TISAX

TISAX Krisensimulation: Incident- und Notfallprozesse nachweisen

Von SecDrills-Redaktion
TISAX-pflichtige Zulieferer müssen nicht nur Sicherheitsmaßnahmen dokumentieren, sondern deren Wirksamkeit belegen. Dieser Beitrag erklärt, was TISAX bei Incident-Management und Business Continuity erwartet – und wie eine Krisensimulation den prüffähigen Nachweis erzeugt.

Was ist TISAX?

TISAX (Trusted Information Security Assessment Exchange) ist der von der ENX Association betriebene Standard der Automobilindustrie für Informationssicherheit. Grundlage ist der VDA-ISA-Katalog. Statt jeden OEM einzeln zu auditieren, lassen sich Zulieferer einmal prüfen und teilen das Ergebnis über die TISAX-Plattform. Für viele Zulieferer ist TISAX damit faktische Voraussetzung, um im Geschäft zu bleiben.

Was TISAX von Zulieferern erwartet

Der VDA-ISA-Katalog verlangt unter anderem etablierte Prozesse für das Management von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs. Geprüft wird nicht nur die Existenz von Konzepten, sondern ihre Wirksamkeit – besonders auf den höheren Assessment-Leveln (AL2 für vertrauliche, AL3 für streng vertrauliche bzw. hoch verfügbare Informationen).

Krisensimulation als Nachweis

Eine Krisensimulation als diskussionsbasierte Tabletop-Übung zeigt, dass Ihre Reaktions- und Notfallprozesse im Ernstfall greifen: Rollen sind klar, Eskalation und Kommunikation funktionieren, Meldewege werden eingehalten. Jede Übung endet mit einem auditierbaren Report, den Sie im TISAX-Assessment als Wirksamkeitsnachweis vorlegen.

Typisches Szenario: Datenabfluss beim Zulieferer

Ein realistisches Übungsszenario für Automotive-Zulieferer ist der Abfluss vertraulicher OEM-Entwicklungsdaten. Geübt werden Sofortmaßnahmen, die Information des betroffenen OEM, die Einhaltung von Meldefristen und die interne Krisenkommunikation – genau die Prozesse, deren Wirksamkeit im TISAX-Assessment relevant ist.

Häufige Fragen

Was ist TISAX?

TISAX (Trusted Information Security Assessment Exchange) ist der Prüf- und Austauschmechanismus der Automobilindustrie für Informationssicherheit, betrieben von der ENX Association auf Basis des VDA-ISA-Katalogs. Zulieferer weisen damit gegenüber OEMs und anderen Partnern ein angemessenes Informationssicherheitsniveau nach.

Verlangt TISAX geübte Krisenprozesse?

Der VDA-ISA-Katalog adressiert unter anderem das Management von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs. Geprüft wird die Wirksamkeit – dokumentierte, geübte Reaktionsprozesse sind ein belastbarer Nachweis, besonders auf den höheren Assessment-Leveln (AL2/AL3).

Wie unterstützt SecDrills einen TISAX-Nachweis?

Eine Tabletop-Übung spielt einen realistischen Vorfall – etwa einen Datenabfluss beim Zulieferer – strukturiert durch und erzeugt automatisch einen auditierbaren Report mit Rollen, Entscheidungen und Zeitstempeln, den Sie dem Prüfer vorlegen können.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.

TISAX-Nachweis in der Praxis

Spielen Sie ein realistisches Zuliefer-Szenario durch und erhalten Sie einen auditierbaren Report – vorlagefähig für Ihr TISAX-Assessment.

Übungsreife-Check starten