Supplier-Compliance in der Lieferkette

Warum Tier-1 die Labels seiner Tier-2 prüfen muss

In der Automotive-Lieferkette endet die Verantwortung für Informationssicherheit nicht an den eigenen Unternehmensgrenzen. OEMs wie Volkswagen, BMW oder Mercedes-Benz verlangen von ihren Tier-1-Zulieferern nicht nur ein eigenes TISAX-Label, sondern auch den Nachweis, dass die gesamte Zuliefererkette ein angemessenes Sicherheitsniveau einhält. Das bedeutet: Wenn du als Tier-1-Zulieferer Informationen an deine Tier-2- und Tier-3-Partner weitergibst, musst du sicherstellen, dass diese Partner ebenfalls über gültige TISAX-Labels verfügen.

Diese Anforderung ist keine Empfehlung, sondern eine vertragliche Pflicht, die in den Einkaufsbedingungen der OEMs verankert ist. Der VDA ISA Fragenkatalog widmet dem Thema Lieferantenmanagement ein eigenes Kapitel. Dort wird explizit geprüft, ob du als Auftraggeber die Informationssicherheit deiner Dienstleister und Unterlieferanten bewertest, überwachst und dokumentierst.

Die Konsequenzen einer fehlenden Lieferketten-Compliance sind erheblich. Wenn ein Tier-2-Zulieferer sein TISAX-Label verliert oder nie hatte, kann das direkt auf deinen eigenen Assessment-Status zurückfallen. OEMs können fordern, dass du alternative Zulieferer benennst oder den betroffenen Partner aus der Lieferkette entfernst. Im schlimmsten Fall steht dein eigener Vertrag mit dem OEM auf dem Spiel, weil du die durchgängige Sicherheit der Lieferkette nicht gewährleisten kannst.

Dabei ist das Monitoring von Zulieferer-Labels in der Praxis eine echte Herausforderung. Viele Tier-1-Zulieferer arbeiten mit 50 bis 200 direkten Lieferanten, von denen jeder eigene Labels mit unterschiedlichen Gültigkeitszeiträumen hat. Ohne ein strukturiertes Vendor-Management-System wird das schnell unübersichtlich. Manuelle Tracking-Listen in Excel sind fehleranfällig und bieten keine automatisierten Erinnerungen bei auslaufenden Labels.

TISAX-Label-Lifecycle: Von der Vergabe bis zur Erneuerung

Ein TISAX-Label hat eine Gültigkeitsdauer von drei Jahren. Nach Ablauf dieser Frist muss ein Re-Assessment durchgeführt werden, um das Label zu erneuern. Der Lifecycle eines TISAX-Labels durchläuft dabei mehrere Phasen, die du als Lieferketten-Verantwortlicher kennen und überwachen musst:

• Erstregistrierung: Der Zulieferer registriert sich bei der ENX Association, definiert den Assessment-Scope und wählt einen akkreditierten Prüfdienstleister. Dieser Schritt dauert typischerweise 2 bis 4 Wochen.
• Assessment-Durchführung: Der Prüfdienstleister führt das Assessment durch (AL2 remote oder AL3 vor Ort). Bei Findings gibt es eine Nachbesserungsfrist von üblicherweise 9 Monaten.
• Label-Vergabe: Nach erfolgreichem Assessment wird das Label auf dem ENX-Portal hinterlegt. Der Zulieferer kann sein Label gezielt für ausgewählte Partner freigeben (Label-Sharing).
• Laufende Pflege: Während der Gültigkeitsdauer muss der Zulieferer sein ISMS kontinuierlich pflegen. Wesentliche Änderungen (z. B. neue Standorte, veränderte Prozesse) können eine Scope-Erweiterung erfordern.
• Re-Assessment: Spätestens 6 Monate vor Ablauf sollte der Erneuerungsprozess gestartet werden. Ein verspätetes Re-Assessment führt zu einer Lücke, in der kein gültiges Label vorliegt, was Verträge gefährden kann.

Für das Lieferketten-Monitoring bedeutet das: Du musst nicht nur wissen, ob deine Zulieferer ein Label haben, sondern auch wann es abläuft, welchen Scope es abdeckt und ob es deinen vertraglichen Anforderungen entspricht. Ein Label mit dem Scope "Informationssicherheit hoch" reicht nicht aus, wenn dein OEM "Informationssicherheit sehr hoch" verlangt.

VDA ISA 6.0: Was sich ändert

Mit Version 6.0 hat der VDA den ISA-Fragenkatalog grundlegend überarbeitet. Für die Lieferketten-Compliance ergeben sich daraus mehrere relevante Änderungen:

• Stärkerer Fokus auf Supply-Chain-Security: VDA ISA 6.0 erweitert die Anforderungen an das Lieferantenmanagement. Du musst nachweisen, dass du die Informationssicherheitsrisiken deiner Zulieferer systematisch bewertest und in dein eigenes Risikomanagement integrierst. Das geht über eine reine Label-Prüfung hinaus und umfasst auch die Bewertung der tatsächlichen Sicherheitsmaßnahmen.
• Neue Anforderungen an Cloud-Nutzung: Die zunehmende Nutzung von Cloud-Diensten in der Lieferkette wird in VDA ISA 6.0 stärker adressiert. Zulieferer müssen nachweisen, wie sie die Informationssicherheit bei der Nutzung von Cloud-Diensten gewährleisten, einschließlich Standort der Datenverarbeitung, Verschlüsselung und Zugriffskontrollen.
• Erweiterte Incident-Response-Anforderungen: Der Umgang mit Sicherheitsvorfällen in der Lieferkette wird detaillierter geregelt. Es wird erwartet, dass du Kommunikationswege und Eskalationsprozesse mit deinen Zulieferern definiert hast, damit bei einem Vorfall schnell und koordiniert reagiert werden kann.
• Harmonisierung mit ISO 27001:2022: VDA ISA 6.0 berücksichtigt die aktualisierte ISO 27001:2022 und erleichtert damit das Cross-Framework-Mapping. Für Zulieferer, die beide Standards umsetzen, reduziert das den Doppelaufwand.

