Was ist TISAX? Wie läuft eine Zertifizierung ab?

In den letzten Jahren kommt es bei Dienstleistern und Lieferanten der großen Automobilhersteller in Deutschland immer häufiger dazu, dass plötzlich die Anforderung einer TISAX® Zertifizierung auf dem Tisch liegt, wenn man weiter beauftragt werden möchte.

Doch was ist eigentlich eine TISAX® Zertifizierung? Wie läuft das ab? Und vor allem: Wie viel kostet mich als Unternehmen die Umsetzung der TISAX® Anforderungen?

IT Blog - TISAX - Sicherheit - Beratung - Toowoxx IT GmbH

Was ist TISAX®?

TISAX®(Trusted Information Security Assessment Exchange) ist ein Standard der Automobilindustrie, um IT-Sicherheit in Unternehmen voranzubringen, zu schärfen und Überprüfungsaufwände in der Bewertung der Informationssicherheit von Unternehmen zu verringern. Ins Leben gerufen wurde die „Zertifizierung“ durch den Verband der Automobilindustrie (VdA) in Kooperation mit der ENX Association (Austauschmechanismus europäischer Unternehmen in der Automobilindustrie).

Man könnte TISAX® als eine „Zertifizierung“ eines Unternehmens ähnlich des weltweit bekannten Standards ISO 27001 bezeichnen. Die grundlegenden Anforderungen weisen dabei auch große Überschneidungen auf. Jedoch sind die Schutzanforderungen bei TISAX® stärker an die Gegebenheiten der Automobilindustrie angepasst, somit oft klarer formuliert, aber auch strenger in der Bewertung.
Bei erfolgreich bestandener Prüfung erhalten TISAX® zertifizierte Unternehmen sogenannte Label, die bescheinigen, dass das Unternehmen in den geprüften Fachgebieten konform mit den Anforderungen und damit aus Perspektive der Informationssicherheit vertrauenswürdig ist.
Die Label eines Unternehmens können dann über die Austauschplattform der ENX (https://portal.enx.com/de-DE/TISAX/) mit anderen TISAX® Teilnehmern geteilt werden.

Die Ergebnisse haben eine Maximallaufzeit von 3 Jahren, nach denen eine erneute Prüfung zur Verlängerung der Gültigkeit notwendig ist. Toowoxx hat nun im Juli 2024 die Prüfung zum zweiten Mal bestanden. Der Auditor hat uns die “zweitbesten” Unterlagen seiner bisherigen Laufbahn bescheinigt. Die anderen waren “nur” im Nuancen besser.

WIE LÄUFT EINE TISAX® ZERTIFIZIERUNG AB?

Zunächst ist es wichtig die einzelnen Rollen im Ablauf einer TISAX® Zertifizierung zu verstehen. Folgende sind hierbei relevant:

  • TISAX® Teilnehmer / Participant: Das Unternehmen das nach TISAX® zertifiziert werden möchte
  • ENX Association: Organisation, die die TISAX® Kriterien und Anforderungen stellt, sowie die Austauschplattform für Prüfungsergebnisse zur Verfügung stellt
  • Prüfdienstleister / Audit Provider: Unternehmen, die die Erlaubnis der ENX Association haben TISAX® Prüfungen abzunehmen.

Grundlegend folgt eine TISAX® Zertifizierung den folgenden Schritten:

1. TISAX® Scope Registration bei ENX
a) Welchen Schutzbedarf und welche Zusatzziele habe ich?
b) Welche Standorte sollen zertifiziert werden?

2. Vorbereitung auf die Prüfung
a) Wahl eines Partners
b) Aufbau / Erweiterung eines ISMS auf Basis der Anforderungen von TISAX
c) Festlegen des Zeitraums für die Prüfung
d) Wählen eines Prüfdienstleisters
e) Erstellen der Prüfdokumentation

3. Durchführen der Prüfung
4. Abschluss und Teilen der Prüfungsergebnisse

1. TISAX® SCOPE REGISTRATION BEI ENX

Zunächst muss das zu zertifizierende Unternehmen auf der ENX Plattform (https://portal.enx.com/de-DE/TISAX/) registriert werden und damit den Status „TISAX® Participant“ annehmen.

