TISAX (Trusted Information Security Assessment Exchange) ist ein Informationssicherheits-Bewertungsstandard, der vom VDA (Verband der Automobilindustrie) für die Automobilzulieferkette entwickelt wurde. Er basiert auf ISO/IEC 27001 und dem VDA-ISA-Fragebogen und ermöglicht Zulieferern, ihre Informationssicherheitslage gegenüber OEMs und Tier-1-Kunden durch ein standardisiertes, über das ENX-Portal abgewickeltes Bewertungsverfahren nachzuweisen.

Ist TISAX verpflichtend?

TISAX ist keine gesetzliche Vorschrift, hat sich jedoch als vertragliche Anforderung der großen Automobil-OEMs und Tier-1-Lieferanten etabliert — darunter Volkswagen Group, BMW Group, Mercedes-Benz, Stellantis, Bosch, Continental und ZF Friedrichshafen. Wenn Ihr Kunde ein TISAX-Label anfordert, ist dies für die Aufrechterhaltung oder Gewinnung dieser Geschäftsbeziehung faktisch verpflichtend. Seit April 2024 ist der VDA-ISA-6.0-Fragebogen verbindlich.

Was sind die TISAX-Prüflevels?

TISAX unterscheidet drei Prüflevels: AL1 ist eine Selbstbewertung (Plausibilitätsprüfung — kein TISAX-Label), AL2 umfasst eine Fernprüfung durch einen akkreditierten Dienstleister und ergibt ein TISAX-Label, AL3 beinhaltet eine Vor-Ort-Prüfung für höchste Schutzanforderungen (z. B. Prototypenfahrzeuge, klassifizierte Fahrzeugdaten) und ergibt ebenfalls ein TISAX-Label. Die meisten Zulieferer müssen mindestens AL2 erreichen.

Wie lange dauert die TISAX-Zertifizierung?

Von der ersten Lückenanalyse bis zum Erhalt des TISAX-Labels dauert der Prozess typischerweise 6–12 Monate. Dies umfasst die Vorbereitung (3–6 Monate für die Implementierung oder Behebung von Maßnahmen), die ENX-Registrierung, die Terminvereinbarung mit dem Prüfer (Wartezeiten von 4–8 Wochen), die eigentliche Prüfung (1–3 Tage vor Ort bei AL3) sowie ein mögliches Korrekturmaßnahmenfenster (bis zu 9 Monate nach der Prüfung zum Schließen von Feststellungen).

Was kostet eine TISAX-Bewertung?

Die Gesamtkosten variieren je nach Unternehmensgröße und Reife. Die ENX-Registrierungsgebühr beträgt ca. 400 € pro Bewertungsumfang. Die Kosten akkreditierter Prüfdienstleister liegen je nach Level, Unternehmensgröße und Anzahl der Standorte zwischen 5.000 und 20.000 € oder mehr. Interne Vorbereitungskosten (Beratung, Werkzeuge, Mitarbeiterzeit) betragen typischerweise 10.000–50.000 €. Unternehmen mit bestehender ISO-27001-Zertifizierung können Vorbereitungskosten durch 80–90%ige Kontrollenüberschneidung um 20–50 % reduzieren.

Wie verhält sich TISAX zu ISO 27001?

TISAX basiert auf demselben Fundament wie ISO 27001 — beide adressieren Informationssicherheitsmanagement über risikobasierte Kontrollen. Es gibt eine ca. 80–90%ige Überschneidung zwischen TISAX-Kontrollen (VDA ISA) und ISO-27001-Anforderungen. Unternehmen mit einem bestehenden ISO-27001-ISMS können ihre vorhandene Dokumentation, Richtlinien und Nachweise als Grundlage für TISAX nutzen. TISAX enthält jedoch automotive-spezifische Anforderungen (Prototypenschutz, Fahrzeugdaten), die ISO 27001 allein nicht abdeckt.

Was ist das ENX-Portal und wie funktioniert es?

Das ENX-Association-Portal (enx.com) ist die zentrale Plattform für das TISAX-Ökosystem. Zulieferer registrieren ihr Unternehmen, definieren Bewertungsumfänge, beauftragen akkreditierte Prüfdienstleister und tauschen Bewertungsergebnisse mit autorisierten Kunden aus — alles über ENX. TISAX-Ergebnisse werden auf Need-to-know-Basis weitergegeben: Nur von Ihnen explizit autorisierte Kunden können Ihren Label-Status einsehen.

