TISAX Assessment Level 2 einfach erklärt

 

Was bedeutet TISAX Assessment Level 2?

TISAX (Trusted Information Security Assessment Exchange) kennt drei Assessment Levels, die sich in der Prüftiefe und Prüfmethodik unterscheiden. Das TISAX Assessment Level 2 steht für eine sogenannte Plausibilitätsprüfung: Ein von der ENX Association zugelassener Prüfdienstleister überprüft die vom Unternehmen eingereichte Selbstauskunft auf Nachvollziehbarkeit, Vollständigkeit und Konsistenz.

Konkret bedeutet das: Das Unternehmen füllt zunächst den VDA ISA Fragenkatalog im Rahmen einer Selbstbewertung aus und dokumentiert den Reifegrad seiner Informationssicherheitsprozesse. Der Prüfdienstleister analysiert anschließend diese Angaben, prüft eingereichte Nachweisdokumente und führt ergänzende Interviews mit den Verantwortlichen durch – in der Regel remote per Videokonferenz.

Im Unterschied zu einer reinen Selbstauskunft (Level 1) findet beim TISAX Level 2 also eine externe Bewertung statt. Im Unterschied zum Level-3-Assessment erfolgt diese Bewertung jedoch ohne umfassende Vor-Ort-Prüfung und ohne die detaillierte Inspektion technischer Systeme vor Ort.

 

Die drei TISAX Assessment Levels im Vergleich

Um die Einordnung des TISAX Assessment Level 2 zu verstehen, ist ein Blick auf alle drei Levels hilfreich. Die TISAX Level Unterschiede betreffen ausschließlich die Prüfmethodik – nicht die inhaltlichen Anforderungen des VDA ISA Katalogs.

Level 1: Selbstauskunft

Bei Level 1 führt das Unternehmen eine reine Selbstbewertung ohne externe Prüfung durch. Es findet keine Verifizierung durch einen Prüfdienstleister statt. Level 1 erzeugt kein TISAX-Label und wird in der Praxis von OEMs und Tier-1-Zulieferern nicht als ausreichender Nachweis akzeptiert. Es dient lediglich der internen Standortbestimmung.

Level 2: Plausibilitätsprüfung

Das TISAX Level 2 Assessment umfasst eine externe Plausibilitätsprüfung. Der Prüfdienstleister verifiziert die Selbstauskunft durch Dokumentenprüfung und Interviews, typischerweise remote. Die TISAX Prüftiefe bei Level 2 ist so ausgelegt, dass der Prüfer die Plausibilität der Angaben beurteilen kann, ohne jede technische Maßnahme vor Ort zu inspizieren.

Level 3: Vollständige Vor-Ort-Prüfung

Level 3 ist die umfassendste Prüfform. Der Prüfdienstleister führt ein vollständiges Vor-Ort-Audit durch. Dabei werden Dokumente, Prozesse und technische Implementierungen im Detail begutachtet. Begehungen der Räumlichkeiten, Einsicht in Systeme und ausführliche Interviews mit verschiedenen Funktionsträgern sind Standard.

 

TISAX Level 2 vs. Level 3: Die wesentlichen Unterschiede

Die Frage nach TISAX Level 2 vs. 3 ist eine der häufigsten im Kontext der TISAX-Vorbereitung. Die folgende Gegenüberstellung zeigt die zentralen Unterschiede:

• Prüfmethodik: Level 2 basiert auf einer Remote-Plausibilitätsprüfung, Level 3 erfordert ein vollständiges Vor-Ort-Audit mit physischer Begehung.
• Prüftiefe: Bei Level 2 prüft der Auditor, ob die Angaben im VDA ISA plausibel und nachvollziehbar sind. Bei Level 3 werden Prozesse und technische Maßnahmen vor Ort detailliert verifiziert.
• Aufwand und Dauer: Das Level-2-Assessment ist in der Regel kürzer und kosteneffizienter. Level-3-Assessments erfordern mehr Audittage und eine aufwändigere Vorbereitung.
• Nachweisführung: Bei Level 2 reichen in der Regel Dokumente und mündliche Erläuterungen. Bei Level 3 müssen Nachweise vor Ort vorgezeigt und technische Umsetzungen demonstriert werden.
• Einsatzbereich: Level 2 wird bei normalem Schutzbedarf eingesetzt, Level 3 bei hohem oder sehr hohem Schutzbedarf sowie bei Prototypenschutz.

Wichtig: Die inhaltlichen TISAX Anforderungen – also die Kontrollfragen des VDA ISA Katalogs – sind bei Level 2 und Level 3 identisch. Der Unterschied liegt ausschließlich in der Art und Tiefe, wie deren Umsetzung geprüft wird.