Der erste Schritt ist nun den sogenannten Scope der TISAX® Zertifizierung zu definieren. Hierbei wird bereits ein erster Betrag abhängig vom Umfang des Scopes fällig (Mehr dazu im Abschnitt „Was kostet eine TISAX® Zertifizierung“). Zur Vorbereitung der Registrierung müssen zunächst einige Fragen geklärt werden:

a) WELCHEN SCHUTZBEDARF UND WELCHE ZUSATZZIELE HABE ICH?

Je nachdem ob die Anforderung zur TISAX® Zertifizierung von einem Kunden aus der Automobilbranche oder aus Eigeninitiative entsteht, kann hier das Vorgehen unterschiedlich sein. So oder so muss geklärt werden, welchen Schutzbedarf – also welches Schutzziel – und welche Zusatzziele verfolgt werden sollen. Das kann einerseits durch Nachfragen beim Kunden, welchen Schutzbedarf dieser für ausreichend für das Unternehmen hält, andererseits durch eine Analyse der Dienstleistungen, die das zu zertifizierende Unternehmen anbieten möchte, erfolgen.
Auch hier kann schon die Wahl eines Partners, der bei der Identifizierung des Scopes berät, sinnvoll sein. Gerne können Sie sich hierzu an uns wenden (info@toowoxx.de)!

Der ermittelte Bedarf entscheidet die später notwendige Art der Prüfung:

  • Assessment Level 1 – Selbstauskunft (AL1): Das zu prüfende Unternehmen schätzt die Umsetzung der TISAX® Anforderungen selbst ein und teilt diese mit anderen Unternehmen. Mit anderen Worten: keine Prüfung durch einen Prüfdienstleister notwendig.
  • Assessment Level 2 – Prüfung auf Aktenbasis (AL2): Das zu prüfende Unternehmen stellt die Erfüllung der TISAX® Anforderungen in Form von Dokumenten (Selbstauskunft, textuelle Nachweise, Bilder, Prozessmodelle, Auszüge aus dem ISMS, etc.) dar und lässt diese von einem Prüfdienstleister im Rahmen eines Assessments (Prüfung) untersuchen.
  • Assessment Level 3 – Vor Ort Prüfung (AL3): Das zu prüfende Unternehmen stellt die Erfüllung der TISAX® Anforderungen in Form von Dokumenten dar und lässt diese von einem Prüfdienstleister vor Ort untersuchen. Achtung: Hierbei geht der Prüfprozess deutlich mehr ins Detail als in den Stufen zuvor!

Nachfolgende Abbildung zeigt die Schutzbedarfe, die verschiedenen Prüfgebiete und die damit verbundene Art der Prüfung:

Informationssicherheit - Toowoxx IT GmbH

Übrigens: Die am häufigsten auftretende Prüfungsart ist das Assessment für hohen Schutzbedarf mit dem Zusatzziel Datenschutz – also eine Prüfung nach Assessment Level 2 auf Aktenbasis!

b) WELCHE STANDORTE SOLLEN ZERTIFIZIERT WERDEN?

Während der Scope-Registrierung muss angegeben werden, welche Standorte des Unternehmens für die Anforderungen berücksichtigt werden sollen. Hierbei ist besonders wichtig, dass alle Standorte an denen Leistungen für andere TISAX® Participants erbracht werden, die einen bestimmten Schutzbedarf erfordern, im Scope enthalten sind! In manchen Fällen kann es sinnvoll sein den Scope aufzuteilen, bspw. wenn verschiedene Schutzbedarfe für verschiedene Standorte relevant sind und man eine Vor-Ort Prüfung an einem bestimmten Standort vermeiden möchte.

Hierzu gibt es ein hervorragendes Whitepaper der ENX, das Unterstützung bei der Wahl des Scopes bietet: https://portal.enx.com/sga.pdf

2. VORBEREITUNG AUF DIE PRÜFUNG

Die Form der Vorbereitung auf das Assessment ist stark abhängig vom identifizierten Schutzbedarf, der Art, Größe und der Ausgangssituation des Informationssicherheitsmanagements beim zu prüfenden Unternehmen.

Grundsätzlich richtet sich das Assessment nach dem VDA ISA Fragenkatalog (https://www.vda.de/de/services/Publikationen/vda-isa-katalog-version-5.0.html). Dieser Katalog enthält sogenannte TISAX® Controls. Ein Control entspricht einem Themenbereich der Informationssicherheit, welchem Anforderungen zugeordnet sind. Diese Anforderungen stellen die Bewertungsgrundlage für das Assessment dar. Hier ein Beispiel eines Controls:

Tisax Zertifizierung - Toowoxx IT GmbH

Nachfolgend noch eine Kurzübersicht über die Bedeutung der wichtigsten Spalten:

ISA New

Eindeutiger Bezeichner des TISAX® Controls (bspw. Control 1.1.1).

