO/IEC 27001 an die spezifischen Bedürfnisse der Automobilindustrie an.

Zu den wichtigsten Anforderungen und Schritten, um die TISAX-Konformität zu erreichen, gehören die folgenden.

  • Legen Sie den Umfang der Bewertung fest und bestimmen Sie, welche Teile der Organisation und welche Prozesse auf der Grundlage der TISAX-Standards bewertet werden müssen.
  • Durchführung einer Selbstbewertung anhand des VDA ISA-Fragebogens. Dieser Schritt beinhaltet die Bewertung der aktuellen Praktiken und Richtlinien im Vergleich zu den TISAX-Standards, um Lücken zu ermitteln.
  • Implementierung der notwendigen Kontrollen, um Lücken zu schließen und die erforderlichen Standards zu erfüllen. Dies kann die Verbesserung von IT-Sicherheitsmaßnahmen, die Aktualisierung von Richtlinien und die Gewährleistung ordnungsgemäßer Datenverarbeitungspraktiken umfassen.
  • Beauftragen Sie einen ENX-akkreditierten Prüfer mit der Durchführung des offiziellen Audits und eines Vor-Ort-Besuchs, um zu überprüfen, ob alle TISAX-Anforderungen erfüllt werden. Dazu gehören die Prüfung von Unterlagen, die Befragung von Mitarbeitern und die Inspektion von physischen und IT-Sicherheitsmaßnahmen.
  • Führen Sie Abhilfemaßnahmen durch, wenn bei der Prüfung Bereiche festgestellt werden, in denen die Vorschriften nicht eingehalten werden. Nach Abhilfemaßnahmen kann ein Folgeaudit erforderlich sein, um die Einhaltung der Vorschriften zu bestätigen.
  • Nach erfolgreicher Prüfung erhalten Sie ein TISAX-Label. Das Gütesiegel ist drei Jahre lang gültig und wird im ENX TISAX-Portal registriert und kann zum Nachweis der Konformität an Kunden und Partner weitergegeben werden.
  • Regelmäßige Überprüfung und Aktualisierung der Sicherheitspraktiken und Neubewertung alle drei Jahre oder früher, wenn wesentliche Änderungen in ihrem Unternehmen oder ihrer IT-Umgebung auftreten.

Diese Schritte stellen sicher, dass ein Unternehmen die TISAX-Standards während des Audits erfüllt und sich kontinuierlich zur Einhaltung dieser Standards verpflichtet.

Fünf bewährte Praktiken zur Vereinfachung der TISAX-Konformität

Es kann ein komplexer und zeitaufwändiger Prozess sein, die Anforderungen an die Einhaltung von Vorschriften zu ermitteln, die erforderlichen Daten zu sammeln und zu analysieren und daraufhin zu handeln, um eine negative Feststellung der Einhaltung zu vermeiden. Befolgen Sie diese fünf Best Practices, um den Prozess zu vereinfachen.

1. Definition der organisatorischen Risikomanagementprozesse

Build a comprehensive third-party risk management (TPRM) or cybersecurity supply chain risk management (C-SCRM) program in line with your broader information security and governance, enterprise risk management, and compliance programs. Seek out experts who can collaborate with your organization on:

  • Definition von TPRM- und C-SCRM-Prozessen und -Lösungen
  • Auswahl von Fragebögen und Rahmenwerken zur Risikobewertung, um die Ergebnisse zu vergleichen (z. B. eine TISAX-spezifische Bewertung oder eine allgemeinere ISO 27001-Bewertung)
  • Optimierung Ihres Programms, um den gesamten Lebenszyklus des Risikos von Drittanbietern abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens
  • Festlegung klarer Rollen und Zuständigkeiten (z. B. RACI) in der gesamten Organisation
  • Implementierung von Risikobewertungen und Schwellenwerten auf der Grundlage der Risikotoleranz Ihres Unternehmens

2. Profil und Stufe aller Lieferanten

Erstellen Sie ein zentrales Lieferanteninventar, indem Sie Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer vorhandenen Beschaffungs- oder Lieferkettenlösung importieren. Teams im gesamten Unternehmen sollten in der Lage sein, die wichtigsten Lieferantendetails über ein zentrales Aufnahmeformular und damit verbundene Workflow-Aufgaben zu erfassen. Dies sollte für jeden per E-Mail-Einladung möglich sein, ohne dass eine Schulung oder Lösungskenntnisse erforderlich sind.

