TISAX verwendet drei Assessment Levels, die bestimmen, wie intensiv ein Unternehmen geprüft wird. Die Wahl des richtigen Levels ist keine freie Entscheidung: Sie hängt vom Schutzbedarf der Daten ab, die das Unternehmen verarbeitet, und oft auch von den konkreten Anforderungen des OEM-Kunden. Dieser Artikel erklärt die drei Levels, ihre Unterschiede in Prüftiefe und Aufwand, und gibt eine Entscheidungshilfe für die richtige Wahl.
Was sind TISAX Assessment Levels und warum gibt es drei?
Die drei Assessment Levels (AL 1, AL 2, AL 3) definieren die Prüftiefe und Vertrauensstufe eines TISAX-Assessments. Je höher das Level, desto intensiver prüft der Assessor, und desto belastbarer ist das Ergebnis.
Der Hintergrund: Nicht jedes Unternehmen in der Automobilzulieferkette verarbeitet gleich sensible Daten. Ein Logistikdienstleister, der Serienteile transportiert, hat einen anderen Schutzbedarf als ein Ingenieurdienstleister, der an unveröffentlichten Prototypen arbeitet. Die drei Levels bilden diesen Unterschied ab. Wichtig: Nur Assessment Level 2 und 3 führen zu einem TISAX-Label, das im ENX-Portal registriert und von OEMs anerkannt wird. AL 1 ist eine reine Selbsteinschätzung ohne externe Validierung.
Assessment Level 1: Selbsteinschätzung
Bei AL 1 füllt das Unternehmen den VDA-ISA-Fragebogen eigenständig aus. Ein externer Assessor prüft lediglich, ob die Selbsteinschätzung vollständig abgegeben wurde, nicht ob die Antworten stimmen. Es findet keine inhaltliche Prüfung statt.
Das Ergebnis hat ein niedriges Vertrauensniveau. Kein OEM akzeptiert AL 1 als Nachweis für Informationssicherheit. In der Praxis nutzen Unternehmen AL 1 ausschließlich zur internen Standortbestimmung: Wo stehen wir, bevor wir das eigentliche Assessment (AL 2 oder AL 3) angehen? Die Kosten sind minimal, weil keine externe Prüfung stattfindet.
Assessment Level 2: Remote-Plausibilitätsprüfung
AL 2 ist das Standardlevel für die meisten Automobilzulieferer. Das Unternehmen füllt den VDA-ISA-Fragebogen aus und legt Nachweise vor (Richtlinien, Prozessbeschreibungen, Screenshots, Logfiles). Ein akkreditierter Assessor prüft diese Unterlagen remote auf Plausibilität, typischerweise per Videokonferenz und Dokumentenreview.
Der Assessor führt Interviews mit dem Informationssicherheitsverantwortlichen und prüft stichprobenartig, ob die dokumentierten Prozesse schlüssig sind. Eine physische Begehung findet nicht statt. Das Assessment dauert in der Regel zwei bis drei Tage.
AL 2 eignet sich für Unternehmen, die vertrauliche Informationen verarbeiten, aber keine physischen Prototypen oder streng vertrauliche Entwicklungsdaten handhaben. Die reinen Assessmentkosten liegen für ein KMU mit bis zu 100 Mitarbeitern bei rund 3.500 Euro. Einen vollständigen Überblick über alle Kostenpositionen finden Sie im TISAX-Kosten-Guide.
Assessment Level 3: Vor-Ort-Audit
AL 3 ist die intensivste Prüfstufe. Zusätzlich zur Dokumentenprüfung kommt der Assessor persönlich an jeden relevanten Standort. Er begeht die Räumlichkeiten, führt Interviews mit Mitarbeitern aus verschiedenen Abteilungen und prüft technische Systeme vor Ort.
Konkret bedeutet das: Der Assessor prüft, ob Zutrittskontrollsysteme tatsächlich funktionieren, ob Serverräume gesichert sind, ob Mitarbeiter die Sicherheitsrichtlinien kennen und ob die Mandantentrennung nicht nur dokumentiert, sondern physisch umgesetzt ist. Das Assessment dauert drei bis fünf Tage vor Ort, abhängig von der Anzahl der Standorte und der Komplexität der IT-Landschaft.
AL 3 wird verlangt, wenn ein Unternehmen mit streng vertraulichen Daten arbeitet: Prototypen-Daten, unveröffentlichte Fahrzeugdesigns, Entwicklungsdaten für neue Baureihen. Die Kosten liegen bei rund 6.000 bis 7.000 Euro für ein KMU, bei größeren Unternehmen deutlich darüber. Welche konkreten Anforderungen der Assessor prüft, beschreibt unser Artikel zu den TISAX Anforderungen im Detail.
