.avif)
Volljurist und Compliance-Experte
19 Mar 2026
12 min
.svg)
TISAX ist kein Zertifikat, sondern ein Assessment-Ergebnis mit Label, das über die ENX-Plattform geteilt wird und drei Jahre gültig ist.
Der VDA ISA 6.0 Katalog umfasst 80 Controls in drei Modulen: Informationssicherheit (Pflicht), Datenschutz und Prototypenschutz (je nach OEM-Anforderung).
Die gesamte TISAX-Zertifizierung dauert typischerweise 6 bis 18 Monate, von der ENX-Registrierung bis zur Label-Vergabe.
Mit einer ISMS-Plattform lässt sich die Vorbereitungszeit um bis zu 50 % verkürzen und der interne Personalaufwand halbieren, bei Kosten ab 10.000 Euro.
TISAX steht für Trusted Information Security Assessment Exchange. Es ist der Prüfstandard, mit dem die Automobilindustrie sicherstellt, dass ihre Zulieferer und Dienstleister Informationen schützen. Entwickelt wurde TISAX vom Verband der Automobilindustrie (VDA) und wird seit 2017 von der ENX Association betrieben. Formal ist TISAX kein Zertifikat, sondern ein Assessment: Sie durchlaufen eine Prüfung und erhalten ein Label, das drei Jahre gültig ist. Wenn ein OEM wie Volkswagen, BMW oder Mercedes dieses Label von Ihnen verlangt, ist dieser Artikel Ihr Startpunkt.
TISAX ist ein branchenspezifischer Standard für Informationssicherheit in der Automobilindustrie. Der VDA hat den zugrunde liegenden Prüfkatalog (VDA ISA) entwickelt, weil OEMs ein einheitliches Verfahren brauchten, um die Informationssicherheit ihrer Lieferkette zu bewerten. Vor TISAX schickte jeder OEM eigene Fragebögen an seine Zulieferer. Das Ergebnis: Zulieferer, die für fünf OEMs arbeiten, beantworteten fünf verschiedene Fragebögen mit ähnlichen Fragen.
Seit 2017 löst TISAX dieses Problem. Ein Unternehmen durchläuft ein Assessment, erhält ein Label und teilt das Ergebnis über das ENX-Portal mit allen Geschäftspartnern, die es sehen müssen. Kein doppelter Aufwand, kein Informationsverlust.
Die Prüfgrundlage ist der VDA ISA 6.0 (Information Security Assessment), der 80 Controls in drei Modulen umfasst. Er orientiert sich an ISO 27001, ist aber auf die Anforderungen der Automobilindustrie zugeschnitten. Den kompletten Fragenkatalog als praktische Arbeitshilfe haben wir als TISAX Checkliste aufbereitet.
Die kurze Antwort: Jedes Unternehmen, das Daten von einem Automobil-OEM verarbeitet. TISAX ist rechtlich keine Pflicht. Faktisch ist es aber eine Marktvoraussetzung, weil OEMs die Zusammenarbeit ohne Label ablehnen oder gar nicht erst anfragen.
Konkret betrifft das:
Die Faustregel: Wenn in Ihrem Vertrag mit einem OEM eine Geheimhaltungsvereinbarung steht und Sie digitale oder physische Informationen des OEM verarbeiten, wird TISAX früher oder später Thema. Wenn Sie ein kleines oder mittelständisches Unternehmen sind, empfehlen wir unseren pragmatischen Guide TISAX speziell für KMU.
Der Weg zum TISAX-Label lässt sich in fünf Phasen zusammenfassen. Dieser Überblick zeigt die Struktur. Eine detaillierte Schritt-für-Schritt-Anleitung mit Timeline finden Sie in unserem Guide zur TISAX Vorbereitung.
Registrierung bei der ENX Association
Sie melden sich auf dem ENX-Portal an, wählen Ihren Scope (welche Standorte, welche Module) und beauftragen einen zugelassenen Prüfdienstleister. Die Registrierungsgebühr beträgt 405 Euro einmalig pro Standort für drei Jahre. Dauer: ca. 1 Woche.
