Was kostet ein TISAX-Assessment? Die Frage klingt einfach, die Antwort ist es nicht. Die Spanne reicht von 8.000 Euro für ein Kleinstunternehmen in Eigenregie bis über 150.000 Euro für einen Konzern mit mehreren Standorten und externer Beratung. Diese Bandbreite hilft niemandem bei der Budgetplanung. Dieser Artikel schlüsselt die Kosten nach Unternehmensgröße, Assessment Level und Implementierungsweg auf, damit Sie mit konkreten Zahlen in die Budgetrunde gehen können.
Was kostet die TISAX-Zertifizierung? Kostenspanne pro Unternehmensgröße
Die Kosten setzen sich aus drei Blöcken zusammen: ENX-Registrierung (einmalig pro Standort), Assessment-Gebühren (an den Prüfdienstleister) und der Vorbereitung (intern oder extern). Die Vorbereitung ist in der Regel der größte Posten.
| Unternehmensgröße | Eigenregie | Mit Beratung |
|---|
| Micro (bis 20 MA) | 8.000–15.000 € | 15.000–25.000 € |
| KMU (20–100 MA) | 20.000–40.000 € | 35.000–60.000 € |
| Mittelstand (100–500 MA) | 40.000–80.000 € | 70.000–120.000 € |
| Großunternehmen (500+ MA) | 80.000–150.000 € | 150.000 € aufwärts |
In diesen Zahlen sind ENX-Registrierung, Assessment-Gebühren und Vorbereitungsaufwand enthalten. Nicht enthalten sind technische Investitionen (Verschlüsselung, Zugriffskontrolle, Backup), die je nach Ausgangslage zusätzlich anfallen. Welche konkreten Controls der VDA ISA Katalog verlangt, zeigt unser Überblick zu den TISAX Anforderungen.
Kostentreiber bei TISAX
Vier Faktoren bestimmen, wo Ihr Unternehmen in der Spanne landet:
Assessment Level: Der größte Hebel. Die Prüfdienstleister berechnen für AL2 (Remote-Plausibilitätsprüfung) typischerweise 3.500 bis 6.000 Euro, für AL3 (Vor-Ort-Audit) 6.500 bis 10.500 Euro. Das ist eine Verdopplung bis Verdreifachung, allein bei den Auditgebühren. Zusätzliche Prüfziele wie Prototypenschutz oder Datenschutz kosten erfahrungsgemäß 1.000 bis 2.000 Euro extra pro Ziel. Welches Level Ihr OEM verlangt, hängt davon ab, welche Daten Sie verarbeiten. Bei normalen Geschäftsinformationen reicht oft AL2, bei Prototypendaten oder streng vertraulichen Konstruktionsunterlagen ist AL3 Pflicht.
Anzahl der Standorte: Die ENX-Registrierung kostet im Standardmodell (ABC) 405 Euro einmalig pro Standort für die gesamte 3-Jahres-Gültigkeitsdauer. Das ist kein großer Posten. Was Standorte teuer macht, ist der Vorbereitungsaufwand: Jeder Standort braucht eigene Dokumentation, lokale Verantwortliche und unter Umständen ein eigenes Assessment. Ein Unternehmen mit drei Standorten muss also nicht dreimal so viel zahlen, aber dreimal so viel Vorbereitungsarbeit leisten.
ISMS-Reife beim Start: Hier liegt der größte Unterschied zwischen 3 Monaten und 12 Monaten Vorbereitung. Ein Unternehmen, das bereits ein ISMS nach ISO 27001 betreibt, hat rund 70 bis 80 Prozent der TISAX-Anforderungen abgedeckt. Der VDA ISA 6.0 Katalog (80 Controls in drei Modulen) baut auf den gleichen Grundprinzipien auf. Die Vorbereitung reduziert sich auf die TISAX-spezifischen Ergänzungen: Prototypenschutz (22 Controls), Datenschutz (12 Controls) und automotive-spezifische Anforderungen an Lieferketten und Zugriffskontrolle. Ohne bestehendes ISMS müssen Sie alle 46 Controls im Modul Informationssicherheit von Grund auf implementieren.
Implementierungsweg: Eigenregie kostet weniger Geld, aber mehr Zeit und birgt das Risiko, dass im Assessment Lücken auftauchen. Etwa 40 Prozent der Erstassessments enden mit Abweichungen, die Nacharbeit erfordern. Externe Beratung ist teurer, aber schneller und sicherer. Der dritte Weg, eine ISMS-Plattform, liegt preislich dazwischen und hat den Vorteil, dass das System nach dem Assessment weiterbesteht.
