Wie lange dauert TISAX wirklich? Realistischer Zeitplan für Unternehmen

 

Warum Dauer und Ablauf bei TISAX entscheidend sind

Die Frage „Wie lange dauert TISAX?” ist für die meisten Unternehmen eine der ersten – und eine der wichtigsten. Denn der TISAX-Prozess hat direkte Auswirkungen auf Geschäftsbeziehungen, Projektplanungen und Ressourcen.

Wenn ein OEM oder Tier-1-Zulieferer ein TISAX-Label fordert, steht dahinter in der Regel ein konkreter Zeitdruck: Ein neuer Auftrag, eine Lieferantenqualifizierung oder eine vertragliche Frist. Wer den Zeitbedarf unterschätzt, riskiert Verzögerungen – im schlimmsten Fall den Verlust des Auftrags.

Ein realistischer TISAX Zeitplan hilft, Erwartungen zu steuern, Ressourcen richtig zu planen und den Prozess effizient zu gestalten.

 

Typischer TISAX Zeitplan in Phasen

Der TISAX-Prozess lässt sich in fünf klar abgrenzbare Phasen unterteilen. Die folgenden Zeitangaben basieren auf Erfahrungswerten für mittelständische Unternehmen mit 50 bis 500 Mitarbeitern:

Phase 1: Initialisierung und Scope-Definition (2–4 Wochen)

• Festlegung des Geltungsbereichs (Scope): Standorte, Systeme, Informationsflüsse
• Bestimmung des benötigten Assessment Levels und der Prüfziele
• Sicherung der Management-Unterstützung und Budgetfreigabe
• Benennung eines Projektleiters und – falls noch nicht vorhanden – eines ISB

Phase 2: Gap-Analyse und Maßnahmenplanung (4–6 Wochen)

• Systematischer Abgleich des Ist-Zustands mit dem VDA ISA Katalog
• Identifikation aller Lücken (Gaps) und Bewertung des Handlungsbedarfs
• Priorisierung der Maßnahmen nach Aufwand und Kritikalität
• Erstellung eines detaillierten Projektplans mit Meilensteinen

Phase 3: Maßnahmenumsetzung (8–24 Wochen)

Diese Phase ist typischerweise die längste und aufwändigste. Der tatsächliche Zeitbedarf hängt stark vom Ausgangszustand ab:

• Erstellung und Verabschiedung fehlender Richtlinien und Prozesse
• Implementierung technischer Maßnahmen (z. B. Verschlüsselung, Zugriffssteuerung, Netzwerksegmentierung)
• Aufbau der erforderlichen Dokumentation und Nachweise
• Schulung und Sensibilisierung aller relevanten Mitarbeiter
• Anpassung von Lieferantenverträgen und Durchführung von Lieferantenbewertungen

Phase 4: Internes Audit und Assessment-Vorbereitung (4–8 Wochen)

• Durchführung eines internen Audits (Pre-Assessment) zur Prüfungsbereitschaft
• Behebung identifizierter Schwachstellen
• Registrierung bei der ENX Association (Wartezeit: typischerweise 1–2 Wochen)
• Auswahl und Beauftragung eines zugelassenen TISAX-Prüfdienstleisters
• Terminfindung (Wartezeit beim Prüfdienstleister: 2–6 Wochen)

Phase 5: Externes Assessment und Abschluss (2–6 Wochen)

• Durchführung des externen Assessments (Level 2: remote, Level 3: vor Ort)
• Auswertung und Erhalt des Assessment-Berichts
• Bearbeitung eventueller Feststellungen (Corrective Actions, Frist: meist 9 Monate)
• Freigabe des TISAX-Labels auf der ENX-Plattform

 

TISAX Dauer nach Ausgangslage

Die Gesamtdauer variiert erheblich in Abhängigkeit von der Ausgangslage des Unternehmens:

Unternehmen mit bestehendem ISMS (z. B. ISO 27001)

Typische Dauer: 3–5 Monate

Wer bereits ein ISMS nach ISO 27001 betreibt, hat die meisten Anforderungen bereits umgesetzt. Die Zusatzaufwände beschränken sich auf automobilspezifische Anforderungen (insbesondere Prototypenschutz) und die TISAX-spezifische Registrierung und Assessment-Durchführung.

Unternehmen mit grundlegenden IT-Sicherheitsmaßnahmen

Typische Dauer: 6–9 Monate

Wenn grundlegende Sicherheitsmaßnahmen vorhanden sind (Firewall, Passwortrichtlinien, grundlegendes Backup), aber kein systematisches ISMS, liegt der Hauptaufwand in der Prozessdefinition, Dokumentation und Schulung.

Unternehmen ohne etablierte Informationssicherheit

Typische Dauer: 9–12+ Monate

Wenn Informationssicherheit bisher nicht systematisch adressiert wurde, müssen Prozesse, Dokumentation und technische Maßnahmen weitgehend von Grund auf aufgebaut werden. Eine externe TISAX-Beratung ist in diesem Fall dringend empfohlen.

 

Einflussfaktoren auf die TISAX-Dauer

Die folgenden Faktoren haben den größten Einfluss auf die Projektdauer:

Unternehmensgröße und Komplexität

Mehr Standorte, mehr Systeme und mehr Mitarbeiter bedeuten mehr Aufwand – sowohl in der Analyse als auch in der Umsetzung. Besonders Unternehmen mit mehreren Standorten oder komplexen IT-Landschaften benötigen mehr Zeit.