Bei der Überprüfung aller Lieferanten sollten die Teams umfassende Lieferantenprofile erstellen, die alle dokumentarischen Nachweise im Zusammenhang mit der TISAX-Bewertung sowie Einblicke in die Demografie, die ESG-Bewertungen, die jüngsten Geschäfts- und Reputationseinblicke, die Geschichte der Datenschutzverletzungen und die jüngste finanzielle Leistung eines Lieferanten enthalten. Dies wird den Auditprozessen den nötigen Kontext verleihen.

Ein Teil des Profiling-Prozesses ist die Identifizierung von Fourth-Party- und Nth-Party-Lieferanten in Ihrem Lieferanten-Ökosystem, da sich kritische Abhängigkeiten auf Tiering-Entscheidungen auswirken können. Führen Sie eine fragebogenbasierte Bewertung Ihrer Lieferanten durch oder scannen Sie passiv die öffentlich zugängliche Infrastruktur des Lieferanten. Die daraus resultierende Beziehungsübersicht sollte erweiterte Abhängigkeiten aufzeigen, die Ihr Unternehmen einem Risiko aussetzen könnten.

Schließlich sollten Sie die inhärenten Risiken für alle Lieferanten quantifizieren, um eine effektive Einstufung der Lieferanten vorzunehmen, ein angemessenes Maß an weiterer Sorgfalt festzulegen und den Umfang der laufenden Bewertungen zu bestimmen. Kriterien zur Berechnung des inhärenten Risikos für die Einstufung von Lieferanten können sein:

  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Überlegungen (z. B. GDPR)
  • Interaktion mit geschützten Daten

3. Bewertung der Lieferanten anhand der TISAX-Anforderungen

Leverage a supplier’s TISAX risk assessment, ISO 27001, NIST 800-53, or other industry standard assessment that can be easily mapped to TISAX requirements. Incorporate the assessment into a central supplier risk management platform, and use workflow automations, task management, and automated evidence review capabilities to evaluate supplier maturity scores. As well, assessment results should be presented in a central risk register that enables you to quickly visualize, sort, and pinpoint the most important risks.

4. Beseitigung von Mängeln

Wichtig ist, dass Sie Abhilfemaßnahmen für Lieferantenkontrollen mit niedrigem Reifegrad vorschlagen, die die Risikobereitschaft des Unternehmens übersteigen. TPRM-Lösungen sollten integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthalten, um sicherzustellen, dass Ihre Lieferanten die Risiken rechtzeitig und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

5. Kontinuierliche Überwachung der Lieferanten auf Bedrohungen

Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Lieferanten. Dazu gehört auch die Überwachung des Internets und des Dark Web auf Cyber-Bedrohungen und Schwachstellen. Zu den Überwachungsquellen gehören in der Regel:

  • Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
  • Databases containing several years of data breach history for thousands of companies worldwide

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Lieferanten zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren.

Once all assessment and monitoring data is correlated into a central risk register, apply risk scoring and prioritization according to a likelihood and impact model. This model should frame risks in a matrix, so you can easily see the highest-impact risks and prioritize remediation efforts accordingly. Assign owners and track risks and remediations to a level acceptable to the business.

Nächste Schritte zur TISAX-Konformität

The Mitratech’s Third-Party Risk Management Platform offers a central, automated solution for scaling third-party risk management and cybersecurity supply chain risk management in concert with your broader cybersecurity and enterprise risk management program. With Mitratech, your team can:

  • Aufbau eines zentralisierten Lieferanteninventars mit umfassenden Risikoprofilen, auf das mehrere Teams im gesamten Unternehmen zugreifen können
  • Bewertung des inhärenten Risikos als Grundlage für die Erstellung von Lieferantenprofilen, die Einstufung in verschiedene Kategorien und die Bestimmung des angemessenen Umfangs und der Häufigkeit der laufenden Due-Diligence-Aktivitäten
  • Automatisieren Sie Risikobewertungen und Abhilfemaßnahmen in jeder Phase des Lebenszyklus von Drittanbietern
  • Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Dritte durch Überwachung des Internets und des Dark Web auf Cyber-Bedrohungen und Schwachstellen

Contact our team to determine how your TPRM policies stack up to TISAX requirements. Book your tailored demo today.


Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.