TISAX & ISO 27001 Mapping

TISAX und ISO 27001: Wie hängen sie zusammen?

ISO 27001 und TISAX basieren auf denselben Grundprinzipien der Informationssicherheit, haben aber unterschiedliche Schwerpunkte. ISO 27001 ist ein branchenübergreifender Standard für Informationssicherheits-Managementsysteme. TISAX ist ein Automotive-spezifisches Assessment, das auf dem VDA ISA Katalog basiert und zusätzliche Anforderungen an Prototypenschutz, Datenschutz und Verfügbarkeit stellt.

Die gute Nachricht: Wer bereits ISO 27001 zertifiziert ist, hat etwa 60-70 % der TISAX-Anforderungen bereits abgedeckt. Die Herausforderung liegt im Delta — den Automotive-spezifischen Anforderungen, die ISO 27001 nicht abdeckt.

Cross-Reference: ISA-Kapitel auf ISO 27001 Annex A

Was ISO 27001 bereits abdeckt

Wenn du ISO 27001 zertifiziert bist, hast du eine solide Basis:

• ISMS-Grundstruktur: Risikomanagement, Policies, Kontrollmaßnahmen und kontinuierliche Verbesserung sind vorhanden
• Dokumentation: Richtlinien, Prozessbeschreibungen und Nachweise existieren bereits
• Technische Kontrollen: Zugangssteuerung, Kryptografie, Netzwerksicherheit und Patch-Management sind implementiert
• Organisatorische Maßnahmen: Rollen und Verantwortlichkeiten, Schulungsprogramme und interne Audits sind etabliert
• Incident Management: Prozesse zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen existieren

Das TISAX-Delta: Was zusätzlich gefordert wird

Trotz der hohen Überschneidung gibt es TISAX-spezifische Anforderungen, die ISO 27001 nicht abdeckt:

Prototypenschutz

Der Prototypenschutz ist komplett TISAX-spezifisch und hat kein Pendant in ISO 27001. Physische Sicherheitszonen für Prototypen, Tarnfolierung von Testfahrzeugen, Fotografierverbote und NDA-Management sind Anforderungen, die aus der ISO-27001-Zertifizierung nicht hervorgehen.

Reifegradmodell

ISO 27001 kennt kein Reifegradmodell — Kontrollen sind entweder implementiert oder nicht. TISAX verlangt für jedes Prüfziel einen nachweisbaren Reifegrad von mindestens 3, was standardisierte Prozesse, KPIs und Verbesserungshistorien erfordert. Auch wenn die Maßnahme in ISO 27001 bereits implementiert ist, muss der Reifegrad für TISAX separat dokumentiert werden.

Automotive-spezifischer Datenschutz

TISAX hat eigene Datenschutz-Module, die über die DSGVO-Anforderungen von ISO 27001 Annex A.18 hinausgehen. Auftragsverarbeitung (AVV) im OEM-Kontext, besondere Kategorien personenbezogener Daten und Automotive-spezifische TOMs werden separat geprüft.

Verfügbarkeits-Labels

Die seit 2023 eingeführten Verfügbarkeits-Labels stellen erhöhte Anforderungen an Business Continuity, die über die ISO-27001-Grundanforderungen hinausgehen — insbesondere produktionsbezogene RTO/RPO-Werte und Redundanzkonzepte.

Dual-Certification-Strategie

Viele Unternehmen stehen vor der Frage: Erst ISO 27001, dann TISAX? Oder umgekehrt? Beide Strategien haben Vor- und Nachteile:

Option 1: ISO 27001 zuerst, dann TISAX

Vorteile: Du baust ein solides, branchenübergreifendes ISMS auf, das auch für andere Kunden (nicht nur Automotive) wertvoll ist. TISAX wird zum "Delta-Projekt" mit deutlich weniger Aufwand (6-10 Wochen statt 4-6 Monate). Die ISO-27001-Zertifizierung signalisiert Professionalität gegenüber allen Geschäftspartnern.

Nachteile: Längere Gesamtdauer. ISO 27001 Zertifizierung dauert 6-12 Monate, dann kommen 6-10 Wochen für TISAX hinzu. Höhere Gesamtkosten, wenn TISAX das einzige Ziel ist.

Option 2: TISAX direkt

Vorteile: Schneller am Ziel. Wenn nur Automotive-Kunden ein Label fordern, ist der direkte TISAX-Weg effizienter. Geringere Gesamtkosten, wenn ISO 27001 nicht zusätzlich benötigt wird.

Nachteile: Das aufgebaute ISMS ist auf TISAX zugeschnitten und möglicherweise nicht für andere Zertifizierungen wiederverwendbar. Höherer Initialaufwand, da kein bestehendes ISMS als Basis dient.

Empfehlung: Paralleler Ansatz mit Kopexa

Mit Kopexa kannst du beide Frameworks parallel verwalten. Das Cross-Mapping zeigt dir sofort, welche ISO 27001 Controls welche TISAX-Prüfziele abdecken — und umgekehrt. Du implementierst jede Maßnahme nur einmal und ordnest sie beiden Frameworks zu. Das spart typischerweise 30-40 % der Gesamtkosten gegenüber zwei getrennten Projekten.

Für eine Übersicht aller TISAX-Anforderungen lies unsere Seite zu den TISAX-Anforderungen. Den detaillierten Fragenkatalog findest du auf unserer Seite zum VDA ISA Katalog. Eine Schritt-für-Schritt-Anleitung findest du in der TISAX-Checkliste.