Vergleichstabelle: AL 1 vs. AL 2 vs. AL 3
| Kriterium |
AL 1 |
AL 2 |
AL 3 |
| Prüfmethode |
Selbsteinschätzung |
Remote-Plausibilitätsprüfung |
Vor-Ort-Audit |
| Externe Prüfung |
Nur Vollständigkeitscheck |
Dokumentenreview + Interviews (remote) |
Dokumentenreview + Begehung + Interviews (vor Ort) |
| TISAX-Label |
Nein |
Ja (3 Jahre gültig) |
Ja (3 Jahre gültig) |
| Typischer Datentyp |
Intern, nicht sensibel |
Vertraulich (Geschäftsdaten, Projektpläne) |
Streng vertraulich (Prototypen, Designdaten) |
| Assessmentkosten (KMU) |
Minimal |
Ca. 3.500 Euro |
Ca. 6.000 bis 7.000 Euro |
| Dauer Assessment |
Eigenaufwand |
2 bis 3 Tage (remote) |
3 bis 5 Tage (vor Ort) |
Wie wähle ich das richtige Assessment Level?
Die Level-Wahl ist in der Praxis selten eine freie Entscheidung. Drei Faktoren bestimmen, welches Level ein Unternehmen braucht.
Faktor 1: OEM-Anforderung. Der häufigste Fall. Der OEM-Kunde (VW, BMW, Mercedes, Porsche) gibt im Vertrag oder in der Lieferantenqualifizierung vor, welches Label er erwartet. Diese Vorgabe bestimmt das Assessment Level. Wenn der OEM AL 3 verlangt, gibt es keinen Verhandlungsspielraum.
Faktor 2: Schutzbedarf der Daten. Wenn keine explizite OEM-Vorgabe existiert, leitet sich das Level aus dem Schutzbedarf ab. Vertrauliche Geschäftsinformationen (Preislisten, Projektpläne, Lieferantenverträge) erfordern AL 2. Streng vertrauliche Informationen (Prototypen-Daten, unveröffentlichte Designs, Testfahrzeugdaten) erfordern AL 3. Wer das Prüfziel Prototypenschutz wählt, braucht immer AL 3.
Faktor 3: Anzahl der Prüfziele. TISAX prüft bis zu drei Module: Informationssicherheit, Datenschutz und Prototypenschutz. Jedes Prüfziel kann ein eigenes Assessment Level haben. Ein Unternehmen kann AL 2 für Informationssicherheit und AL 3 für Prototypenschutz wählen. Die Kombination beeinflusst Kosten und Aufwand.
"Die meisten Unternehmen starten mit AL 2 für Informationssicherheit. Das deckt 80 Prozent der OEM-Anforderungen ab. AL 3 wird erst relevant, wenn Prototypen oder streng vertrauliche Entwicklungsdaten ins Spiel kommen. Die klügste Entscheidung ist, das Level nicht höher zu wählen als nötig, denn die Vorbereitungszeit verdoppelt sich fast."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
Den gesamten Vorbereitungsprozess, von der Gap-Analyse bis zur Auditor-Auswahl, beschreibt unsere Schritt-für-Schritt-Anleitung zur TISAX Vorbereitung. Für die Vorbereitung selbst empfiehlt sich eine ISMS-Plattform wie SECJUR, die den VDA-ISA-Fragebogen abbildet und Nachweise automatisiert sammelt. Das verkürzt die Vorbereitungszeit erfahrungsgemäß um zwei bis drei Monate, unabhängig vom gewählten Assessment Level.
Kann ich später upgraden?
Ja. Ein Upgrade von AL 2 auf AL 3 ist jederzeit möglich. Es erfordert allerdings ein neues Assessment, keine bloße Erweiterung des bestehenden Labels. Der Assessor führt das AL-3-Verfahren vollständig durch, inklusive Vor-Ort-Begehung und Mitarbeiter-Interviews.
In der Praxis gibt es zwei typische Szenarien für ein Upgrade. Erstens: Ein Zulieferer hat bisher nur Serienteile geliefert und steigt in die Prototypenentwicklung ein. Der OEM fordert dann AL 3 für das Prüfziel Prototypenschutz. Zweitens: Ein Unternehmen hat initial AL 2 gewählt, um schnell ein Label zu bekommen, und möchte für die Rezertifizierung nach drei Jahren auf AL 3 upgraden, weil neue Kundenanforderungen das erfordern.
Die Zusatzkosten für ein Upgrade liegen in der Differenz zwischen den Assessment-Gebühren (ca. 2.500 bis 3.500 Euro mehr als AL 2) plus dem internen Aufwand für die Vorbereitung auf die Vor-Ort-Prüfung. Wer sein ISMS mit einer Plattform wie SECJUR betreibt, hat die Nachweise und Dokumentation bereits aufgebaut und muss für das Upgrade nur die zusätzlichen AL-3-Anforderungen nacharbeiten, statt von vorne zu beginnen.
.svg)
.svg)
.svg)
.svg){kind=small}