 

Wann ist TISAX Assessment Level 2 ausreichend?

Ob ein TISAX Assessment Level 2 ausreicht oder Level 3 gefordert wird, entscheidet nicht das Unternehmen selbst. Die Festlegung erfolgt durch den Auftraggeber – also den OEM oder Tier-1-Zulieferer, der den TISAX-Nachweis verlangt.

Die Auswahl des Assessment Levels orientiert sich am Schutzbedarf der Informationen, die mit dem Zulieferer geteilt werden:

Level 2 ist typischerweise ausreichend bei:

• Verarbeitung von allgemein vertraulichen Geschäftsinformationen (z. B. Einkaufsdaten, Projektpläne, technische Spezifikationen ohne Prototypenbezug)
• Normalem Schutzbedarf ohne Anforderungen an Prototypenschutz
• Dienstleistern, die zwar Zugang zu vertraulichen Informationen haben, aber nicht mit hochsensiblen Entwicklungsdaten arbeiten
• Szenarien, in denen das Prüfziel ausschließlich Informationssicherheit oder Datenschutz (ohne Prototypenschutz) umfasst

Level 3 wird in der Regel gefordert bei:

• Hohem oder sehr hohem Schutzbedarf
• Zugang zu Prototypen (physisch oder virtuell) oder vorserienrelevanten Informationen
• Prüfziel Prototypenschutz
• Unternehmen, die tief in die Fahrzeugentwicklung eingebunden sind

In der Praxis wird bei vielen Zulieferern und IT-Dienstleistern ein TISAX Level 2 Assessment angefordert, da der überwiegende Teil der Geschäftsbeziehungen keinen Prototypenbezug hat. Die genauen Anforderungen ergeben sich aus der Registrierung auf der ENX-Plattform, wo der Auftraggeber das gewünschte Assessment Level und die Prüfziele hinterlegt.

 

Anforderungen und Prüftiefe bei TISAX Level 2

Auch wenn die TISAX Prüftiefe bei Level 2 geringer ist als bei Level 3, sollten Unternehmen die Anforderungen nicht unterschätzen. Der Prüfdienstleister bewertet die Angaben kritisch und erwartet eine nachvollziehbare Darstellung der Informationssicherheitsprozesse.

Was der Prüfer bei Level 2 konkret prüft

• Vollständigkeit der Selbstauskunft: Alle relevanten Kontrollfragen des VDA ISA müssen beantwortet und mit einem Reifegrad bewertet sein.
• Nachweisdokumente: Für zentrale Bereiche werden Dokumente angefordert – darunter die Informationssicherheitspolitik, Risikoanalysen, Richtlinien zur Zugangssteuerung, Notfallpläne und Schulungsnachweise.
• Konsistenz der Angaben: Der Prüfer gleicht die Selbstbewertung mit den eingereichten Dokumenten und den Aussagen in den Interviews ab. Widersprüche führen zu Rückfragen oder Feststellungen.
• Interviews mit Schlüsselpersonen: Typischerweise werden der Informationssicherheitsbeauftragte (ISB), IT-Verantwortliche und Vertreter der Geschäftsleitung befragt.
• Reifegradnachweise: Jede Kontrollfrage muss mindestens Reifegrad 3 (Etabliert) erreichen. Das bedeutet: Der Prozess ist nicht nur dokumentiert, sondern wird standardmäßig und nachweislich gelebt.

Typische Nachweisdokumente für Level 2

Folgende Dokumente sollten Unternehmen für ein TISAX Assessment Level 2 vorbereitet haben:

• Informationssicherheitspolitik und daraus abgeleitete Sicherheitsrichtlinien
• Risikoanalyse mit dokumentiertem Risikobewertungsverfahren und Risikobehandlungsplan
• Asset-Inventar mit Klassifizierung und Verantwortlichkeiten
• Berechtigungskonzept und Nachweise über regelmäßige Access Reviews
• Schulungsnachweise zur Informationssicherheit für Mitarbeiter
• Dokumentation des Incident-Management-Prozesses
• Business-Continuity-Plan und Notfallkonzept
• Lieferantenbewertung und Vereinbarungen zur Informationssicherheit mit Dienstleistern
• Nachweis über interne Audits und Managementbewertungen
• Dokumentation des Change-Management-Prozesses und des Patch-Managements

 

Ablauf eines TISAX Level 2 Assessments

Der Ablauf eines TISAX Assessment Level 2 folgt einem strukturierten Prozess, der sich in mehrere Phasen gliedert:

1. Registrierung bei der ENX Association

Das Unternehmen registriert sich auf dem ENX-Portal und legt den Scope (Geltungsbereich), die Prüfziele und die betroffenen Standorte fest. Anschließend wird ein zugelassener Prüfdienstleister ausgewählt.

