NIS2, ISO 27001, der Cyber Resilience Act, DSGVO oder TISAX - was heißt das konkret für Ihr Unternehmen? Wählen Sie ein Framework: Was es ist, ob Sie betroffen sind, was bei Nichtstun droht, und der vollständige Fahrplan mit Begründung zu jedem Schritt.
Die NIS2-Richtlinie ist die EU-weite Cybersicherheits-Regulierung, in Deutschland umgesetzt über das BSIG in der durch das NIS2UmsuCG geänderten Fassung. Sie verpflichtet Unternehmen aus 18 als kritisch eingestuften Sektoren zu Risikomanagement (§30 BSIG), Vorfallsmeldung ans BSI (§32 BSIG) und persönlicher Haftung der Geschäftsleitung (§38 BSIG).
Die Einstufung richtet sich nach Sektor, Mitarbeiterzahl und Umsatz. Sie ist deterministisch - es gibt keinen Ermessensspielraum, ob ein Unternehmen unter die Schwellenwerte fällt.
Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen. Zusätzlich persönliche Haftung der Geschäftsleitung mit dem Privatvermögen bei vorsätzlichen oder grob fahrlässigen Verstößen gegen die Aufsichtspflichten - das unterscheidet NIS2 von den meisten anderen IT-Regelwerken.
Ersteinrichtung ca. 1-2 Tage, danach laufender Betrieb (Reviews, Meldeprozess, Lieferantenbewertungen).
Klären, ob und in welcher Kategorie Ihr Unternehmen unter NIS2 fällt.
Die Einstufung entscheidet über den gesamten weiteren Aufwand. Wesentliche und wichtige Einrichtungen haben unterschiedliche Aufsichtsintensität, und eine falsche Selbsteinschätzung kostet später Zeit - vor allem, weil die Registrierungsfrist beim BSI bereits am 6. März 2026 abgelaufen ist.
Standorte, Bereiche und Verantwortliche für das NIS2-Risikomanagement definieren.
§38 BSIG macht die Geschäftsleitung persönlich verantwortlich. Ohne klar benannte Verantwortlichkeit bleibt jede spätere Maßnahme ohne Rückhalt - und im Ernstfall fehlt die Nachvollziehbarkeit, wer wofür zuständig war.
Die zehn Risikomanagementmaßnahmen nach §30 BSIG systematisch bewerten.
§30 BSIG verlangt kein pauschales Sicherheitsniveau, sondern eine risikobasierte Bewertung über konkrete Bereiche - von Risikoanalyse über Incident-Handling, Business Continuity, Lieferkettensicherheit bis Kryptografie und Zugriffskontrolle. Diese Bewertung ist die fachliche Grundlage für alles Weitere.
Die identifizierten Lücken in eine abarbeitbare Reihenfolge bringen.
Nicht jede Lücke hat das gleiche Risiko oder den gleichen Aufwand. Ohne Priorisierung verzetteln sich Unternehmen häufig in unwichtigen Details, während die Punkte mit dem größten Bußgeld- und Haftungsrisiko liegen bleiben.
Das risikobasierte Vorgehen nach Art. 21 NIS2-Richtlinie nachvollziehbar festhalten.
NIS2 verlangt nicht nur Maßnahmen, sondern den Nachweis, dass diese auf einer methodischen Risikobewertung beruhen. Eine reine Maßnahmenliste ohne zugrunde liegende Risikobetrachtung erfüllt diese Anforderung nicht.
Die von §30 BSIG geforderten Richtlinien schriftlich fixieren und im Unternehmen verankern.
Eine Richtlinie, die niemand kennt, schützt niemanden. Die Verteilung mit dokumentierter Bestätigung ist Teil des Nachweises - nicht nur das Vorhandensein des Dokuments.
Die Schulungspflicht der Leitung und die Sensibilisierung der Belegschaft erfüllen.
§38 BSIG verpflichtet ausdrücklich die Geschäftsleitung zur Schulung - nicht nur die IT-Abteilung. Das ist eine Besonderheit von NIS2 gegenüber älteren Regelwerken und wird bei einer Prüfung explizit abgefragt.
Meldefähigkeit gegenüber dem BSI innerhalb der gesetzlichen Fristen herstellen.
§32 BSIG setzt enge Fristen (Frühwarnung, Meldung, Abschlussbericht). Wer diesen Prozess erst im Ernstfall aufbaut, verpasst die Fristen fast zwangsläufig - Meldefähigkeit muss vor dem ersten Vorfall stehen.