Scope und Prüfziel festlegen
Gemeinsam mit dem OEM klären Sie, welches Assessment Level und welche Module geprüft werden. Dieser Schritt bestimmt den gesamten weiteren Aufwand. Dauer: ca. 2 Wochen.
Vorbereitung und ISMS-Aufbau
Der aufwendigste Schritt: Sie führen eine Gap-Analyse gegen den VDA ISA durch, schließen die identifizierten Lücken und bauen ein Informationssicherheits-Managementsystem (ISMS) auf. Dauer: 3 bis 9 Monate, abhängig vom Reifegrad Ihrer bestehenden Prozesse.
Assessment durch den Prüfdienstleister
Der Auditor prüft Ihr ISMS gegen den VDA ISA Katalog. Bei Assessment Level 2 geschieht das remote, bei Level 3 vor Ort. Bei Abweichungen erhalten Sie die Möglichkeit zur Nachbesserung. Dauer: 1 bis 4 Wochen.
Label-Vergabe und Austausch über ENX
Nach bestandenem Assessment erhalten Sie Ihr TISAX-Label. Das Ergebnis wird auf dem ENX-Portal hinterlegt, und Sie können es gezielt für Geschäftspartner freigeben. Das Label ist drei Jahre gültig.
Der VDA ISA Katalog gliedert sich in drei Module. Nicht jedes Unternehmen muss alle drei durchlaufen. Welche Module geprüft werden, hängt davon ab, welche Art von Daten Sie für den OEM verarbeiten.
Das Pflichtmodul für alle TISAX-Teilnehmer. Es deckt die klassischen ISMS-Themen ab: Sicherheitsrichtlinien, Risikomanagement, Zugangskontrollen, IT-Sicherheit, Personalmanagement, physische Sicherheit und Lieferantenmanagement. Wer bereits ein ISMS nach ISO 27001 betreibt, findet hier bekannte Strukturen.
Relevant, wenn Sie personenbezogene Daten im Auftrag des OEM verarbeiten. Das Modul orientiert sich an der DSGVO und prüft unter anderem Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen und den Umgang mit Datentransfers.
Pflicht für Unternehmen, die mit Fahrzeugprototypen, Vorabmodellen oder streng vertraulichen Entwicklungsdaten arbeiten. Es umfasst physische Sicherheitsmaßnahmen, organisatorische Vorgaben und spezielle Anforderungen für Testfahrzeuge und Veranstaltungen. Alles zum Modul Prototypenschutz im Detail finden Sie unter TISAX Prototypenschutz.
Welche genauen Anforderungen der VDA ISA Katalog pro Modul stellt, erfahren Sie in unserem Artikel zu den TISAX Anforderungen.
TISAX unterscheidet drei Assessment Levels. Das Level bestimmt, wie gründlich geprüft wird und welches Label Sie am Ende erhalten. In der Praxis verlangen die meisten OEMs Assessment Level 2 oder 3.
| Kriterium | AL1 | AL2 | AL3 |
|---|---|---|---|
| Prüfmethode | Selbsteinschätzung | Remote-Plausibilitätsprüfung | Vor-Ort-Audit |
| Prüftiefe | Gering | Mittel (Dokumentenprüfung + Interviews) | Hoch (Dokumentenprüfung + Interviews + Begehung) |
| Für wen geeignet | Interne Standortbestimmung | Zulieferer mit hohem Schutzbedarf | Zulieferer mit sehr hohem Schutzbedarf oder Prototypenschutz |
| Label über ENX | Nein | Ja | Ja |
AL1 liefert kein Label und wird von OEMs nicht akzeptiert. Es eignet sich als Trockenübung vor dem eigentlichen Assessment. Wie Sie das richtige Level auswählen und ob ein späteres Upgrade möglich ist, erklären wir unter TISAX Assessment Levels.