Für bestehende TISAX-Teilnehmer bedeutet der Wechsel auf VDA ISA 6.0, dass beim nächsten Re-Assessment die neuen Anforderungen gelten. Eine frühzeitige Gap-Analyse ist empfehlenswert, um Überraschungen im Audit zu vermeiden. Besonders die erweiterten Supply-Chain-Anforderungen erfordern oft neue Prozesse und Tools.

Lieferketten-Monitoring mit Kopexa

Die manuelle Überwachung von TISAX-Labels in der Lieferkette skaliert nicht. Ab einer zweistelligen Anzahl von Zulieferern stößt jede Excel-Liste an ihre Grenzen. Kopexa bietet hier eine strukturierte Lösung, die speziell auf die Anforderungen von Automobilzulieferern zugeschnitten ist:

• Zentrales Vendor-Register: Alle Zulieferer mit ihren TISAX-Labels, Gültigkeitsdaten und Scope-Informationen an einem Ort. Du siehst auf einen Blick, welche Zulieferer compliant sind und wo Handlungsbedarf besteht.
• Automatische Erinnerungen: Kopexa benachrichtigt dich automatisch, wenn Labels deiner Zulieferer in den nächsten 6 Monaten ablaufen. So kannst du rechtzeitig den Erneuerungsprozess anstoßen und Compliance-Lücken vermeiden.
• Risikobewertung pro Zulieferer: Über das reine Label-Tracking hinaus kannst du in Kopexa individuelle Risikobewertungen für jeden Zulieferer durchführen und dokumentieren. Das erfüllt die erweiterten Anforderungen von VDA ISA 6.0 an das Lieferantenrisikomanagement.
• Audit-Trail und Nachweispflicht: Jede Bewertung, jede Kommunikation und jede Statusänderung wird revisionssicher dokumentiert. Im eigenen TISAX-Assessment kannst du dem Auditor jederzeit nachweisen, wie du deine Zulieferer überwachst.

Mit Kopexa reduzierst du den Aufwand für das Lieferketten-Monitoring um 40 bis 60 %. Statt manueller Recherche auf dem ENX-Portal und E-Mail-Nachfragen hast du alle relevanten Informationen in einem Dashboard, das automatisch auf dem aktuellen Stand bleibt. Mehr dazu auf der Vendor-Management-Seite.

Best Practices für Multi-Tier-Compliance

Aus der Zusammenarbeit mit Automobilzulieferern haben sich folgende Best Practices für ein erfolgreiches Lieferketten-Compliance-Management herauskristallisiert:

• Frühzeitig kommunizieren: Informiere deine Zulieferer proaktiv über TISAX-Anforderungen, bevor der OEM nachfragt. Gib ihnen genug Vorlauf, um sich auf ein Assessment vorzubereiten. 12 Monate Vorlauf sind ideal, 6 Monate das Minimum.
• Risiko-basiert priorisieren: Nicht jeder Zulieferer hat das gleiche Risikoprofil. Priorisiere die Zulieferer, die vertrauliche Daten verarbeiten oder in kritische Prozesse eingebunden sind. Für unkritische Zulieferer kann ein niedrigeres Sicherheitsniveau ausreichen.
• Vertragliche Verankerung: Nimm TISAX-Anforderungen explizit in deine Lieferantenverträge auf. Definiere, welches Assessment Level und welche Scope Labels du erwartest, und lege Fristen für die Erstregistrierung und Erneuerung fest.
• Regelmäßige Review-Zyklen: Überprüfe den TISAX-Status deiner Zulieferer mindestens quartalsweise. Integriere diese Prüfung in dein bestehendes Lieferanten-Review-Meeting, um den Zusatzaufwand gering zu halten.
• Unterstützung anbieten: Kleinere Zulieferer haben oft nicht die Ressourcen oder das Know-how für ein TISAX-Assessment. Biete Hilfe an, etwa durch Shared Resources, Templates oder Empfehlungen für geeignete GRC-Tools. Ein complianter Zulieferer ist in deinem eigenen Interesse.
• Eskalationsprozess definieren: Lege fest, was passiert, wenn ein Zulieferer sein Label verliert oder nicht fristgerecht erneuert. Definiere Eskalationsstufen und alternative Zulieferer, um die Lieferkette nicht zu gefährden.

Weiterführende Inhalte

Vertiefe dein Wissen zur Supplier-Compliance mit diesen Ressourcen:

• Vendor-Management mit Kopexa für Details zum zentralen Lieferanten-Register
• TISAX für Automobilzulieferer mit Fokus auf Assessment Levels und Scoping
• TISAX Content Hub mit dem vollständigen VDA ISA Fragenkatalog und Checklisten