Reifegrad

Erreichte „Punktzahl“ in der Prüfung. Werte 0 (=Unvollständig) bis 5 (=Optimierend) sind möglich.

Kontrollfrage

Frage, die die Grundlage für die Bewertung mittels Reifegrades darstellt.

Anforderungen (muss)

Anforderungen, die erfüllt sein MÜSSEN, um TISAX® konform zu sein.

Anforderungen (sollte)

Anforderungen, die erfüllt sein SOLLTEN, um TISAX® konform zu sein. Achtung hierbei! Das „sollte“ entspricht in den allermeisten Fällen einem „muss“. Bei Nichterfüllung der Anforderung muss eine wohl überlegte und klare Begründung vorhanden sein.

Zusatzanforderungen bei hohem Schutzbedarf

Anforderungen, die von TISAX® Teilnehmern mit hohem Schutzbedarf erfüllt sein MÜSSEN, um TISAX® konform zu sein.

Zusatzanforderungen bei sehr hohem Schutzbedarf

Anforderungen, die von TISAX® Teilnehmern mit sehr hohem Schutzbedarf erfüllt sein MÜSSEN, um TISAX® konform zu sein.

Zusatzinformationen können dem Fragenkatalog direkt entnommen werden. Dort sind ausführliche Erklärungen zu den Inhalten und der Struktur des Katalogs geliefert.

a) OPTIONALE WAHL EINES PARTNERS

Da die optimale Vorbereitung von vielen Faktoren abhängig ist, ist die Wahl eines beratenden Partners mit Expertise in der Umsetzung von TISAX® Controls, empfehlenswert. Dennoch ist dies kein Muss, eine Prüfung kann auch ohne vorherige externe Beratungsleistung erfolgreich verlaufen.

Wie im Abschnitt „Wählen eines Prüfdienstleisters“ beschrieben, muss ein Audit Provider gewählt werden. Hierbei ist besonders wichtig, dass ein Prüfdienstleister (inklusive verbundener Unternehmen) nicht gleichzeitig als beratender Partner agieren darf. Es müssen also zwangsläufig zwei unabhängige Organisationen gewählt werden.

Wir als Toowoxx IT GmbH bieten unsere Erfahrung in der Vorbereitung und Begleitung von TISAX® Assessments an. Insbesondere für KMUs kann die Umsetzung von TISAX® Controls schwierig sein und bspw. eine externe Informationssicherheitsbeauftragung sinnvoll sein. Wenden Sie sich hierzu gerne an uns! (info@toowoxx.de)

b) AUFBAU / ERWEITERUNG EINES ISMS AUF BASIS DER ANFORDERUNGEN VON TISAX®

Kern der Erfüllung der TISAX® Anforderungen stellt das Information Security Management System (ISMS) dar. Es hält Prozesse und Vorgaben rund um Informationen im Unternehmen und stellt damit die zentrale Überwachungseinheit für Informationssicherheit dar.
TISAX® Controls stellen Anforderungen an ein Unternehmen. Um TISAX® konform zu werden, ist somit ein ISMS von Nöten das sämtliche im Fragenkatalog aufgeführten Vorgaben als Prozesse und Sicherheitsmaßnahmen in einer Form abbildet.

Dies ist bei weitem der zeitaufwändigste Schritt in der Durchführung einer TISAX® Zertifizierung. Abhängig von der Ausgangssituation ist eine Umsetzungsdauer von einem halben bis zu 2 Jahren denkbar. Ist bereits eine alternative Zertifizierung vorhanden (bspw. ISO27001) ist auch eine kürzere Projektdauer möglich, tendenziell aber die Ausnahme.

Am Markt gibt es etliche Lösungen, die eine ISMS Software-Lösung anbieten. Allerdings ist es wichtig zu verstehen, dass damit die Arbeit noch nicht getan ist. Ein ISMS muss an die Unternehmensbedürfnisse und bestehenden Prozesse angepasst werden, um sinnvoll und auch in der Prüfung glaubwürdig zu sein. Eine solche Anpassung muss erfolgen, ob man eine Lösung einkauft oder selbst von Grund auf ein eigenes ISMS konzeptioniert.

Eine gute Ressource für den Einstieg in den Aufbau eines ISMS ist der BSI-Standard 200-1 des Bundesamts für Sicherheit in der Informationstechnik.

