Ein OEM fordert das TISAX®-Label, der Geschäftsführer fragt: „Was kostet das?“ Die ehrliche Antwort: zwischen 10.000 und 100.000 €, je nach Ausgangslage. Der Spread wirkt enorm, doch er lässt sich eingrenzen, wenn man die einzelnen Kostenblöcke kennt.
In diesem Artikel erfahren Sie:
- aus welchen fünf Blöcken sich die TISAX®-Kosten zusammensetzen
- was die Auditkosten nach Assessment Level und Unternehmensgröße betragen
- welche versteckten Kosten oft übersehen werden
- wie sich Eigenregie, Beratung und Plattformlösung im Kostenvergleich schlagen
TISAX® Kosten: Die fünf Kostenblöcke im Überblick
Die Gesamtkosten einer TISAX® Zertifizierung setzen sich aus fünf Blöcken zusammen. Keiner davon ist optional, wer einen vergisst, rechnet sich arm.
1. ENX-Registrierungsgebühr
Bevor überhaupt geprüft werden kann, registriert sich das Unternehmen auf dem ENX-Portal. Die Gebühr beträgt rund 350–500 € und deckt die Verwaltung des Prüfprozesses ab. Dieser Betrag fällt bei jeder Rezertifizierung erneut an, also alle drei Jahre.
2. Auditkosten (Prüfdienstleister)
Ein großer Kostenblock sind die Kosten für den zugelassenen Prüfdienstleister. Die Höhe hängt von zwei Faktoren ab: dem Assessment Level (AL 2 oder AL 3) und der Unternehmensgröße.
Typische Auditkosten nach Marktdaten:
bis 100 Mitarbeitende: AL 2 ca. 3.500 € | AL 3 ca. 6.500 €
101–1.000 Mitarbeitende: AL 2 ca. 3.700 € | AL 3 ca. 8.500 €
über 1.000 Mitarbeitende: AL 2 ca. 5.000 € | AL 3 ca. 10.500 €
Zusätzliche Prüfziele wie Prototypenschutz oder Datenschutz kosten jeweils 900–1.800 € extra. Bei AL 3 erfolgt ein vollständiges Vor-Ort-Audit, was den Aufwand gegenüber der Plausibilitätsprüfung bei AL 2 deutlich erhöht.
3. ISMS-Aufbau (interner Aufwand)
Ohne funktionierendes Informationssicherheits-Managementsystem (ISMS) besteht kein Audit. Der Aufbau umfasst Risikoanalyse, Richtlinienerstellung, Asset-Inventar und Dokumentation nach dem VDA ISA-Katalog. In der Praxis bedeutet das ohne spezialisierte Software-Tools 200–600 Personalstunden, verteilt auf 3–12 Monate.
Für ein KMU mit 50 Mitarbeitenden sind das bei internen Vollkosten von 80 €/h rund 16.000–48.000 € an gebundenem Personalaufwand. Dieser Posten wird in Kostenplanungen am häufigsten unterschätzt.
4. Toolkosten
Tabellenkalkulationen reichen für ein Audit selten aus. Die meisten Unternehmen setzen heutzutage auf eine ISMS-Software, um Richtlinien, Risiken und Nachweise zentral zu verwalten. Die Kosten variieren je nach Anbieter zwischen 10.000 und 50.000 € pro Jahr.
SECJUR bietet TISAX®-Readiness ab 10.000 € an. Die Plattform deckt ISMS-Aufbau, Dokumentation und Audit-Vorbereitung in einem Paket ab. Das reduziert den internen Aufwand erheblich und ersetzt in vielen Fällen externe Berater.
5. Schulungen und Awareness
Jeder Mitarbeitende mit Zugang zu schützenswerten Informationen muss nachweislich geschult werden. Der VDA ISA-Katalog fordert regelmäßige Awareness-Maßnahmen. Die Kosten liegen bei 2.000–8.000 € pro Jahr, abhängig von der Mitarbeiterzahl und dem gewählten Format (E-Learning, Präsenzschulung oder Workshop).
TISAX® Kosten nach Unternehmensgröße
Die folgende Übersicht zeigt realistische Gesamtkosten für die Erstimplementierung, also vom Projektstart bis zum erteilten TISAX®-Label.
KMU (unter 100 Mitarbeitende): ENX ~450 € | Audit (AL 3) ~6.500 € | ISMS-Aufbau 16.000–30.000 € | Tools 3.000–10.000 € | Schulungen 2.000–4.000 € | Gesamt: 28.000–51.000 €
Mittelstand (100–1.000 Mitarbeitende): ENX ~450 € | Audit (AL 3) ~8.500 € | ISMS-Aufbau 30.000–60.000 € | Tools 8.000–15.000 € | Schulungen 4.000–8.000 € | Gesamt: 51.000–92.000 €
Konzern (über 1.000 Mitarbeitende): ENX ~450 € | Audit (AL 3) ~10.500 € | ISMS-Aufbau 50.000–120.000 € | Tools 15.000–30.000 € | Schulungen 8.000–20.000 € | Gesamt: 84.000–181.000 €
Versteckte Kosten, die kaum jemand einplant
Die offensichtlichen Kosten stehen in jedem Angebot. Drei Posten tauchen dort aber selten auf:
Opportunitätskosten: Wer intern aufbaut, bindet IT-Leitung und Fachabteilungen für Monate. Diese Kapazität fehlt im Tagesgeschäft. Bei einem IT-Leiter mit 120.000 € Jahresgehalt sind drei Monate Vollzeitbindung 30.000 € an Opportunitätskosten.
