Das TISAX-Label ist drei Jahre gültig. Danach steht ein Re-Assessment an, ohne das das Label verfällt und die Registrierung im ENX-Portal erlischt. Für Automobilzulieferer bedeutet ein abgelaufenes Label: Keine neuen Aufträge von OEMs, und bestehende Verträge mit TISAX-Klausel geraten unter Druck. Dieser Artikel erklärt, wie das Re-Assessment abläuft, wann die Planung beginnen sollte und wo die Unterschiede zur Erstbewertung liegen.
TISAX Gültigkeitsdauer und Rezertifizierungs-Timeline
Das TISAX-Label gilt ab dem Datum des bestandenen Assessments für exakt drei Jahre. Der Dreijahres-Zeitraum beginnt mit dem ersten Prüfungstermin, nicht mit der Registrierung des Labels im ENX-Portal. Nach Ablauf muss ein neues Assessment durchgeführt werden. Eine Verlängerung ohne erneute Prüfung ist nicht möglich.
Ein Unterschied zu ISO 27001: Bei TISAX gibt es keine jährlichen externen Überwachungsaudits durch den Prüfdienstleister. Das spart externe Kosten. Intern sieht es anders aus: Der VDA ISA 6.0 verlangt, dass Unternehmen jährlich interne Audits ihres ISMS durchführen und die Ergebnisse dokumentieren. Diese internen Audits sind keine optionale Empfehlung. Beim Re-Assessment will der Assessor Nachweise für drei durchgeführte interne Audits sehen. Unternehmen, die diese Pflicht ignorieren, stehen beim Re-Assessment vor einem doppelten Problem: Die Lücken im ISMS sind gewachsen, und die fehlenden Auditnachweise sind selbst ein Finding.
Die Empfehlung: Mit der Vorbereitung auf das Re-Assessment spätestens 12 Monate vor Ablauf beginnen. Die ersten sechs Monate für eine interne Bestandsaufnahme nutzen (Was hat sich geändert? Wo sind Lücken entstanden?), die zweiten sechs Monate für die Nacharbeit und die Assessment-Planung. Mit einer ISMS-Plattform wie SECJUR wird diese Planung erheblich vereinfacht, da Dokumentationen und Nachweise zentral gesammelt werden können.
Rezertifizierungsprozess im Überblick
Das Re-Assessment ist kein vereinfachtes Update. Es ist ein vollständiges Assessment nach dem gleichen Verfahren wie die Erstbewertung. Der Assessor prüft den VDA-ISA-Fragebogen, die Nachweise und (bei Assessment Level 3) die Räumlichkeiten vor Ort. Die Prüftiefe ist identisch.
Der Ablauf in vier Phasen:
1
Interne Bestandsaufnahme (12 bis 6 Monate vorher)
Selbstbewertung anhand des aktuellen VDA-ISA-Katalogs durchführen. Prüfen, ob der Katalog seit dem Erst-Assessment aktualisiert wurde (aktuell: VDA ISA 6.0). Lücken identifizieren, die in den drei Jahren entstanden sind.
2
Maßnahmen umsetzen (6 bis 3 Monate vorher)
Identifizierte Lücken schließen. Typische Nacharbeiten: Richtlinien aktualisieren, fehlende Schulungen nachholen, Dokumentation auf den neuesten Stand bringen, neue IT-Systeme in das ISMS integrieren.
3
Internes Audit und Assessment-Vorbereitung (3 bis 1 Monat vorher)
Internes Audit durchführen, um Schwachstellen vor dem externen Assessment zu finden. Nachweise konsolidieren. Assessor beauftragen und Termin vereinbaren.
4
Externes Re-Assessment
Der akkreditierte Assessor führt das Assessment durch (identisch zur Erstbewertung). Bei Findings: Nachbesserung innerhalb der gesetzten Frist. Nach Bestehen: Neues Label für weitere drei Jahre.
Einen detaillierten Überblick über den Vorbereitungsprozess (der beim Re-Assessment analog gilt) finden Sie in unserem Leitfaden zur TISAX Vorbereitung.
Aufwand und Kosten bei der Rezertifizierung
Die gute Nachricht: Das Re-Assessment ist in der Regel günstiger und schneller als die Erstbewertung. Der Grund: Das ISMS existiert bereits, die grundlegenden Prozesse und Dokumentationen sind vorhanden. Der Aufwand liegt in der Aktualisierung, nicht im Neuaufbau.
Assessment-Kosten: Die reinen Prüfgebühren beim Assessor sind identisch zur Erstbewertung. Bei Assessment Level 2 liegen sie für KMU bei rund 3.500 Euro, bei AL 3 bei rund 6.000 bis 7.000 Euro. Die ENX-Registrierungsgebühr beträgt 405 Euro einmalig pro Standort für die neue Dreijahresperiode.
Interner Aufwand: Hier liegt der Unterschied. Ein Unternehmen, das sein ISMS drei Jahre lang gepflegt hat (Richtlinien aktualisiert, Schulungen durchgeführt, Risikobewertungen wiederholt), braucht für die Vorbereitung zwei bis vier Monate. Ein Unternehmen, das das ISMS nach dem Erst-Assessment hat einschlafen lassen, steht vor sechs bis zwölf Monaten Nacharbeit, vergleichbar mit einer Erstimplementierung.