Eine TISAX-Zertifizierung dauert in der Regel 6 bis 18 Monate, von der Registrierung bei der ENX bis zur Label-Vergabe. Der größte Zeitblock ist die Vorbereitung.
| Phase | Dauer |
|---|---|
| Registrierung und Scope-Definition | 1–3 Wochen |
| Vorbereitung und ISMS-Aufbau | 3–12 Monate |
| Assessment | 2–8 Wochen |
| Nachbesserung (bei Abweichungen) | bis zu 9 Monate |
Die Vorbereitungszeit lässt sich verkürzen. Statt 9 bis 12 Monate mit einem klassischen Beratungsprojekt rechnen viele KMU mit einer ISMS-Plattform wie SECJUR mit 3 bis 6 Monaten, weil Workflows, Vorlagen und VDA-ISA-Mappings bereits integriert sind.
Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, liegen oft am unteren Ende der Spanne. Der Unterschied zu ISO 27001 zeigt, warum: Die Überschneidung liegt bei den Unternehmen, die wir bei der Umsetzung begleiten, bei rund 70-80 %. Die verbleibenden Lücken betreffen typischerweise den Prototypenschutz und automotive-spezifische Anforderungen an Lieferantenmanagement.
Das Label ist drei Jahre gültig. Danach ist ein Re-Assessment erforderlich. Anders als bei ISO 27001 gibt es keine jährlichen Überwachungsaudits. Was nach drei Jahren passiert und wie die Rezertifizierung abläuft, erklären wir unter TISAX Rezertifizierung.
Die Kosten für TISAX setzen sich aus drei Blöcken zusammen: Registrierung, Assessment und Vorbereitung. Die Registrierung bei der ENX ist mit 405 Euro einmalig pro Standort (für drei Jahre) der kleinste Posten.
Die Assessmentkosten liegen typischerweise zwischen 3.500 und 10.000 Euro, je nach Level und Unternehmensgröße. Für ein KMU mit bis zu 100 Mitarbeitern kosten die reinen Auditgebühren bei AL2 rund 3.500 Euro, bei AL3 rund 6.000 bis 7.000 Euro. Zusätzliche Prüfziele wie Prototypenschutz kosten erfahrungsgemäß 1.000 bis 2.000 Euro extra.
Der größte Kostenblock ist die Vorbereitung: der ISMS-Aufbau, die Gap-Analyse, die Dokumentation. Hier hängt der Aufwand stark davon ab, ob Sie mit einem Berater arbeiten, alles in Eigenregie machen oder eine ISMS-Plattform nutzen. ISMS-Plattformen können den internen Personalaufwand erfahrungsgemäß um bis zu 50 % senken, weil sie die Struktur vorgeben und Unternehmen nicht bei Null anfangen müssen. Eine detaillierte Aufschlüsselung nach Unternehmensgröße und Implementierungsweg finden Sie in unserem Artikel zu den TISAX Kosten.
TISAX ist kein Nice-to-have. Für Unternehmen in der Automobil-Lieferkette ist es eine Geschäftsvoraussetzung. Drei Argumente zeigen, warum:
Erstens: Ohne Label keine Zusammenarbeit. OEMs wie Volkswagen, BMW und Mercedes verlangen von ihren Zulieferern ein gültiges TISAX-Label. Ohne dieses Label kommen Sie in vielen Ausschreibungen nicht über die Qualifikationsphase hinaus. Das ist kein theoretisches Risiko, sondern gelebte Einkaufspraxis.
Zweitens: Einmal investieren, dreimal nutzen. Das TISAX-Label gilt drei Jahre und wird über das ENX-Portal geteilt. Sie durchlaufen ein Assessment und können das Ergebnis allen Geschäftspartnern freigeben, die es brauchen. Kein OEM-spezifisches Audit mehr.
Drittens: TISAX ist ein ISMS-Booster. Wer ein ISMS für TISAX aufbaut, hat gleichzeitig die Basis für ISO 27001, NIS2 und branchenübergreifende Compliance-Anforderungen gelegt. ISMS-Plattformen wie SECJUR helfen, dieses System aufzubauen und dauerhaft zu betreiben, nicht nur für das Assessment, sondern als lebendiges System, das mit jedem neuen Standard mitwächst.