2. Selbstbewertung anhand des VDA ISA

Das Unternehmen füllt den VDA ISA Fragenkatalog aus, bewertet den Reifegrad der eigenen Prozesse und kompiliert die zugehörigen Nachweisdokumente. Diese Selbstbewertung wird dem Prüfdienstleister übergeben.

3. Dokumentenprüfung durch den Prüfdienstleister

Der Prüfer analysiert die eingereichte Selbstauskunft und die Nachweisdokumente. Er prüft auf Vollständigkeit, Konsistenz und Plausibilität der angegebenen Reifegrade.

4. Remote-Interviews

In Ergänzung zur Dokumentenprüfung führt der Prüfdienstleister Interviews mit relevanten Ansprechpartnern im Unternehmen durch. Dabei werden Rückfragen zu den Dokumenten geklärt und die tatsächliche Umsetzung der Prozesse erfragt.

5. Bewertung und Ergebnisbericht

Der Prüfer erstellt einen Ergebnisbericht mit der Bewertung aller Kontrollfragen. Werden Abweichungen (Non-Conformities) festgestellt, muss das Unternehmen innerhalb einer definierten Frist Korrekturmaßnahmen (Corrective Actions) einreichen und umsetzen.

6. Erteilung des TISAX-Labels

Nach erfolgreicher Prüfung – gegebenenfalls einschließlich der Nachbearbeitung von Feststellungen – wird das TISAX-Label erteilt. Es ist drei Jahre gültig und über die ENX-Plattform für berechtigte Partner einsehbar.

 

Vorbereitung auf TISAX Assessment Level 2: Empfehlungen

Eine strukturierte Vorbereitung ist der Schlüssel zu einem erfolgreichen TISAX Assessment. Die folgenden Empfehlungen helfen Unternehmen, den Aufwand realistisch zu planen und typische Fallstricke zu vermeiden:

Frühzeitig beginnen

Auch wenn der Aufwand bei Level 2 geringer ist als bei Level 3, sollten Unternehmen mindestens 3 bis 6 Monate für die Vorbereitung einplanen. Wer bisher kein strukturiertes ISMS betreibt, benötigt unter Umständen mehr Zeit für den Aufbau grundlegender Prozesse.

Gap-Analyse durchführen

Bevor Maßnahmen umgesetzt werden, sollte eine systematische Gap-Analyse anhand des VDA ISA Katalogs durchgeführt werden. So wird transparent, in welchen Bereichen bereits ein ausreichender Reifegrad erreicht ist und wo Handlungsbedarf besteht.

Dokumentation konsolidieren

Beim Level-2-Assessment ist die Dokumentation der zentrale Prüfgegenstand. Alle Richtlinien, Prozessbeschreibungen und Nachweise sollten aktuell, konsistent und leicht zugänglich sein. Veraltete oder widersprüchliche Dokumente sind ein häufiger Grund für Feststellungen.

Interviews vorbereiten

Die Schlüsselpersonen – insbesondere der ISB, IT-Leiter und Geschäftsführung – sollten auf die Interviews vorbereitet sein. Sie müssen in der Lage sein, die dokumentierten Prozesse zu erläutern und mit Beispielen aus der Praxis zu belegen.

Interne Vorprüfung durchführen

Ein internes Pre-Assessment deckt Schwachstellen auf, bevor der externe Prüfer sie findet. Dabei wird die Selbstauskunft kritisch hinterfragt und die Dokumentation auf Lücken geprüft.

Reifegrad realistisch bewerten

Eine zu optimistische Selbstbewertung führt im Assessment zu Abweichungen. Unternehmen sollten ihre Reifegrade ehrlich und nachvollziehbar einschätzen. Es ist besser, einen niedrigeren Reifegrad anzugeben und einen Maßnahmenplan vorzulegen, als eine nicht belegbare Einschätzung abzugeben.

ISMS-Tool nutzen

Ein dediziertes ISMS-Tool erleichtert die Verwaltung von Richtlinien, Risiken, Maßnahmen und Nachweisen erheblich. Es schafft Transparenz über den Umsetzungsstand und beschleunigt die Zusammenstellung der Dokumentation für den Prüfer.

 

Kosten und Zeitaufwand bei TISAX Level 2

Die Kosten für ein TISAX Assessment Level 2 setzen sich aus mehreren Komponenten zusammen:

• ENX-Registrierungsgebühr: Die Registrierung bei der ENX Association ist kostenpflichtig. Die Gebühr richtet sich nach Unternehmensgröße und Anzahl der Standorte.
• Prüfdienstleister: Die Kosten für den Prüfdienstleister variieren je nach Scope und Komplexität. Bei Level 2 sind die Auditkosten typischerweise niedriger als bei Level 3, da weniger Audittage benötigt werden.
• Interne Aufwände: Die Vorbereitung bindet interne Ressourcen – insbesondere den ISB, die IT-Abteilung und die Geschäftsleitung. Dieser Aufwand wird häufig unterschätzt.
• Externe Beratung (optional): Viele Unternehmen nutzen externe TISAX Beratung, um die Vorbereitung zu beschleunigen und Fehler zu vermeiden.