NIS2 als dauerhaftes System betreiben, nicht als Einmal-Projekt.
Art. 21 NIS2-Richtlinie fordert ausdrücklich die Bewertung der Lieferkettensicherheit, und die Einstufung sowie Risikolage ändert sich mit der Zeit. Ein einmal erstelltes Dokument veraltet - der laufende Betrieb ist der eigentliche Compliance-Nachweis.
Direkt in der Regel nicht - die Schwellenwerte beginnen bei 50 Mitarbeitenden oder 10 Mio. Euro Jahresumsatz für wichtige Einrichtungen. Indirekt kann NIS2 aber über die Lieferkette relevant werden, wenn Sie ein betroffenes Unternehmen beliefern und dieses Sicherheitsanforderungen an Sie weiterreicht.
Die Frist zur Erstregistrierung im BSI-Portal (MUK) lief am 6. März 2026 ab. Eine Nachregistrierung ist weiterhin möglich und wird vom BSI ausdrücklich empfohlen. Wichtig: Die fehlende Registrierung ist ein eigenständiger Bußgeldtatbestand, unabhängig davon, ob bereits technische Maßnahmen umgesetzt wurden.
Eine ISO-27001-Zertifizierung deckt einen erheblichen Teil der NIS2-Anforderungen ab, ersetzt den Nachweis aber nicht vollständig - insbesondere die NIS2-spezifische Meldepflicht, die Registrierung beim BSI und die persönliche Schulungspflicht der Geschäftsleitung sind eigenständige Anforderungen.
Eine direkte gesetzliche Pflicht besteht dann nicht. In der Praxis geben viele wesentliche und wichtige Einrichtungen Sicherheitsanforderungen jedoch vertraglich an ihre Lieferanten weiter, da sie selbst zur Bewertung der Lieferkettensicherheit verpflichtet sind (Art. 21 NIS2-Richtlinie).
ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS), aktuell in der Fassung ISO/IEC 27001:2022. Anders als NIS2 oder DSGVO ist er keine gesetzliche Pflicht, sondern eine freiwillige Norm - die aber von Großkunden, Konzernen und der öffentlichen Hand zunehmend vertraglich gefordert wird.
ISO 27001 richtet sich an kein bestimmtes Gesetz, sondern an eine wachsende Markterwartung. Relevant wird sie, sobald Auftraggeber, Ausschreibungen oder Konzern-Lieferketten eine Zertifizierung voraussetzen.
Keine direkten Bußgelder - ISO 27001 ist keine gesetzliche Pflicht. Das reale Risiko liegt anderswo: verlorene Ausschreibungen und Aufträge, wenn Auftraggeber die Zertifizierung vertraglich voraussetzen, sowie Vertragsverletzungen, wenn eine bereits zugesagte Zertifizierung nicht erreicht wird.
Aufbau bis zur Zertifizierungsreife typischerweise mehrere Wochen bis Monate; die Zertifizierung selbst dauert in der Praxis oft 8 bis 12 Monate.
Definieren, welche Standorte, Bereiche und Prozesse das ISMS umfasst.
Der Scope ist die Grundlage jeder Zertifizierung - er bestimmt, was der Auditor überhaupt prüft. Ein zu weit gefasster Scope erzeugt unnötigen Aufwand, ein zu eng gefasster wirkt gegenüber Auftraggebern unglaubwürdig.
Den Umsetzungsgrad aller Controls und der Pflicht-Klauseln (4-10) ehrlich bewerten.
Ohne eine belastbare Ist-Aufnahme lässt sich weder priorisieren noch der spätere Aufwand einschätzen. Die Gap-Analyse ist der aufwendigste, aber wichtigste Startpunkt - hier entscheidet sich, wie realistisch der Zeitplan wird.
Für jedes Control Anwendbarkeit, Umsetzungsstatus und Begründung festhalten.
Das SoA ist eines der wenigen zwingend geforderten Dokumente der Norm (Klausel 6.1.3 d). Ohne begründeten Ausschluss nicht anwendbarer Controls gilt die Zertifizierung als unvollständig - Auditoren prüfen dieses Dokument als Erstes.
Informationssicherheits-Risiken methodisch bewerten und behandeln.
ISO 27001 ist im Kern ein risikobasiertes Managementsystem. Ohne eine einheitliche, nachvollziehbare Bewertungsmethodik (Klausel 6.1.2) lassen sich Entscheidungen über Maßnahmen später nicht begründen.