„TISAX ist für viele Zulieferer der Einstieg in ein systematisches ISMS. Wer es richtig angeht, hat danach nicht nur ein Label, sondern echte Informationssicherheit. Und wer dann noch ISO 27001 braucht, hat bereits 70 bis 80 Prozent der Arbeit erledigt.“
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Dieser Artikel gibt Ihnen die Orientierung. Die Tiefe liefern die spezialisierten Guides in unserem TISAX-Cluster. Je nachdem, wo Sie stehen:
Sie stehen am Anfang und wollen verstehen, was auf Sie zukommt? Starten Sie mit unserer TISAX Checkliste. Sie erklärt den VDA ISA Katalog als praktische Arbeitshilfe und hilft Ihnen, Ihren aktuellen Stand einzuschätzen.
Sie wissen, dass Sie TISAX brauchen, und wollen loslegen? Unsere Schritt-für-Schritt Vorbereitung führt Sie durch alle Phasen, von der Gap-Analyse bis zum Assessment-Tag.
Mit SECJUR Digital Compliance Office (ab 10.000 Euro) können Sie Ihre TISAX-Vorbereitung strukturiert angehen: vom Gap-Assessment gegen den VDA ISA bis zum fertigen ISMS, das beim Assessment standhält.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
TISAX steht für Trusted Information Security Assessment Exchange. Es ist der Prüfstandard der Automobilindustrie, mit dem Zulieferer und Dienstleister nachweisen, dass sie Informationen schützen. Das Assessment basiert auf dem VDA ISA Katalog und wird von der ENX Association betrieben.
Jedes Unternehmen, das Daten von einem Automobil-OEM verarbeitet, braucht in der Praxis ein TISAX-Label. Betroffen sind Tier-1- und Tier-2-Zulieferer, IT-Dienstleister, Engineering-Partner, Logistik-Unternehmen und Marketing-Agenturen mit OEM-Vorabmaterial.
Eine TISAX-Zertifizierung dauert typischerweise 6 bis 18 Monate. Der größte Zeitblock entfällt auf die Vorbereitung und den ISMS-Aufbau (3-12 Monate). Das eigentliche Assessment dauert 2 bis 8 Wochen.
Die ENX-Registrierung kostet 405 Euro einmalig pro Standort. Die Assessmentkosten liegen typischerweise zwischen 3.500 und 10.000 Euro, abhängig von Assessment Level und Unternehmensgröße. Hinzu kommen die Kosten für die ISMS-Implementierung. Wer die Vorbereitung strukturiert angehen will, kann ISMS-Plattformen wie SECJUR (ab 10.000 Euro) nutzen, die den VDA ISA direkt abbilden und den Aufwand reduzieren.
Rechtlich ist TISAX keine Pflicht. Faktisch ist es aber eine Marktvoraussetzung, weil OEMs wie Volkswagen, BMW und Mercedes ein gültiges TISAX-Label von ihren Zulieferern verlangen. Ohne Label ist die Teilnahme an Ausschreibungen in vielen Fällen ausgeschlossen.
Der EU AI Act gilt auch für Nicht-EU-Anbieter – und zwar immer dann, wenn ihre KI-Dienste in Europa genutzt werden. Dieser Leitfaden zeigt praxisnah, wie Sie Ihre KI-Systeme korrekt klassifizieren, Hochrisiko-Anforderungen erfüllen, einen EU-Bevollmächtigten benennen und eine rechtskonforme CE-Kennzeichnung erreichen. So machen Sie Ihre KI-Produkte fit für den europäischen Markt und stärken zugleich das Vertrauen Ihrer Kunden.
Seit 2011 wurde mit dem Gedanken gespielt, das Datenschutzrecht auf europäischer Ebene neu zu evaluieren und gegebenenfalls auf neue Beine zu stellen. Unsere Experten zeigen, wie die Datenschutzgrundverordnung unser Verständnis vom Datenschutz verändert hat.
.avif)
Informationssicherheit leicht gemacht: Übersicht, Ziele und Maßnahmen erklären wir in diesem Beitrag.
.svg)
.svg)
.svg){kind=small}