Sobald ein solides Grundwissen der Eigenschaften eines ISMS und der TISAX® Anforderungen vorhanden, ist die Durchführung einer Gap-Analyse eine bewährte Vorgehensweise. Dabei wird der Ist-Zustand der Informationssicherheit im Unternehmen festgestellt und mit dem VDA ISA Fragenkatalog als Soll-Konzept verglichen. Das Ergebnis ist die Offenlegung von Lücken zwischen den zwei Zuständen.
Auf dieser Grundlage kann dann die Anpassung des ISMS weiter geplant werden.

Sollte ein ISMS ohne vorhandene Software-Lösung implementiert werden, können nachfolgende Stichpunkte zur weiteren Recherche für den Aufbau eines Grundkonzepts hilfreich sein:

  • Identifikation von Informationswerten
  • Definition eines Informationsklassifizierungsprozesses (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Inventarisierung von Information Assets (Personal, Geräte, Papierdokumente, IT-Systeme, etc.)
  • Definition von Verantwortlichkeiten für Information Assets (bspw. Applikationseigner, Geräteverantwortlicher, Personalmanagement)
  • Definition einer Informationssicherheitsrichtlinie
  • Definition von Sicherheitsvorgaben für die verschiedenen Kategorien von Information Assets
  • Definition eines Risikomanagementprozesses
  • Definition eines Information Security Audit Prozesses (Systemaudits, ISMS Wirksamkeitsprüfung, Auftragnehmer Audits)
  • Definition von Sensibilisierungsmaßnahmen (Informationssicherheitsschulung, Awareness-Trainings)

c) FESTLEGEN DES ZEITRAUMS FÜR DIE PRÜFUNG

Im Rahmen der Projektplanung des ISMS Aufbaus, sollte ein Zeitraum definiert werden, bis zu welchem das Unternehmen plant konform zu sein. Aus zwei Gründen ist eine frühzeitige Planung sinnvoll. Zum einen, weil ein Datum für den Projektabschluss die Produktivität anregen kann, zum anderen, weil die Prüfdienstleister gerne bis zu einem halben Jahr Vorlauf für die Vergabe eines Termins brauchen.

Spätestens ein halbes Jahr vor geplantem Abschluss, sollte also in Kommunikation mit einem Prüfdienstleister getreten werden.

d) WÄHLEN EINES PRÜFDIENSTLEISTERS

Nachdem der grobe Zeitraum für die Durchführung des Assessments identifiziert ist, muss ein Prüfdienstleister (engl.: Audit Provider) gewählt werden. Der Prüfdienstleister ist die Einheit, die später die Prüfung der TISAX Anforderungen abnehmen wird und im Erfolgsfall die TISAX Label vergibt.
Hierzu wird nach Registrierung von der ENX eine Mail mit den folgenden Inhalten versandt:

  • Liste der möglichen Prüfdienstleister
  • Scope Excerpt: Zusammenfassung des registrierten Scopes mit Unternehmensgröße, zu prüfenden Standorten, Kontaktdaten und anderen Rahmeninformationen

Bisher sind nicht viele Unternehmen zertifiziert TISAX Prüfungen abzunehmen, dementsprechend ist die Liste der möglichen Audit Provider recht überschaubar.

Der nächste Schritt wäre nun, Angebote von diesen Anbietern einzuholen und diese miteinander zu vergleichen. Im Zuge dessen sollte das Scope Excerpt auf Richtigkeit geprüft werden. Insbesondere sollte darauf geachtet werden ob auch alle Zusatzziele mitaufgeführt sind (vgl. Abschnitt „Welchen Schutzbedarf und welche Zusatzziele habe ich?“).
Für die Anfrage von Angeboten muss das Scope Excerpt an die Prüfdienstleister übermittelt werden. Sollten Zusatzziele nicht im Excerpt aufgeführt sein, aber dennoch relevant sein, sollten diese bei der Anfrage von Angeboten mit angegeben werden.

Besonders wichtig: Frühzeitig Angebote einholen. Oftmals kommt es vor, dass der nächstmögliche Assessment-Termin erst in einem halben Jahr liegt!