Kosten nach Implementierungsweg: Eigenregie vs. Beratung vs. Plattform
Drei Szenarien für ein KMU mit 50 Mitarbeitern und einem Standort, AL2-Assessment:
| Kostenblock | Eigenregie | Externe Beratung | ISMS-Plattform |
|---|
| ENX-Registrierung | 405 € | 405 € | 405 € |
| Assessment (AL2) | ca. 3.500–5.000 € | ca. 3.500–5.000 € | ca. 3.500–5.000 € |
| Vorbereitung + ISMS | Interne Personalkosten | 30.000–60.000 € | ab 10.000 € |
| Timeline | 6–12 Monate | 3–6 Monate | 3–6 Monate |
| Gesamtkosten (direkt) | ca. 4.000–6.000 € + Personal | 35.000–65.000 € | ab 14.000 € |
Eigenregie sieht auf dem Papier günstig aus, weil die Personalkosten nicht im Budget auftauchen. In der Praxis bindet die Vorbereitung eine Person für 6 bis 12 Monate zu 30 bis 50 Prozent. Bei einem Jahresgehalt von 60.000 Euro sind das 9.000 bis 30.000 Euro Opportunitätskosten. Dazu kommt das Risiko: Etwa 40 Prozent der Erstassessments enden mit Abweichungen. Jede Abweichung kostet Nacharbeit, und die ENX gibt bis zu 9 Monate Frist dafür. In dieser Zeit haben Sie das Label noch nicht, können aber auch keinen neuen OEM-Auftrag annehmen, der es voraussetzt.
Praxisbeispiel
Ein Elektronik-Zulieferer mit 45 Mitarbeitern wollte TISAX AL2 in Eigenregie umsetzen. Nach 8 Monaten Vorbereitung stellte der Prüfdienstleister 6 Abweichungen fest, vor allem bei der Dokumentation von Zugriffskontrollen und dem Incident-Response-Prozess. Die Nachbesserung dauerte weitere 4 Monate. Gesamtdauer: 12 Monate statt der geplanten 6. Im Nachhinein hätte eine ISMS-Plattform mit strukturierten Vorlagen die Dokumentationslücken vermieden.
Externe Beratung ist der schnellste Weg: Ein Berater bringt Erfahrung mit, kennt die typischen Lücken und bereitet das Assessment professionell vor. Die Timeline verkürzt sich auf 3 bis 6 Monate, und das Risiko von Abweichungen sinkt erheblich. Der Nachteil: Das Wissen geht mit dem Berater. Bei der Rezertifizierung nach drei Jahren fangen Sie wieder bei Null an, wenn Sie kein eigenes ISMS aufgebaut haben.
ISMS-Plattform: Lösungen wie SECJUR Digital Compliance Office (ab 10.000 Euro) bieten einen Mittelweg. Die Plattform bleibt nach dem Assessment bestehen, das ISMS-Wissen bleibt im Unternehmen, und die Rezertifizierung wird einfacher. Einen pragmatischen Ansatz speziell für kleine Unternehmen beschreiben wir im TISAX für KMU Guide.
Gebührenmodelle der Prüfdienstleister
Die Assessment-Kosten zahlen Sie direkt an den von der ENX akkreditierten Prüfdienstleister (TÜV, DEKRA und andere). Die Gebühren hängen vom Assessment Level und der Unternehmensgröße ab:
| Unternehmensgröße | AL2 (Remote) | AL3 (Vor-Ort) |
|---|
| Bis 100 MA | ca. 3.500 € | ca. 6.500 € |
| 101–1.000 MA | ca. 3.500–4.000 € | ca. 8.000–8.500 € |
| Über 1.000 MA | ca. 5.000 € | ca. 10.500 € |
Zusätzliche Prüfziele wie Datenschutz oder Prototypenschutz kosten erfahrungsgemäß 1.000 bis 2.000 Euro extra pro Ziel. Die Gebühren variieren zwischen Prüfdienstleistern, ein Vergleich lohnt sich. Wie die einzelnen Phasen der TISAX-Vorbereitung ablaufen, erfahren Sie in unserer Schritt-für-Schritt Anleitung.
ENX-Registrierung und Gültigkeitsgebühren
Die ENX Association bietet zwei Gebührenmodelle für die Registrierung:
ABC-Modell (Standard): 405 Euro einmalig pro Standort. Die Gebühr deckt die gesamte Gültigkeitsdauer von drei Jahren ab. Keine monatlichen oder jährlichen Zahlungen. Bei 5 bis 9 Standorten gibt es 10 Prozent Rabatt pro Standort, ab 10 Standorten 20 Prozent.
PBC-Modell (Flatrate): 5.000 Euro pro Jahr für beliebig viele Standorte und Scopes. Dieses Modell lohnt sich ab etwa 12 Standorten oder bei häufig wechselnden Scopes. Es ist nur über ENX-Mitarbeiter buchbar, nicht im Portal wählbar.
Ein typisches KMU mit einem Standort zahlt also 405 Euro für die komplette 3-Jahres-Periode. Das ist kein relevanter Kostentreiber. Die eigentlichen Kosten liegen in der Vorbereitung und im Assessment selbst.
Nach drei Jahren steht die Rezertifizierung an. Das Re-Assessment ist günstiger als das Initial-Assessment, weil nur Abweichungen und Veränderungen geprüft werden. Die Kosten und den Ablauf der Rezertifizierung erklären wir im Artikel TISAX Rezertifizierung.