Die offenen Controls aus der Gap-Analyse Schritt für Schritt schließen.
Die Gap-Analyse allein verbessert nichts - erst die tatsächliche Umsetzung reduziert das Risiko und schafft die Substanz, die ein Auditor später prüft.
Umgesetzte Controls dauerhaft betreiben und ihre Wirksamkeit belegen.
Ein Control, das einmal eingerichtet und nie überprüft wird, ist auf Dauer kein wirksames Control mehr. Auditoren fragen gezielt nach Wirksamkeitsnachweisen, nicht nur nach dem Vorhandensein einer Maßnahme.
Das dokumentierte Richtlinien-Fundament für das ISMS schaffen.
Viele Controls verlangen explizit eine dokumentierte Richtlinie (z.B. Zugriffskontrolle, Kryptografie). Ohne schriftliche Fixierung fehlt der Nachweis, dass ein Prozess nicht nur gelebt, sondern auch verbindlich festgelegt ist.
Sensibilisierung der Belegschaft nachweisbar dokumentieren.
Klausel 7.2/7.3 fordert Kompetenz und Bewusstsein der Mitarbeitenden als eigenständiges Kriterium - nicht nur technische Maßnahmen. Fehlende Schulungsnachweise sind eine häufige Feststellung in Zertifizierungsaudits.
Dienstleister und Lieferanten risikoorientiert einschätzen.
Annex A enthält eigene Controls zu Lieferantenbeziehungen - ein ISMS, das die eigene Lieferkette ignoriert, bleibt an einer zentralen Stelle lückenhaft.
Das ISMS vor dem Zertifizierungsaudit selbst kritisch prüfen.
Ein internes Audit ist eine zwingende Voraussetzung für die Zertifizierung (Klausel 9.2). Es deckt Lücken auf, bevor ein externer Auditor sie findet - und ist damit die letzte Gelegenheit zur Korrektur ohne Auditfolgen.
Die Leitungsbewertung durchführen und Auditreife herstellen.
Klausel 9.3 verlangt, dass die oberste Leitung das ISMS regelmäßig formal bewertet - nicht nur die operative Ebene. Ohne dokumentiertes Management-Review fehlt ein zwingendes Element der Norm.
Unabhängige Eignungsbewertung durch qualifizierten ISO 27001-Auditor (IQI GmbH): CompliantDesk bildet die Anforderungen der DIN EN ISO/IEC 27001:2024-01, Klauseln 4-10 und Annex A, nachvollziehbar und prüffähig ab.
Wirtschaftlich sinnvoll ist ISO 27001 meist ab ca. 25 Mitarbeitenden - vorausgesetzt, es gibt einen konkreten Anlass wie eine Kundenanforderung oder eine Ausschreibung. Ohne diesen Anlass steht der Aufwand oft nicht im Verhältnis zum Nutzen.
Nein. ISO 27001 ist eine freiwillige internationale Norm, kein Gesetz. Sie wird in Deutschland unter anderem zur Erfüllung von §8a BSIG (KRITIS) und §30 BSIG (NIS2) anerkannt, ersetzt eine gesetzliche Pflicht aber nicht automatisch vollständig.
Grundsätzlich ja - die Norm schreibt keinen Berater vor. Der Aufwand liegt vor allem in der Gap-Analyse gegen alle 93 Controls, dem Statement of Applicability und der Dokumentationstiefe. Ein strukturiertes Vorgehen wie dieser Fahrplan reduziert den Bedarf an externer Unterstützung deutlich.
Teilweise. Ein funktionierendes ISMS nach ISO 27001 deckt einen erheblichen Teil der NIS2-Anforderungen ab, ersetzt aber nicht die NIS2-spezifische Meldepflicht und BSI-Registrierung. Datenschutzrechtliche DSGVO-Pflichten wie das Verarbeitungsverzeichnis sind eigenständig zu erfüllen.
Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller, Produkte mit digitalen Elementen über den gesamten Lebenszyklus abzusichern - von der sicheren Entwicklung über das Schwachstellenmanagement bis zur CE-Kennzeichnung. Anders als NIS2, das Betreiber und Einrichtungen adressiert, setzt der CRA am Produkt an: Ein Unternehmen kann zugleich NIS2-Einrichtung und CRA-pflichtiger Hersteller sein.
Das ist beim CRA die wichtigste Frage - anders als NIS2 oder DSGVO gilt er nicht für Unternehmen allgemein, sondern nur für die Rolle als Hersteller, Importeur oder Händler eines Produkts mit digitalen Elementen.
