TISAX Rezertifizierung nach 3 Jahren

Was passiert nach 3 Jahren?

TISAX-Labels haben eine Gültigkeit von 3 Jahren. Nach Ablauf werden sie auf dem ENX-Portal als abgelaufen markiert und sind für OEMs nicht mehr als gültig sichtbar. Ohne gültiges Label verlierst du den Nachweis gegenüber deinen Automotive-Partnern — und riskierst bestehende und neue Aufträge.

Die Rezertifizierung (Re-Assessment) ist kein komplett neues Assessment, sondern baut auf dem Erst-Assessment auf. Trotzdem solltest du die Vorbereitung ernst nehmen: Der Auditor prüft nicht nur, ob dein Sicherheitsniveau gehalten wurde, sondern auch, ob du kontinuierliche Verbesserung nachweisen kannst.

Re-Assessment vs. Erst-Assessment

Das Re-Assessment unterscheidet sich in mehreren Punkten vom Erst-Assessment:

Der Auditor wird besonders darauf achten, ob du seit dem Erst-Assessment Verbesserungsmaßnahmen umgesetzt hast, ob Minor Non-Conformities behoben wurden und ob das ISMS tatsächlich gelebt wird. Ein stagnierendes ISMS ohne Verbesserung kann beim Re-Assessment zu Problemen führen.

Scope-Änderungen bei der Rezertifizierung

In drei Jahren kann sich viel ändern. Die Rezertifizierung ist der richtige Zeitpunkt, um den Scope anzupassen:

• Neue Standorte: Wenn du seit dem Erst-Assessment neue Standorte eröffnet hast, die OEM-Daten verarbeiten, müssen diese in den Scope aufgenommen werden
• Neue Labels: OEMs können neue Labels fordern (z. B. Verfügbarkeit, das seit 2023 verfügbar ist). Diese erfordern ggf. zusätzliche Prüfziele
• Scope-Erweiterung: Neue Geschäftsbereiche, neue OEM-Kunden oder neue Datentypen können den Scope erweitern
• Scope-Verkleinerung: Standorte geschlossen? OEM-Vertrag beendet? Der Scope kann auch verkleinert werden, was die Kosten senkt

Melde Scope-Änderungen frühzeitig an den Prüfdienstleister und das ENX-Portal. Überraschungen beim Audit-Termin sind teuer.

Kosten und Zeitaufwand der Rezertifizierung

Die Rezertifizierung kostet typischerweise 60-70 % der Erstkosten, da das ISMS bereits steht und nur Änderungen geprüft werden:

• ENX-Registrierungsgebühr (erneut fällig)
• Audit-Kosten (typisch 1-3 Tage statt 2-5 Tage)
• Interner Vorbereitungsaufwand (4-8 Wochen statt 3-6 Monate)
• Ggf. Beratungskosten für Scope-Anpassungen oder VDA ISA Versionswechsel

Detaillierte Kostenaufstellungen nach Unternehmensgröße findest du auf unserer Seite zu TISAX Kosten und Ablauf.

VDA ISA Versionswechsel

Der VDA ISA Katalog wird regelmäßig aktualisiert. Wenn zwischen deinem Erst-Assessment und der Rezertifizierung eine neue ISA-Version erscheint, musst du gegen die neue Version geprüft werden. Das bedeutet:

• Neue Prüfziele: Versionswechsel können neue Prüfziele einführen (wie die Verfügbarkeits-Module in ISA 6.x)
• Geänderte Anforderungen: Bestehende Prüfziele können verschärft oder umstrukturiert werden
• Übergangsfristen: In der Regel gibt es eine Übergangsfrist (typisch 12 Monate), in der beide Versionen akzeptiert werden
• Migration: Kopexa aktualisiert den vorgeladenen ISA-Katalog automatisch und zeigt dir per Cross-Mapping, welche neuen Anforderungen dazugekommen sind

Continuous Improvement: Rezertifizierungsaufwand minimieren

Der größte Fehler bei der Rezertifizierung: 2,5 Jahre lang nichts tun und dann in 6 Monaten alles nachholen. Wer kontinuierlich an seinem ISMS arbeitet, reduziert den Rezertifizierungsaufwand erheblich:

• Regelmäßige interne Audits: Führe mindestens jährlich interne Audits gegen den VDA ISA Katalog durch. So identifizierst du Lücken frühzeitig und vermeidest böse Überraschungen beim Re-Assessment.
• Reifegrad kontinuierlich tracken: Kopexa ermöglicht Reifegrad-Tracking pro Prüfziel. Du siehst jederzeit, ob dein Sicherheitsniveau gehalten wird oder ob einzelne Prüfziele unter Level 3 fallen.
• Policies regelmäßig reviewen: Mindestens jährlich alle Richtlinien überprüfen und aktualisieren. Der Auditor prüft Review-Daten und erwartet aktuelle Dokumente.
• Schulungen laufend durchführen: Jährliche Security-Awareness-Schulungen für alle Mitarbeiter. Neue Mitarbeiter sofort schulen. Nachweise lückenlos dokumentieren.
• Verbesserungsmaßnahmen dokumentieren: Jede Verbesserung am ISMS dokumentieren — der Auditor erwartet beim Re-Assessment eine nachweisbare Verbesserungshistorie.
• Versionswechsel proaktiv verfolgen: Beobachte VDA-Ankündigungen zu neuen ISA-Versionen und beginne frühzeitig mit der Migration. So vermeidest du Zeitdruck bei der Rezertifizierung.

Timeline für die Rezertifizierung

• 12 Monate vor Ablauf: Planung starten, Budget einplanen, Scope-Änderungen prüfen
• 6 Monate vor Ablauf: Prüfdienstleister kontaktieren und Termin reservieren (Wartezeiten beachten)
• 3-4 Monate vor Ablauf: Delta-Analyse durchführen, VDA ISA Versionswechsel bearbeiten
• 1-2 Monate vor Ablauf: Self-Assessment aktualisieren, Dokumentation finalisieren
• Audit: Re-Assessment durchführen, Labels erneuern

Plane die Rezertifizierung so, dass das neue Label nahtlos an das alte anschließt. Eine Lücke auf dem ENX-Portal kann dazu führen, dass OEMs die Zusammenarbeit pausieren.

Die vollständige Vorbereitungs-Checkliste findest du in unserer TISAX-Checkliste. Tipps zur optimalen Vorbereitung auf den Audit-Tag findest du auf unserer Seite zur Audit-Vorbereitung.