TISAX-Compliance: Vollständiger Leitfaden für Automobilzulieferer (2026)

2026-03-25

By Orbiq Team

TISAX-Compliance: Vollständiger Leitfaden für Automobilzulieferer (2026)

Vollständiger TISAX-Leitfaden 2026 — Prüflevels AL1/AL2/AL3, VDA ISA 6.0, ENX-Portal, Kosten, Zeitplan, ISO-27001-Überschneidung und Schritt-für-Schritt-Prozess für Automobilzulieferer.

tisax

automotive

informationssicherheit

eu-compliance

iso27001

TISAX-Compliance: Vollständiger Leitfaden für Automobilzulieferer (2026)

Wenn Sie Komponenten, Software, Ingenieurdienstleistungen oder Datenverarbeitungsleistungen an Automobil-OEMs oder Tier-1-Hersteller liefern, haben Sie fast sicher bereits eine TISAX-Bewertungsanforderung erhalten. Mit der Digitalisierung der Automobilzulieferkette — vernetzte Fahrzeuge, Over-the-Air-Updates, gemeinsam genutzte Konstruktionsdaten, Prototypenfahrzeugprogramme — haben OEMs Informationssicherheitsanforderungen für jedes Glied der Kette formalisiert.

TISAX (Trusted Information Security Assessment Exchange) ist diese Formalisierung. Vom VDA (Verband der Automobilindustrie) entwickelt und von der ENX Association verwaltet, hat sich TISAX zum De-facto-Informationssicherheitsstandard für Automobilzulieferer in Deutschland und der gesamten europäischen Lieferkette entwickelt.

Was ist TISAX?

TISAX steht für Trusted Information Security Assessment Exchange. Es ist ein branchenweiter Mechanismus zur Informationssicherheitsbewertung und zum Ergebnisaustausch in der Automobilzulieferkette, entwickelt vom VDA und betrieben durch die ENX Association.

Das Kernziel von TISAX ist es, Automobilzulieferern zu ermöglichen, eine einzige standardisierte Informationssicherheitsbewertung durchzuführen und die Ergebnisse mit mehreren Kunden zu teilen — anstatt dass jeder OEM sein eigenes Lieferanten-Auditprogramm durchführt.

VDA ISA: Der Bewertungsfragebogen

Die Bewertung basiert auf dem VDA ISA (Information Security Assessment)-Fragebogen, mittlerweile in Version 6.0. VDA ISA 6.0 wurde 2022 eingeführt und ist seit 1. April 2024 für alle neuen TISAX-Bewertungen verbindlich. Der Fragebogen umfasst:

Informationssicherheitsmanagement (Richtlinien, Rollen, Risikomanagement)
Personalsicherheit (Onboarding, Awareness, Offboarding)
Physische und Umgebungssicherheit (Standortzugang, Clean Desk, Serverraumkontrollen)
Identitäts- und Zugangsverwaltung (User Provisioning, privilegierte Zugriffe, MFA)
Kryptographie (Datenverschlüsselung in Ruhe und Übertragung)
Betriebssicherheit (Patch-Management, Malware-Schutz, Protokollierung)
Kommunikationssicherheit (Netzwerksegmentierung, Fernzugriff)
Lieferantenbeziehungen (Drittanbietersicherheitsbewertungen)
Vorfallmanagement (Erkennung, Reaktion, Meldung)
Geschäftskontinuität (DR/BCP, Wiederherstellungstests)
Prototypenschutz (physischer und logischer Schutz von Vorserienfahrzeugdaten)
Vernetzte Fahrzeuge / Hochschutzanforderungen (gilt für AL3-Umfänge)

VDA ISA 6.0 verwendet ein Reifegrad-Bewertungsmodell (Skala 0–5, angelehnt an CMMI) für jede Kontrolle. TISAX erfordert das Erreichen eines Mindest-Reifegrads über alle anwendbaren Kontrollen.

TISAX-Prüflevels erklärt

TISAX definiert drei Prüflevels (AL), jeweils mit unterschiedlicher Strenge, Prüfmethode und Ergebnis:

Prüflevel	Methode	TISAX-Label ausgestellt?	Typischer Einsatzbereich
AL1	Selbstbewertung (Plausibilitätsprüfung)	Nein	Zulieferer mit ausschließlich niedrigsensitiven Daten
AL2	Fernprüfung durch akkreditierten Anbieter	Ja	Standardanforderung für die meisten Tier-1/2-Zulieferer
AL3	Vor-Ort-Prüfung durch akkreditierten Anbieter	Ja	Prototypenfahrzeuge, klassifizierte Daten, Hochschutz

AL1 — Selbstbewertung

AL1 ist eine Plausibilitätsprüfung: Der Zulieferer füllt den VDA-ISA-Fragebogen aus und bestätigt seine Antworten ohne unabhängige Prüfung. Bei AL1 wird kein TISAX-Label ausgestellt. Kunden akzeptieren AL1 selten für mehr als die geringste Datensensitivität.