Beim Vergleich der Angebote sollte vor allem auf folgende Aspekte geachtet werden:

  • Preis für die TISAX® Grundprüfung „Informationssicherheit“.
  • Preis für die Prüfung von Zusatzzielen.
  • Preis für potenziell notwendige Nachprüfungen. Empfehlung der Toowoxx IT GmbH: Wird die Prüfung ohne beratenden Partner durchgeführt, ist im Schnitt mit einer Nachprüfung zu rechnen.
    Einige Prüfdienstleister haben hier auch Angebote mit bspw. bis zu zwei kostenlosen Nachprüfungen.
  • Angebotene Prüfungstermine. TISAX® Prüfdienstleister sind sehr gefragt. Natürlich sollten die Prüfungstermine vereinbar mit etwaigen Fristen und der Projektplanung für die Zertifizierung sein.

Ist der gewünschte Audit-Provider gewählt und das Angebot akzeptiert, stellt dieser weitere Informationen zum genauen Ablauf der Prüfung bereit. Das Vorgehen kann hierbei abhängig von der Prüfungsart (Aktenbasis / Vor Ort) und von Dienstleister zu Dienstleister variieren. Im nächsten Abschnitt wird näher darauf eingegangen.

E) ERSTELLEN DER PRÜFDOKUMENTATION

Nachdem ein ISMS aufgebaut wurde, dass den TISAX® Anforderungen entspricht, muss nun beschrieben werden wie die einzelnen Anforderungen in den TISAX® Controls erfüllt werden.

Im Zuge dessen wird für jeden TISAX® Control eine Nachweisdokumentation erstellt, die eine Beschreibung der Umsetzung der Anforderungen enthält, sowie Nachweise die die Umsetzung untermauern. Mögliche Nachweise können Fotos, Screenshots, Auszüge aus dem ISMS, Log-Auszüge, Auszüge aus Inventarlisten, diverse Dokumente, etc. sein.

Nachfolgend ist ein Beispiel abgebildet, wie die Nachweisdokumentation für Control 5.2.6 aussehen könnte:

TISAX Systemauditierung

Die Prüfdokumentation stellt quasi die Rechnung und das Ergebnis in einer Mathe-Aufgabe dar. Mit anderen Worten, dies ist der Teil, der in der Prüfung tatsächlich bewertet wird. Dementsprechend sollte für die Erstellung großzügig Zeit eingeplant und detailliert gearbeitet werden.

4. DURCHFÜHREN DER PRÜFUNG

Wie genau eine Prüfung abläuft ist abhängig vom gewählten Prüfdienstleister und dem identifizierten Schutzbedarf (siehe Abschnitt „Welchen Schutzbedarf und welche Zusatzziele habe ich?“).

Die häufigste Prüfungsart ist das Assessment Level 2 für hohen Schutzbedarf mit Zusatzziel Datenschutz.

Hierbei gibt es in der Regel folgende relevante Ablaufschritte:

Abgabefrist für Prüfdokumentation: Die zuvor erstellte Prüfdokumentation muss bis zu diesem Termin an den gewählten Prüfdienstleister übermittelt werden.

Plausibilitätscheck: Der Prüfdienstleister führt bis zu diesem Termin eine Prüfung der Prüfdokumentation auf Plausibilität durch. Dabei identifiziert er ob die Umsetzung glaubwürdig ist und zu welchen Punkten er noch Rückfragen hat. Sollte der Plausibilitätscheck negativ ausfallen, ist das Assessment leider vorzeitig beendet und nicht bestanden. Im positiven Fall informiert der Prüfdienstleister über das Bestehen des Checks und kommt mit einer Liste von Rückfragen auf das Unternehmen zu.

Telefoninterview: Der Audit Provider prüft in einem Video-Call die von ihm zuvor angemerkten Punkte, zu denen er Rückfragen hat. Das Interview dauert in der Regel zwei bis drei Stunden. Ist der Prüfer mit den Antworten zufrieden, ist hier schon das Ende erreicht und das Assessment bestanden. Falls der Prüfer nicht mit den Antworten zufrieden ist, wird eine Mängelliste definiert, die dann an das Unternehmen übergeben wird.

Falls notwendig, Nachprüfung: Wurde beim Telefoninterview eine Mängelliste definiert, wird eine Nachprüfung notwendig. Die in der Liste geschilderten Maßnahmen sind mit einer Frist von maximal 9 Monaten umzusetzen. Danach werden diese erneut vom Prüfer untersucht. Das Resultat ist dann entweder eine erneute Nachprüfung oder der erfolgreiche Abschluss der Zertifizierung.

