TISAX-Checkliste: 10 Schritte zum Label

TISAX-Checkliste: In 10 Schritten zum Label

Der Weg zum TISAX-Label wirkt auf den ersten Blick komplex: ENX-Registrierung, VDA ISA Katalog, Reifegrade, Prüfdienstleister, Audit. Diese Checkliste bricht den Prozess in zehn konkrete Schritte herunter, die du nacheinander abarbeitest. Jeder Schritt baut auf dem vorherigen auf, sodass du jederzeit weißt, wo du stehst und was als Nächstes kommt.

Schritt 1: Scope definieren

Bevor du startest, musst du den Scope deines TISAX-Assessments festlegen: Welche Standorte sind betroffen? Welche Labels werden benötigt? Der Scope bestimmt den gesamten Aufwand — ein zu breiter Scope kostet unnötig, ein zu enger riskiert, dass der OEM das Assessment nicht akzeptiert.

Prüfe die Verträge mit deinen OEM-Partnern: Dort steht in der Regel genau, welche Labels gefordert werden. Kläre außerdem, welche Standorte in Scope fallen — nur die, an denen OEM-Daten verarbeitet werden, oder alle? Bei mehreren Standorten kann jeder separat assessiert werden, was den Aufwand pro Standort reduziert, aber die Gesamtkosten erhöht.

Schritt 2: Assessment Level bestimmen

Basierend auf den geforderten Labels und der Datenklassifikation bestimmst du das Assessment Level (AL2 oder AL3). AL2 reicht für die meisten Zulieferer mit "Info hoch". AL3 ist Pflicht für Prototypenschutz und "Info sehr hoch". Im Zweifel: den OEM fragen. Eine Fehleinschätzung und späterer Wechsel des Levels kostet doppelt.

Schritt 3: ENX-Portal Registrierung

Registriere dein Unternehmen auf dem ENX-Portal. Dort legst du den Scope (Standorte, Labels, Assessment Level) fest und wählst einen Prüfdienstleister aus. Die Registrierung ist kostenpflichtig — die ENX-Registrierungsgebühr beträgt je nach Scope und Unternehmensgröße mehrere tausend Euro. Nach der Registrierung erhältst du einen Assessment-Auftrag, der die Grundlage für das weitere Verfahren bildet.

Schritt 4: Prüfdienstleister auswählen

Wähle einen von ENX akkreditierten Prüfdienstleister. Akkreditierte Anbieter findest du direkt auf dem ENX-Portal. Auswahlkriterien: Erfahrung in deiner Branche (Automotive, IT, Dienstleister), Verfügbarkeit (Wartezeiten können 4-8 Wochen betragen), Tagessätze und Sprachkenntnisse (bei internationalen Standorten). Hole mindestens zwei Angebote ein und vergleiche Tagessätze und geschätzte Audit-Dauer.

Schritt 5: Gap-Analyse durchführen

Die Gap-Analyse ist der wichtigste Vorbereitungsschritt. Arbeite den VDA ISA Katalog systematisch durch und bewerte für jedes Prüfziel deinen aktuellen Ist-Zustand. Dokumentiere den Reifegrad (0-5) und identifiziere alle Prüfziele, die unter dem Ziel-Reifegrad 3 liegen.

Kopexa macht die Gap-Analyse effizient: Der VDA ISA Katalog ist vorgeladen, ergänzt durch einen Maßnahmenkatalog mit konkreten Umsetzungshilfen für jedes Prüfziel. Du bewertest Reifegrade direkt in der Plattform und erhältst sofort eine Übersicht aller Lücken — priorisiert nach Kritikalität.

Schritt 6: ISMS aufbauen oder erweitern

TISAX setzt ein funktionierendes Information Security Management System (ISMS) voraus. Wenn du bereits ISO 27001 zertifiziert bist, hast du eine solide Basis — etwa 60-70 % der TISAX-Anforderungen sind bereits abgedeckt. Ohne bestehendes ISMS musst du eines aufbauen: Sicherheitspolitik, Risikoanalyse, Kontrollmaßnahmen und kontinuierliche Verbesserung. Kopexa bietet hierfür Vorlagen, die du als Ausgangspunkt nutzen kannst.

Schritt 7: Policies und Richtlinien erstellen

Erstelle oder aktualisiere die Richtlinien, die der VDA ISA fordert: Informationssicherheitspolitik, Zugangssteuerungsrichtlinie, Passwort-Policy, Backup-Richtlinie, Incident-Response-Plan, Change-Management-Prozess, Datenschutzrichtlinie und Lieferantenbewertungsprozess. Jede Richtlinie muss von der Geschäftsleitung genehmigt und an die Mitarbeiter kommuniziert sein. Kopexa stellt Vorlagen für alle relevanten Policies bereit, die du an deine Unternehmensrealität anpassen kannst.

Schritt 8: Schulungen durchführen

Plane ein Security-Awareness-Programm für alle Mitarbeiter mit Zugang zu schützenswerten Informationen. Inhalte: Umgang mit vertraulichen Daten, Phishing-Erkennung, Passwort-Sicherheit, Clean-Desk-Policy, Meldewege bei Sicherheitsvorfällen. Bei Prototypenschutz: zusätzliche Schulungen zum Umgang mit Prototypen, Fotografierverbote und NDA-Anforderungen. Dokumentiere alle Schulungen mit Teilnehmerlisten und Inhalten — der Auditor fordert diese Nachweise.

Schritt 9: Self-Assessment durchführen

Arbeite den VDA ISA Katalog vollständig durch und dokumentiere für jedes Prüfziel: den erreichten Reifegrad, die zugehörigen Nachweise, den Verantwortlichen und ggf. geplante Verbesserungsmaßnahmen. Das Self-Assessment ist gleichzeitig deine Audit-Vorbereitung — der Auditor arbeitet denselben Katalog durch und prüft deine Einschätzungen. In Kopexa erledigst du das Self-Assessment direkt in der Plattform, inklusive Evidence-Upload und Reifegrad-Tracking.

Schritt 10: Audit und Label-Vergabe

Der Auditor führt die Prüfung durch — remote bei AL2, vor Ort bei AL3. Der Ablauf: Eröffnungsgespräch, Dokumentenprüfung, Interviews, ggf. physische Begehung, Stichproben und Abschlussgespräch. Bei Bestehen: Dein TISAX-Label wird auf dem ENX-Portal veröffentlicht und ist für alle teilnehmenden OEMs sichtbar. Gültigkeit: 3 Jahre. Bei Abweichungen: Nachbesserungsfrist (typisch 3-9 Monate), dann Nachaudit. Detaillierte Tipps findest du auf unserer Seite zur Audit-Vorbereitung.

Typische Timeline

Detaillierte Kosteninformationen zu jedem Schritt findest du auf unserer Seite zu TISAX Kosten und Ablauf.