Kosteneinsparung durch kontinuierliche Pflege: Die Differenz ist erheblich. Wer kontinuierlich arbeitet, spart gegenüber dem "Alles-auf-den-letzten-Drücker"-Ansatz typischerweise 40 bis 60 Prozent des internen Aufwands. Eine detaillierte Kostenaufschlüsselung finden Sie im TISAX-Kosten-Guide.
Vorbereitung auf die Rezertifizierung
Drei Punkte unterscheiden die Vorbereitung auf das Re-Assessment von der Erstbewertung.
Änderungen im VDA-ISA-Katalog prüfen. Die ENX Association aktualisiert den VDA ISA regelmäßig. Zwischen dem Erst-Assessment und dem Re-Assessment kann eine neue Version erscheinen (aktuell: VDA ISA 6.0). Neue oder geänderte Controls müssen identifiziert und in das ISMS integriert werden. Der Assessor prüft immer gegen die aktuelle Version.
Änderungen im Unternehmen erfassen. In drei Jahren ändert sich viel: Neue Standorte, neue IT-Systeme, Änderungen in der Organisationsstruktur, neue Geschäftsbereiche, Mitarbeiterwechsel in Schlüsselpositionen. Jede dieser Änderungen kann Auswirkungen auf das ISMS haben. Eine Gap-Analyse gegen den aktuellen Stand ist der erste Schritt. Welche TISAX-Anforderungen dabei im Detail geprüft werden, beschreibt unser separater Artikel.
Nachweise konsolidieren. Der Assessor will Belege sehen, dass das ISMS drei Jahre lang aktiv war: Interne Auditberichte, Schulungsnachweise, Risikobewertungs-Updates, Incident-Logs, Management-Reviews. Wer diese Nachweise drei Jahre lang gesammelt hat, braucht sie nur zusammenzustellen. Wer sie nicht hat, muss improvisieren, und das fällt auf.
"Das Re-Assessment ist der Moment, in dem sich zeigt, ob ein ISMS tatsächlich gelebt wird oder ob es nur für den Auditor existiert. Unternehmen, die ihre Richtlinien jährlich reviewen und interne Audits durchführen, bestehen das Re-Assessment ohne zusätzlichen Stress. Wer drei Jahre lang nichts angefasst hat, startet praktisch von vorne."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
Häufige Fehler bei der Rezertifizierung
Fünf Fehler, die beim Re-Assessment regelmäßig auftreten
-
1.
Zu spät anfangen.
Sechs Monate vor Ablauf mit der Vorbereitung beginnen reicht selten. Besonders wenn der VDA ISA zwischenzeitlich aktualisiert wurde, braucht die Anpassung Zeit. 12 Monate vorher starten.
-
2.
Änderungen im Unternehmen nicht berücksichtigen.
Neuer Standort, neues ERP-System, Umstrukturierung der IT-Abteilung: Solche Änderungen sind nicht automatisch im ISMS abgebildet. Der Assessor wird fragen, ob das ISMS die aktuelle Realität widerspiegelt.
-
3.
Keine Nachweise aus der Zwischenzeit.
Der Assessor will sehen, dass das ISMS drei Jahre lang aktiv war. Fehlende interne Auditberichte, keine Schulungsnachweise, kein Management-Review: Das sind klare Findings.
-
4.
Denselben Assessor voraussetzen.
Der Assessor vom Erst-Assessment muss nicht derselbe beim Re-Assessment sein. Ein neuer Prüfer bringt eine andere Perspektive mit und findet unter Umständen Punkte, die beim ersten Mal durchgegangen sind.
-
5.
ISMS-Werkzeuge nicht nutzen.
Wer drei Jahre lang Richtlinien in Word-Dokumenten und Schulungsnachweise in Excel verwaltet, verliert den Überblick. Eine ISMS-Plattform wie SECJUR (ab 10.000 Euro) sammelt Nachweise automatisch und macht die Zwischenzeit nachvollziehbar. Beim Re-Assessment ist alles da, ohne dass jemand drei Jahre rückwirkend Dokumente zusammensuchen muss.
Nach der Rezertifizierung: Continuous Improvement
Das Re-Assessment ist kein Endpunkt. Das nächste Re-Assessment kommt in drei Jahren. Unternehmen, die zwischen den Assessments kontinuierlich arbeiten, vermeiden den "Assessment-Stress-Zyklus" (drei Jahre nichts tun, dann in sechs Monaten alles nachholen).
Drei Aktivitäten, die den Aufwand beim nächsten Re-Assessment minimieren. Erstens: Jährliche interne Audits durchführen. Sie decken Lücken auf, bevor der externe Assessor sie findet, und liefern gleichzeitig den Nachweis, dass das ISMS aktiv gepflegt wird. Zweitens: Risikobewertungen regelmäßig aktualisieren. Neue Bedrohungen, neue Systeme, neue Geschäftsbeziehungen verändern das Risikoprofil. Drittens: Schulungen nicht als einmalige Pflichtübung behandeln. Quartalsweise Kurzschulungen halten das Bewusstsein hoch und liefern lückenlose Nachweise.
Wer das ISMS als laufenden Prozess versteht (nicht als Projekt mit Enddatum), wird feststellen, dass das Re-Assessment kein separates Projekt mehr ist. Es wird zur Bestandsaufnahme eines Systems, das ohnehin läuft.
.svg)
.svg)
.svg)
.svg){kind=small}