Assessment Level

Ein Level-3-Assessment erfordert eine umfassendere Vorbereitung und ein intensiveres Audit als Level 2. Die Anforderungen an die Nachweistiefe sind deutlich höher.

Verfügbarkeit interner Ressourcen

TISAX erfordert die aktive Mitarbeit von IT, Management, Personalwesen und ggf. Facility Management. Wenn diese Personen neben dem Tagesgeschäft nur begrenzt verfügbar sind, verzögert sich das Projekt.

Externe Unterstützung

Die Einbindung einer erfahrenen TISAX-Beratung kann den Prozess erheblich beschleunigen – durch strukturierte Vorgehensweise, Templates und Best Practices aus vergleichbaren Projekten.

Verfügbarkeit der Prüfdienstleister

Die Anzahl zugelassener TISAX-Prüfdienstleister ist begrenzt. Insbesondere in Stoßzeiten (Q4, Jahresanfang) können Wartezeiten von mehreren Wochen entstehen.

 

Häufige Verzögerungen und wie man sie vermeidet

1. Unterschätzte Dokumentationsanforderungen

Problem: Viele Unternehmen unterschätzen den Aufwand für Richtlinien, Prozessbeschreibungen und Nachweise.

Lösung: Frühzeitig eine Dokumentationsstruktur aufbauen und Templates nutzen. Plattformlösungen wie TrustSpace bieten vorgefertigte Dokumentenvorlagen.

2. Fehlende Management-Unterstützung

Problem: Ohne aktive Unterstützung der Geschäftsleitung fehlen Budgets, Weisungsbefugnisse und Priorisierung.

Lösung: Die Geschäftsleitung von Anfang an einbinden und über Geschäftsrisiken aufklären (Auftragsverlust, Lieferkettenausschluss).

3. Zu breiter oder unklarer Scope

Problem: Ein zu weit gefasster Scope erhöht den Aufwand unnötig, ein zu enger Scope führt zu Nachfragen im Assessment.

Lösung: Den Scope gemeinsam mit dem Auftraggeber präzise definieren und dokumentieren.

4. Paralleler Betrieb und Projektarbeit

Problem: Die TISAX-Verantwortlichen sind gleichzeitig im Tagesgeschäft gebunden.

Lösung: Feste Zeitblöcke und realistische Meilensteine einplanen. Lieber den Zeitplan verlängern als die Qualität gefährden.

5. Unterschätzte Lieferantenanforderungen

Problem: Auch die eigenen Dienstleister müssen angemessene Sicherheitsmaßnahmen nachweisen. Das erfordert Kommunikation und Koordination.

Lösung: Lieferanten frühzeitig einbinden und bei Bedarf durch das Vendor Risk Management systematisch steuern.

 

Checkliste: Interne TISAX-Planung

Die folgende Checkliste hilft bei der internen Planung des TISAX-Projekts:

• Management-Commitment und Budgetfreigabe eingeholt
• Projektleiter und ISB benannt
• Scope (Standorte, Systeme, Informationsarten) definiert
• Assessment Level und Prüfziele mit dem Auftraggeber abgestimmt
• Gap-Analyse gegen VDA ISA durchgeführt
• Maßnahmenplan mit Prioritäten und Verantwortlichkeiten erstellt
• Zeitliche Meilensteine und Deadlines definiert
• Externe Unterstützung (Beratung) bewertet und ggf. beauftragt
• Registrierung bei ENX Association geplant
• Prüfdienstleister identifiziert und frühzeitig kontaktiert
• Internes Audit (Pre-Assessment) eingeplant
• Kommunikationsplan für betroffene Mitarbeiter erstellt

 

Häufig gestellte Fragen zur TISAX Dauer

Wie lange dauert eine TISAX-Zertifizierung?

Von der Entscheidung bis zum TISAX-Label vergehen typischerweise 4 bis 12 Monate. Bei bestehendem ISMS kann der Prozess deutlich kürzer sein.

Welche Phasen hat der TISAX-Prozess?

Der Prozess umfasst fünf Phasen: Initialisierung, Gap-Analyse, Maßnahmenumsetzung, internes Audit und externes Assessment.

Welche Faktoren verlängern den Ablauf?

Die häufigsten Verzögerungsfaktoren sind fehlende Management-Unterstützung, unterschätzte Dokumentationsanforderungen, unklare Scope-Definition und begrenzte interne Ressourcen.

Was kostet TISAX je nach Ausgangslage?

Die TISAX Kosten variieren erheblich: Die ENX-Registrierungsgebühr, die Prüfdienstleisterkosten und die internen Aufwände hängen von Unternehmensgröße, Assessment Level und Reifegrad ab. Eine pauschale Angabe ist nicht seriös möglich – eine individuelle Aufwandsschätzung auf Basis der Gap-Analyse ist der sinnvollste Weg.

 

Fazit: Frühzeitig planen, realistisch kalkulieren

Die TISAX Dauer ist beherrschbar – wenn der Prozess frühzeitig gestartet, realistisch geplant und konsequent umgesetzt wird. Der größte Fehler ist es, das Projekt zu unterschätzen oder erst unter Zeitdruck zu beginnen.

Unternehmen, die den TISAX-Prozess effizient gestalten wollen, profitieren von einer strukturierten Projektsteuerung, einer ehrlichen Gap-Analyse und – bei Bedarf – externer Unterstützung.

TrustSpace bietet eine Plattformlösung für die TISAX-Vorbereitung, die den Zeitplan transparent macht, Maßnahmen trackt und den Fortschritt messbar hält. So wird aus einem komplexen Compliance-Projekt ein planbarer Prozess.