Nachbesserungen nach dem Audit: Rund 40 % aller Erstaudits enden mit Feststellungen (Major oder Minor Non-Conformities). Die Nachbesserungsfrist beträgt maximal neun Monate. In dieser Phase fallen erneut interne Aufwände und ggf. Beraterkosten an, typischerweise 5.000–15.000 €.
Scope-Erweiterungen: Fordert der OEM nach dem Erstaudit ein zusätzliches Prüfziel (z. B. Prototypenschutz), beginnt ein Teil des Prozesses von vorn. Pro Scope-Erweiterung: 3.000–8.000 € Zusatzkosten.
Drei Wege zum TISAX®-Label: Kostenvergleich
Unternehmen wählen zwischen drei Implementierungswegen. Jeder hat ein anderes Kosten-Risiko-Profil.
Weg 1: Eigenregie
Das interne Team baut das ISMS selbst auf, nutzt den VDA ISA-Katalog als Leitfaden und beauftragt nur den Prüfdienstleister extern.
Kosten: 15.000–40.000 € (ohne interne Personalkosten)
Dauer: 9–18 Monate
Risiko: Hoch. Ohne TISAX®-Erfahrung steigt die Wahrscheinlichkeit für Major Non-Conformities im Erstaudit deutlich.
Weg 2: Externe Beratung
Ein spezialisierter Berater begleitet den gesamten Prozess, von der Gap-Analyse über den ISMS-Aufbau bis zur Audit-Vorbereitung.
Kosten: 30.000–80.000 € (Tagessätze 1.200–2.000 €)
Dauer: 4–9 Monate
Risiko: Mittel. Wissen verbleibt oft beim Externen. Beim Re-Assessment in drei Jahren beginnt die Abhängigkeit erneut.
Weg 3: Plattformlösung (z. B. SECJUR)
Eine spezialisierte Compliance-Plattform liefert Vorlagen, Automatisierung und geführte Workflows. Der interne Aufwand sinkt, weil die Plattform Dokumentation, Risikomanagement und Audit-Readiness-Checks bündelt.
Kosten: Ab 10.000 € (abhängig von Unternehmensgröße und Standorten)
Dauer: 3–6 Monate
Risiko: Niedrig. Standardisierte Prozesse reduzieren Fehlerquellen. Beim Re-Assessment bleibt das System bestehen.
TISAX® ROI: Lohnt sich die Investition?
Die Kosten stehen fest, doch was bringt das Label wirtschaftlich? Drei Perspektiven:
Umsatzsicherung: Ohne TISAX®-Label kein Auftrag bei den meisten OEMs und Tier-1-Zulieferern. Ein mittelständischer Zulieferer mit 5 Mio. € Jahresumsatz aus der Automotive-Branche riskiert den Verlust dieser Aufträge. Gemessen daran sind selbst 80.000 € Implementierungskosten eine Versicherungsprämie.
Verhandlungsposition: Unternehmen mit TISAX®-Label verkürzen die Lieferantenqualifizierung. Statt monatelanger Einzelprüfungen durch jeden OEM genügt der Verweis auf das ENX-Portal.
Risikoreduktion: Ein funktionierendes ISMS senkt die Wahrscheinlichkeit für Datenpannen und Produktionsausfälle. Der durchschnittliche Schaden eines Cybervorfalls lag laut Bitkom-Studie 2024 bei über 200.000 € für KMUs.
Kosten über den 3-Jahres-Zyklus (TCO)
TISAX®-Labels gelten drei Jahre. Danach steht das Re-Assessment an. Wer nur die Erstkosten kalkuliert, übersieht den laufenden Aufwand.
Erstimplementierung (Jahr 1): 28.000–51.000 €
Laufender Betrieb (Jahr 2–3): je 5.000–12.000 €
Re-Assessment (Jahr 3): 8.000–15.000 €
TCO über 3 Jahre: 46.000–90.000 €
Der laufende Betrieb ist der Posten, den viele vergessen. ISMS-Pflege, Awareness-Schulungen und Tool-Lizenzen fallen jährlich an, unabhängig davon, ob gerade ein Audit ansteht. Wer eine Plattformlösung nutzt, integriert diese Kosten von Anfang an und vermeidet den typischen „Re-Assessment-Schock“ in Jahr 3.
Fazit: TISAX® Kosten kalkulierbar machen
Die TISAX®-Kosten sind kein Geheimnis, sie sind nur schlecht dokumentiert. Wer die fünf Kostenblöcke kennt, kann seriös kalkulieren statt auf Schätzungen zu vertrauen. Die größten Einsparpotenziale liegen nicht bei den Auditgebühren, sondern beim ISMS-Aufbau und dem laufenden Betrieb.
SECJUR hilft Unternehmen, TISAX®-Readiness ab 10.000 € zu erreichen, mit einer Plattform, die ISMS-Aufbau, Dokumentation und Audit-Vorbereitung in einem System bündelt. Jetzt kostenlose Erstberatung anfragen →
.svg)
.svg)
.svg)
.svg){kind=small}