Bußgelder bis zu 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes bei Verstößen gegen die grundlegenden Sicherheitsanforderungen (Anhang I) sowie die Hersteller- und Meldepflichten (Art. 13, 14). Wirtschaftlich oft schwerer wiegt das zweite Risiko: Marktüberwachungsbehörden können nicht konforme Produkte vom EU-Markt nehmen.
Abhängig vom Produktportfolio: Der Meldeprozess muss bis 11. September 2026 stehen, die übrigen Pflichten (Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation) bis 11. Dezember 2027.
Feststellen, welche Produkte betroffen sind und in welcher Rolle (Hersteller, Importeur, Händler) Sie stehen.
Die Rolle bestimmt den gesamten weiteren Pflichtenumfang. Wer ein Produkt unter eigenem Namen weitervertreibt oder wesentlich verändert, gilt oft selbst als Hersteller mit vollem Pflichtenkatalog - eine falsche Selbsteinschätzung ist der häufigste Startfehler.
Jedes betroffene Produkt der richtigen Risikoklasse zuordnen.
Die Klasse entscheidet, ob eine Selbstbewertung ausreicht oder eine unabhängige Prüfstelle eingebunden werden muss. Eine zu niedrige Einstufung ist ein rechtliches Risiko, eine zu hohe erzeugt unnötigen Aufwand.
Die grundlegenden Sicherheitsanforderungen aus Anhang I im Produkt verankern.
Anhang I ist der inhaltliche Kern des CRA. Ohne eine dokumentierte Risikobewertung und nachweislich umgesetzte Sicherheitsmerkmale lässt sich keine Konformität erklären - Verstöße dagegen gehören zur höchsten Bußgeldstufe.
Meldefähigkeit für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle herstellen.
Die Meldepflicht nach Art. 14 gilt bereits ab 11. September 2026 - deutlich früher als die übrigen Pflichten - und ausdrücklich auch für Produkte, die schon auf dem Markt sind. Wer erst 2027 plant, verpasst diesen früheren Stichtag.
Die formale Konformität des Produkts nachweisen.
Ohne vollständige technische Dokumentation und ein durchlaufenes Konformitätsbewertungsverfahren ist keine CE-Kennzeichnung möglich - unabhängig davon, wie gut das Produkt tatsächlich abgesichert ist.
CRA-Konformität nicht nur beim Markteintritt, sondern über die gesamte Produktlebensdauer sicherstellen.
Der CRA endet nicht mit der CE-Kennzeichnung. Sicherheitsupdates, die Marktüberwachung und die Meldepflicht für Bestandsprodukte laufen weiter - ein Produkt kann auch nachträglich non-konform werden.
Ja. Eigenständig auf den Markt gebrachte Software fällt ebenso unter den CRA wie Hardware mit digitalen Elementen. Reine Software-Anbieter halten sich häufig fälschlich für nicht betroffen.
Nein, eine generelle Ausnahme für kleine Unternehmen gibt es nicht. Der CRA sieht für Kleinst- und Kleinunternehmen Erleichterungen vor, etwa bei bestimmten Meldefristen - die grundlegenden Pflichten bleiben aber bestehen.
Ja, allerdings mit einem reduzierten, aber wachsenden Pflichtenumfang. Importeure haben erweiterte Prüfpflichten gegenüber dem Hersteller und sind ab 11. September 2026 in die Meldekette für Schwachstellen und Vorfälle eingebunden.
Die Meldepflicht nach Art. 14 gilt ausdrücklich auch für Produkte, die bereits vor dem Stichtag auf dem Markt bereitgestellt wurden. Die übrigen Pflichten (Konformitätsbewertung, CE-Kennzeichnung) knüpfen im Kern an das Inverkehrbringen ab dem 11. Dezember 2027 an.
NIS2 richtet sich an Betreiber und Einrichtungen in kritischen Sektoren und regelt, wie ein Unternehmen seine eigene IT absichert. Der CRA richtet sich an Hersteller, Importeure und Händler und regelt, wie sicher die von ihnen in Verkehr gebrachten Produkte sein müssen. Ein Unternehmen kann in beide Regelwerke gleichzeitig fallen.
Die Datenschutz-Grundverordnung regelt EU-weit, wie personenbezogene Daten verarbeitet werden dürfen. Sie gilt branchen- und größenunabhängig für praktisch jedes Unternehmen, das mit Kunden-, Mitarbeiter- oder Interessentendaten arbeitet.