AL2 — Fernprüfung

AL2 ist das Standard-TISAX-Bewertungslevel. Ein akkreditierter Prüfdienstleister (gelistet auf enx.com) führt eine Fernprüfung Ihrer VDA-ISA-Antworten, Dokumentation und Nachweise durch. Bei erfolgreichem Abschluss (mit geschlossenen Korrekturmaßnahmen innerhalb des 9-Monats-Fensters) wird ein TISAX-Label ausgestellt und im ENX-Portal registriert.

AL3 — Vor-Ort-Prüfung

AL3 gilt für die sensibelsten Datenkategorien: Vorserienfahrzeuge (Prototypen), klassifizierte Fahrzeuginformationen und Daten vernetzter Fahrzeuge. Die Prüfung erfolgt vor Ort durch einen akkreditierten Anbieter.

TISAX-Labels

Eigenschaft	Details
Gültigkeit	3 Jahre ab Bewertungsdatum
Umfang	Definiert pro Bewertung (Standort, Geschäftseinheit oder unternehmensweit)
Weitergabe	Vertraulich — nur an autorisierte OEM/Kundenkontakte via ENX
Öffentliche Anzeige	Nicht öffentlich einsehbar; ENX-Ergebnisse auf Need-to-know-Basis
Neubewertung	Alle 3 Jahre erforderlich
Korrekturmaßnahmen	Bis zu 9 Monate nach der Prüfung zum Schließen offener Feststellungen

TISAX vs. ISO 27001: Wesentliche Unterschiede

Dimension	TISAX	ISO 27001
Umfang	Automobilzulieferkette	Alle Branchen
Standard	VDA ISA 6.0 (basierend auf ISO 27001)	ISO/IEC 27001:2022
Zertifizierungsstelle	ENX-akkreditierte Prüfanbieter	ISO-akkreditierte Zertifizierungsstellen
Ergebnis	TISAX-Label (AL2/AL3)	ISO-27001-Zertifikat
Gültigkeit	3 Jahre	3 Jahre (jährliche Überwachungsaudits)
Automotive-spezifisch	Ja (Prototypen, vernetzte Fahrzeuge)	Nein
Ergebnisaustausch	Über ENX-Portal (vertraulich)	Zertifikat öffentlich weiterleitbar

Mit bestehendem ISO-27001-ISMS: Ihre vorhandene ISMS-Dokumentation, Richtlinien, Risikoregister und Nachweise können direkt als Grundlage für eine TISAX-Bewertung dienen. Lücken bestehen typischerweise bei automotive-spezifischen Anforderungen. Viele Zulieferer erreichen TISAX AL2 innerhalb von 3–6 Monaten ausgehend von einem ISO-27001-Fundament.

Ohne ISO-27001-Grundlage: Erwägen Sie die parallele Verfolgung von ISO 27001 und TISAX. Die Aufwandsüberschneidung ist erheblich.

TISAX-Prozess: Schritt für Schritt

Schritt 1: Umfang und Prüflevel festlegen

Definieren Sie, welche Organisationseinheiten, Standorte und Systeme in den Umfang fallen. Ihr Kunde gibt die Schutzklasse und das erforderliche Prüflevel vor.

Schritt 2: Im ENX-Portal registrieren

Erstellen Sie Ihr Unternehmenskonto auf enx.com. Die Registrierungsgebühr beträgt ca. 400 € pro Bewertungsumfang. Sie erhalten eine ENX-ID für den gesamten Bewertungsprozess.

Schritt 3: Lückenanalyse durchführen

Füllen Sie den VDA-ISA-6.0-Selbstbewertungsfragebogen ehrlich aus. Identifizieren Sie Abweichungen zwischen Ihren aktuellen Kontrollen und den erforderlichen Reifegraden. Für AL2 benötigen Sie in den meisten Kontrollen mindestens Reifegrad 3 ("definierter Prozess").

Schritt 4: Maßnahmen umsetzen

Schließen Sie identifizierte Lücken. Häufige Handlungsfelder:

Formale Informationssicherheitsrichtlinien und -verfahren
Risikobewertungsdokumentation
Zugriffskontroll- und IAM-Richtlinien
Lieferantenbewertungsprozesse
Vorfallreaktionsverfahren
Nachweise aus Sicherheitsbewusstseinstraining
Dokumentation physischer Sicherheit

Schritt 5: Akkreditierten Prüfdienstleister auswählen

Wählen Sie aus den ENX-gelisteten akkreditierten Anbietern. Zu den bedeutenden Anbietern gehören TÜV SÜD, TÜV Rheinland, DEKRA, DQS, Bureau Veritas und BSI Group. Planen Sie 8–12 Wochen Vorlaufzeit für die Terminbuchung ein.

Schritt 6: Bewertung durchführen

Bei AL2: Der Prüfer überprüft Ihre VDA-ISA-Antworten, Dokumentation und Nachweise remote. Bei AL3: Vor-Ort-Prüfung an relevanten Standorten (1–3 Tage pro Standort). Der Prüfer dokumentiert Feststellungen und unterscheidet zwischen Konformitäten und Nichtkonformitäten.