"Die meisten Unternehmen überschätzen die Auditkosten und unterschätzen den Vorbereitungsaufwand. Das Assessment selbst kostet 3.500 bis 10.000 Euro. Die Vorbereitung kostet ein Vielfaches davon. Wer das Budget realistisch plant, rechnet mit dem Faktor 5 bis 10 zwischen Auditgebühr und Gesamtinvestition."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
Lohnt sich die Investition? ROI und Business Case
Für Automobilzulieferer ist die Frage eigentlich falsch gestellt. Ohne TISAX-Label kein Zugang zu OEM-Aufträgen von Volkswagen, BMW oder Mercedes. Die Investition ist keine Option, sondern eine Geschäftsvoraussetzung. Der ROI ergibt sich aus den Aufträgen, die Sie ohne Label gar nicht bekommen hätten.
Trotzdem lohnt sich ein Blick auf die Zahlen, weil Finanzentscheider einen Business Case brauchen, nicht nur ein "Müssen wir halt machen".
Umsatzpotenzial: Ein neuer Automotive-Kunde kann für ein KMU mit 50 bis 100 Mitarbeitern 5 bis 10 Prozent zusätzlichen Umsatz bedeuten. Bei einem Jahresumsatz von 5 Millionen Euro wären das 250.000 bis 500.000 Euro. Dem steht eine Investition von 35.000 bis 60.000 Euro gegenüber. Der Payback liegt bei wenigen Monaten. Selbst wenn nur ein einziger neuer Auftrag durch das Label zustande kommt, übersteigt der Ertrag die Kosten in der Regel deutlich.
Versicherungseinsparungen: Zertifizierte Unternehmen zahlen erfahrungsgemäß 10 bis 20 Prozent weniger für Cyber-Haftpflichtversicherungen. Das sind bei einer Jahresprämie von 5.000 Euro Einsparungen von 500 bis 1.000 Euro pro Jahr. Nicht der Hauptgrund für TISAX, aber ein Nebeneffekt, der die laufenden Kosten senkt.
Risikovermeidung: Ein funktionierendes ISMS, wie es TISAX voraussetzt, reduziert das Risiko von Sicherheitsvorfällen. Die durchschnittlichen Kosten eines Cybervorfalls liegen für KMU bei 200.000 bis 500.000 Euro. Selbst eine moderate Reduktion der Eintrittswahrscheinlichkeit um 20 Prozent ergibt über drei Jahre einen erwarteten Nutzen von 40.000 bis 100.000 Euro. SECJUR begleitet Unternehmen dabei, dieses ISMS nicht nur für das Assessment aufzubauen, sondern dauerhaft zu betreiben (ab 10.000 Euro).
Vergleich mit ISO 27001: Wer über TISAX nachdenkt, sollte auch die Alternative kennen. Die Zertifizierungskosten für ISO 27001 liegen im ersten Jahr typischerweise zwischen 9.000 und 25.000 Euro. Anders als TISAX erfordert ISO 27001 aber jährliche Überwachungsaudits, die etwa ein Drittel der Erstaudit-Kosten betragen. Über einen 3-Jahres-Zyklus sind die reinen Auditkosten bei ISO 27001 höher, weil TISAX keine Zwischenaudits kennt. Wenn Sie bereits ISO 27001 haben und TISAX zusätzlich brauchen, ist der Aufwand überschaubar, weil 70 bis 80 Prozent der Anforderungen identisch sind. In der Praxis bedeutet das: Ein ISO-27001-zertifiziertes Unternehmen kann TISAX in 3 bis 4 Monaten ergänzen, statt 6 bis 12 Monate von Null an zu starten. Der Zusatzaufwand konzentriert sich auf die TISAX-spezifischen Module Prototypenschutz und automotive-spezifische Lieferkettenanforderungen.
Über einen 3-Jahres-Zyklus (eine komplette TISAX-Gültigkeitsperiode) rechnet sich die Investition für die meisten Automobilzulieferer bereits im ersten Jahr.
Budget planen: Ihre nächsten Schritte
Die Kosten sind kalkulierbar, wenn Sie drei Entscheidungen treffen: Assessment Level (AL2 oder AL3), Implementierungsweg (Eigenregie, Beratung oder Plattform) und Scope (welche Standorte, welche Prüfziele). Mit diesen drei Parametern können Sie Ihr Budget auf 20 Prozent genau schätzen.
Falls Sie unsicher sind, wo Ihr Unternehmen steht: Eine Gap-Analyse gegen den VDA ISA 6.0 Katalog zeigt in zwei bis vier Wochen, wie groß der Abstand zum Assessment ist. Das ist die verlässlichste Grundlage für eine Kostenschätzung, weil sie den tatsächlichen Implementierungsaufwand sichtbar macht, statt mit Pauschalwerten zu arbeiten.
Die Kosten für TISAX sind real, aber planbar. Der teuerste Fehler ist nicht die Investition selbst, sondern eine schlechte Vorbereitung, die zu Abweichungen im Assessment führt und den Prozess um Monate verlängert.
.svg)
.svg)
.svg)
.svg){kind=small}