Anders als NIS2 oder TISAX gibt es bei der DSGVO keine Schwellenwerte oder Sektor-Listen - sie gilt ab dem ersten Mitarbeitenden und dem ersten Kundenkontakt.
Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Allein 2024 verhängten deutsche Aufsichtsbehörden 187 Bußgeldbescheide, der höchste Einzelfall lag bei 14,5 Mio. Euro.
Ersteinrichtung ca. 1-2 Tage, danach laufender Betrieb.
Alle Verarbeitungstätigkeiten strukturiert erfassen.
Das Verarbeitungsverzeichnis (Art. 30 DSGVO) ist die Pflichtgrundlage, aus der sich fast alle weiteren Schritte ableiten - ohne den Überblick, welche Daten wofür verarbeitet werden, lässt sich keine Rechtsgrundlage prüfen und kein Löschkonzept aufstellen.
Für jede Verarbeitung die passende Rechtsgrundlage nach Art. 6 DSGVO festlegen.
Ohne gültige Rechtsgrundlage ist eine Verarbeitung grundsätzlich unzulässig - unabhängig davon, wie gut sie technisch abgesichert ist. Das ist der rechtliche Kern der DSGVO, nicht nur eine formale Fußnote.
Die Sicherheit der Verarbeitung nach Art. 32 DSGVO nachweisen.
Art. 32 verlangt ein dem Risiko angemessenes Schutzniveau - und den Nachweis dafür. Auftraggeber fragen TOMs regelmäßig als eigenständiges Dokument ab, unabhängig vom AVV.
Für risikoreiche Verarbeitungen eine DSFA erstellen.
Art. 35 verlangt eine DSFA immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Betroffene birgt - wird sie unterlassen, ist das selbst ein eigenständiger Verstoß, unabhängig vom Ergebnis der Verarbeitung.
Alle externen Dienstleister mit Datenzugriff vertraglich absichern.
Wer Daten an Dienstleister weitergibt (Cloud, Hosting, Software-as-a-Service), bleibt datenschutzrechtlich verantwortlich, wenn kein wirksamer Auftragsverarbeitungsvertrag (Art. 28) vorliegt - die Verantwortung lässt sich nicht einfach outsourcen.
Auskunft, Löschung und Widerspruch fristgerecht beantworten können.
Die Art. 15-22 DSGVO geben Betroffenen einklagbare Rechte mit festen Fristen. Ohne festgelegten internen Prozess wird jede Anfrage zum Ad-hoc-Sonderfall - mit Risiko, die Frist zu verpassen.
Aufbewahrung und Löschung personenbezogener Daten nachvollziehbar regeln.
Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) verlangt, dass Daten nicht länger als nötig aufbewahrt werden. Ohne festgelegte Löschfristen sammeln sich unnötige Datenbestände an, die im Schadensfall zusätzliches Risiko bedeuten.
Datenschutz dauerhaft aktuell halten, nicht nur einmalig herstellen.
Verarbeitungstätigkeiten, Dienstleister und Risiken ändern sich laufend. Ein einmal erstelltes Verzeichnis veraltet ohne regelmäßige Pflege schnell - und verliert damit seinen Nachweiswert.
Ja, ohne Ausnahme. Die DSGVO gilt ab dem ersten Mitarbeitenden und dem ersten Kundenkontakt - es gibt keine Mindestgröße oder Branchen-Ausnahme.
In der Regel ja, sobald mindestens 20 Personen im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Unabhängig von der Mitarbeiterzahl kann ein Datenschutzbeauftragter zusätzlich Pflicht sein, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Datenkategorien besteht.
Nein. Die Datenschutzerklärung informiert nur Website-Besucher über die dortige Verarbeitung. Sie ersetzt weder das Verarbeitungsverzeichnis noch die TOM-Dokumentation, die AVVs mit Dienstleistern oder das Löschkonzept.
Die DSGVO gilt trotzdem. Ansprechpartner, Bewerber und Mitarbeitende sind ebenfalls natürliche Personen mit personenbezogenen Daten - reine B2B-Tätigkeit befreit nicht von den Pflichten.
TISAX (Trusted Information Security Assessment Exchange) ist der vom VDA entwickelte Informationssicherheits-Standard der Automobilindustrie, basierend auf dem VDA-ISA-Fragenkatalog. Wer als Zulieferer oder Dienstleister in der Lieferkette großer Automobilhersteller arbeitet, wird darüber standardisiert auf Informationssicherheit geprüft.