Der Zeitaufwand für das eigentliche Level-2-Assessment (Dokumentenprüfung und Interviews) beträgt in der Regel wenige Tage. Die Vorbereitung ist jedoch der zeitintensivere Teil und sollte, wie beschrieben, mit 3 bis 6 Monaten eingeplant werden.

 

Häufig gestellte Fragen zu TISAX Assessment Level 2

Was bedeutet Assessment Level 2 bei TISAX?

TISAX Assessment Level 2 bezeichnet eine Plausibilitätsprüfung, bei der ein zugelassener Prüfdienstleister die Selbstauskunft eines Unternehmens anhand von Dokumenten und Interviews verifiziert. Die Prüfung erfolgt in der Regel remote und erzeugt bei Bestehen ein gültiges TISAX-Label.

Wann reicht Level 2 aus?

Level 2 ist ausreichend, wenn der Auftraggeber (OEM oder Tier 1) einen normalen Schutzbedarf festlegt. Das betrifft typischerweise Unternehmen, die mit allgemein vertraulichen Informationen arbeiten, aber keinen Zugang zu Prototypen oder hochsensiblen Entwicklungsdaten haben. Die Festlegung des Levels erfolgt durch den Auftraggeber bei der Scope-Definition.

Was ist der Unterschied zwischen Level 2 und Level 3?

Der Hauptunterschied liegt in der Prüfmethodik: Level 2 ist eine Remote-Plausibilitätsprüfung auf Basis von Dokumenten und Interviews. Level 3 ist eine vollständige Vor-Ort-Prüfung mit Begehung, Systeminspektion und umfassender Verifikation. Die inhaltlichen Anforderungen des VDA ISA sind bei beiden Levels identisch – nur die TISAX Prüftiefe unterscheidet sich.

Welche Nachweise sind für Level 2 wichtig?

Zentrale Nachweise sind die ausgefüllte Selbstauskunft (VDA ISA), die Informationssicherheitspolitik, Risikoanalysen, Richtlinien zu Zugangssteuerung und Kryptografie, Schulungsnachweise, Incident-Management-Dokumentation, Business-Continuity-Pläne und Nachweise über interne Audits. Die Dokumente müssen aktuell, konsistent und aussagekräftig sein.

Wie lange ist ein TISAX-Label gültig?

Ein TISAX-Label ist drei Jahre gültig. Nach Ablauf muss ein erneutes Assessment durchgeführt werden, um das Label zu verlängern. Es empfiehlt sich, die Rezertifizierung frühzeitig zu planen, um Lücken in der Gültigkeit zu vermeiden.

Kann ich das Assessment Level selbst wählen?

Nein. Das Assessment Level wird vom Auftraggeber festgelegt und orientiert sich am Schutzbedarf der Informationen, die mit dem Unternehmen geteilt werden. Das gewünschte Level wird bei der Registrierung auf der ENX-Plattform hinterlegt.

 

Fazit: TISAX Assessment Level 2 effizient bestehen

Das TISAX Assessment Level 2 ist für viele Unternehmen in der Automobilzulieferkette der relevante Prüfstandard. Es bietet einen ausgewogenen Kompromiss zwischen Prüftiefe und Aufwand und erzeugt ein vollwertiges TISAX-Label, das über die ENX-Plattform mit Geschäftspartnern geteilt werden kann.

Der Schlüssel zum Erfolg liegt in einer strukturierten Vorbereitung: Eine ehrliche Gap-Analyse, eine konsolidierte Dokumentation und gut vorbereitete Ansprechpartner für die Interviews sind die wichtigsten Erfolgsfaktoren. Unternehmen, die bereits ein ISMS betreiben, haben einen erheblichen Vorsprung – die TISAX Anforderungen bauen auf etablierten Standards wie ISO 27001 auf.

TrustSpace begleitet Unternehmen bei der gesamten TISAX-Vorbereitung – von der initialen Gap-Analyse über den Aufbau der erforderlichen Dokumentation bis zur Assessment-Begleitung. Mit der ISMS-Plattform von TrustSpace lassen sich alle Anforderungen zentral verwalten, Fortschritte nachverfolgen und Nachweise effizient zusammenstellen. So wird die TISAX Zertifizierung Level 2 planbar und ressourcenschonend.