Schritt 7: Korrekturmaßnahmen schließen

Für identifizierte Nichtkonformitäten haben Sie bis zu 9 Monate, um Korrekturmaßnahmen zu implementieren und Nachweise einzureichen. Schwerwiegende Nichtkonformitäten müssen vor der Label-Ausstellung geschlossen sein.

Schritt 8: TISAX-Label erhalten

Sobald alle erforderlichen Korrekturmaßnahmen geschlossen sind, registriert der akkreditierte Anbieter Ihr TISAX-Label im ENX-Portal. Sie können dann Ihre Kunden zur Einsicht autorisieren.

TISAX-Kosten: Realistisches Budget

Kostenkomponente	Typische Spanne
ENX-Registrierungsgebühr	ca. 400 €
Akkreditierter Prüfanbieter (AL2, KMU)	5.000–12.000 €
Akkreditierter Prüfanbieter (AL2, Enterprise)	10.000–25.000 €+
AL3-Aufschlag gegenüber AL2	+30–50 %
Lückenanalyse / Beratung	5.000–20.000 €
Interne Vorbereitung (Mitarbeiterzeit, Tools)	10.000–50.000 €+
ISO-27001-Einsparungen bei Vorbereitung	-20 % bis -50 %

Typische Gesamtspannen:

Kleiner Zulieferer (AL2, ISO-27001-Grundlage): 15.000–40.000 €
Mittelgroßer Zulieferer (AL2, von Grund auf): 30.000–80.000 €
Großer Zulieferer (AL3, mehrere Standorte): 80.000–200.000 €+

TISAX und das EU-Regulierungsumfeld

TISAX ist Teil eines breiteren EU-regulatorischen Umfelds, das Automobilzulieferer navigieren müssen:

NIS2-Richtlinie: Sofern Ihr Unternehmen als wesentliche oder wichtige Einheit nach NIS2 qualifiziert ist, bestehen parallele Cybersicherheitsanforderungen. TISAX-Kontrollen lassen sich gut auf NIS2-Artikel-21-Anforderungen abbilden.
DSGVO: Fahrzeugdaten und Daten vernetzter Dienste umfassen häufig personenbezogene Daten. TISAX-Datenschutzkontrollen ergänzen DSGVO-Anforderungen.
EU Cyber Resilience Act: Ab 2027 müssen Produkte mit digitalen Elementen (einschließlich Automobilkomponenten mit eingebetteter Software) verbindliche Sicherheitsanforderungen erfüllen.
UNECE WP.29 / ISO/SAE 21434: Für Cybersicherheit vernetzter Fahrzeuge arbeitet TISAX neben automotive-spezifischen Cybersicherheitsstandards.

Wie Orbiq TISAX-Compliance unterstützt

Kontinuierliches Monitoring, integriertes Lieferantenrisikomanagement mit KI-gestützten Bewertungen und ein Trust Center für Kundenkommunikation — Orbiq ist für genau diese Arbeitslast gebaut.

EU-Datenhaltung. Orbiq ist in der EU ansässig und verarbeitet alle Daten ausschließlich in europäischer Infrastruktur — ohne CLOUD-Act-Risiko für Ihre Compliance-Daten.

Weiterführende Artikel

Quellen

ENX Association — TISAX-Übersicht — Offizielle TISAX-Programmdokumentation, ENX-Portal, Liste akkreditierter Anbieter
VDA ISA 6.0 — Informationssicherheitsbewertungs-Fragebogen — VDA-Offizielle Dokumentation; VDA ISA 6.0 verbindlich ab 1. April 2024
ENX-Preisliste 2025 — ENX-Registrierungsgebühr ca. 400 € pro Bewertungsumfang
ISO/IEC 27001:2022 — Informationssicherheitsmanagementsysteme — ISO 27001:2022, 93 Maßnahmen in 4 Themenbereichen
TISAX-Prüflevels — ENX-Dokumentation — AL1, AL2, AL3 Definitionen und Anforderungen
VDA Automotive ISAC — VDA Automobilindustrie-Standards und TISAX-Governance
ENX Association — Akkreditierte Prüfanbieter — Verzeichnis akkreditierter TISAX-Prüfdienstleister
ISO/SAE 21434:2021 — Straßenfahrzeuge Cybersicherheit — Automotive-Cybersicherheitsstandard als Ergänzung zu TISAX
UNECE WP.29 Cybersecurity-Regulation (UN R155) — UN-Verordnung zur Fahrzeug-Cybersicherheit
NIS2-Richtlinie — Amtsblatt (EU) 2022/2555 — Artikel 21 Sicherheitsanforderungen

Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.