TISAX ist keine gesetzliche Pflicht, sondern eine vertragliche Anforderung der Automobil-Lieferkette. Betroffen ist, wer von einem OEM oder Tier-1-Zulieferer dazu aufgefordert wird.
Keine direkten Bußgelder - TISAX ist kein Gesetz. Das reale Risiko: Verlust des Auftrags oder Ausschluss aus der Lieferkette, wenn OEM oder Tier-1 das TISAX-Label vertraglich voraussetzen.
Vorbereitung typischerweise mehrere Wochen, abhängig vom geforderten Assessment-Level.
Prüfumfang und angestrebtes Assessment-Level mit dem Auftraggeber festlegen.
TISAX ist kein einheitliches Zertifikat, sondern ein modulares System aus Prüfzielen (z.B. Informationssicherheit, Prototypenschutz, Datenschutz) und Assessment-Leveln unterschiedlicher Prüftiefe. Ohne diese Klärung lässt sich der Aufwand nicht seriös einschätzen.
Definieren, welche Standorte und Bereiche in das Assessment fallen.
Der Scope bestimmt, was der Prüfdienstleister später tatsächlich begutachtet - ein zu eng gefasster Scope kann vom Auftraggeber abgelehnt werden, ein zu weiter erzeugt unnötigen Aufwand.
Den VDA-ISA-Fragenkatalog über alle relevanten Prüfbereiche bewerten und erfüllen.
Der VDA-ISA-Katalog ist die fachliche Grundlage jedes TISAX-Assessments. Ehrliche Selbstbewertung ist hier kein Nebenaspekt, sondern Teil des Prozesses - TISAX basiert bewusst auf einem Self-Assessment-Charakter.
Lücken bis zur angestrebten Reife schließen und Informationssicherheits-Risiken dokumentieren.
Ohne priorisierten Plan bleibt die Selbstbewertung eine reine Bestandsaufnahme. Der Reifegrad steigt erst durch konkrete, terminierte Umsetzung - und ein dokumentiertes Risikomanagement ist selbst Teil des VDA-ISA-Katalogs.
Informationssicherheits-Richtlinien fixieren und Mitarbeitende sensibilisieren.
Der VDA-ISA-Katalog prüft nicht nur Technik, sondern auch organisatorische Verankerung - dokumentierte Richtlinien und nachweisbare Awareness sind eigene Prüfpunkte.
Belege je Prüfbereich sammeln und auffindbar ablegen.
Ein TISAX-Assessment prüft nicht nur, ob eine Maßnahme existiert, sondern ob sie belegt werden kann. Verstreute oder fehlende Nachweise sind ein häufiger Grund für Nacharbeiten im offiziellen Prozess.
Die interne Reife vor dem offiziellen Assessment kritisch gegenprüfen.
Das offizielle TISAX-Assessment führt ein akkreditierter Prüfdienstleister im ENX-Prozess durch, nicht das eigene Unternehmen. Eine belastbare interne Vorprüfung reduziert das Risiko von Nachforderungen oder einem nicht bestandenen Assessment.
TISAX prüft nicht nur Automobilhersteller selbst, sondern deren gesamte Lieferkette. Wer als Zulieferer, Engineering-Dienstleister oder IT-Dienstleister für einen OEM oder Tier-1 arbeitet, wird in der Regel vertraglich zur TISAX-Teilnahme verpflichtet.
Nein. TISAX ist kein Gesetz, sondern ein branchenweiter Industriestandard der Automobilindustrie. Die Verpflichtung entsteht vertraglich über den Auftraggeber, nicht über eine gesetzliche Grundlage.
In der Regel nicht vollständig. TISAX basiert auf dem VDA-ISA-Katalog, der eigene, automotive-spezifische Prüfbereiche wie Prototypenschutz enthält, die über den Umfang von ISO 27001 hinausgehen. Eine bestehende ISO-27001-Basis erleichtert die Vorbereitung, ersetzt das Assessment aber nicht.
Ein akkreditierter Prüfdienstleister im ENX-Prozess - nicht das eigene Unternehmen. Die interne Vorbereitung dient dazu, dieses offizielle Assessment möglichst ohne Nachforderungen zu bestehen.
Diesen Fahrplan können Sie mit Ihrem eigenen Team umsetzen - oder ihn geführt in CompliantDesk abarbeiten. Ihr IT-Dienstleister richtet Ihnen dafür einen Zugang ein.
Mehr über CompliantDesk erfahren