5. ABSCHLUSS UND TEILEN DER PRÜFUNGSERGEBNISSE

Nach Abschluss der Prüfung erhalten Sie von Ihrem Prüfdienstleister einen detaillierten Ergebnisbericht, in dem Ihr ermittelter Reifegrad für jede Schutzanforderung im VDA ISA Anforderungskatalog enthalten ist. Die Ergebnisse werden zudem in der ENX Plattform für Sie einsehbar gemacht.

Wie bereits eingangs erwähnt, können Sie die Prüfungsergebnisse der TISAX® Zertifizierung ausschließlich über das ENX Netzwerk teilen, d.h. nur registrierte TISAX® Participants können die Ergebnisse der Zertifizierung sehen. Zudem können andere Teilnehmer auch nur dann Ihre Ergebnisse sehen, wenn Sie als Unternehmen diese explizit mit ihm teilen oder Ihre erhaltenen Label generell für alle TISAX® Participants veröffentlichen.

Natürlich kann außerhalb der Plattform trotzdem mit einer erfolgreichen Zertifizierung geworben werden. Mehr Informationen hierzu, können unter https://portal.enx.com/de-de/myenxportal/marketing/ (Inhalt leider nur für registrierte TISAX Participants einsehbar) nachgelesen werden.

WAS KOSTET EINE TISAX® ZERTIFIZIERUNG?

Was kostet denn nun eigentlich die Umsetzung einer TISAX® Zertifizierung im Unternehmen? Natürlich lässt sich diese Frage nicht ganz so einfach beantworten, da sie von vielen Faktoren abhängig ist. Aber um das zu erfahren, ist wohl keiner hergekommen. Also versuchen wir nun die verschiedenen Kostenpunkte aufzuschlüsseln.

Um die Punkte zu konkretisieren, führen wir eine stark vereinfachte Beispielrechnung für ein häufiges Szenario durch. Hier die Rahmenbedingungen unserer Beispielrechnung:

  • KMU IT-Dienstleister: etwa 30 Mitarbeiter an einem Standort
  • Keine Vorzertifizierungen (Erstprüfung)
  • Prüfung auf Aktenbasis nach hohem Schutzbedarf (AL2) mit Zusatzziel Datenschutz

 

Kosten für Scope Registrierung: Die genauen Kosten sind hier abhängig von der Zahl der zu zertifizierenden Standorte. Wie sich der Preis genau berechnet, kann in der Preisliste der ENX nachgerechnet werden: https://enx.com/pricelist.pdf.

Beispielszenario: Ein zu zertifizierender Standort nach ABC-model:

1 * 405 € = 405 €

Kosten für Prüfung: Hier richten sich die Kosten nach dem gewählten Prüfdienstleister.

Beispielszenario: Eine Grundprüfung Informationssicherheit mit Zusatzprüfung Datenschutz. Es wird ohne Nachprüfung gerechnet, da das Unternehmen mit externer Beratungsleistung in die Prüfung geht.

4000 € (Grundprüfung) + 500 € (Zusatz Datenschutz) = 4500 €

 

Kosten für externe Beratungsleistung: Das Unternehmen startet ohne Vorzertifizierungen und gelebtes ISMS in die TISAX Vorbereitung. Die Berechnung hierbei ist abhängig vom gewählten Partner und deren Preisen.

Beispielszenario: Als geschätzte Vorbereitungszeit wählen wir 9 Monate (etwa 39 Wochen) in der die externe Partnerfirma unterstützt. Im Schnitt rechnen wir hier mit einem Manntag à 1.200,00€ pro Woche:

39 Wochen * 1.200,00 € (Tagessatz Berater) = 46.800,00 €

 

Opportunitätskosten: Für die Einführung eines ISMS werden natürlich nicht nur externe Leistungen benötigt, sondern auch interne Ressourcen, welche unter Umständen Kosten durch entgangene Leistung verursachen.

Beispielszenario: Aufgrund der Größe unseres Beispielunternehmens, wählen wir 2 Mitarbeiter, die im Schnitt 2 Tage pro Woche über 9 Monate in die Umsetzung der Anforderungen stecken. Wie hoch die Kosten durch entgangene Leistung tatsächlich ist, ist stark vom Unternehmen abhängig. Für unser Beispiel nehmen wir eine Auslastung von 50% an, also 50% Verlust durch entgangenen Nutzen.

2 Mitarbeiter * 2 Tage * 39 Wochen * 50% * 1.200,00 € (Tagesumsatz) = 93.600,00€

 

Wie bereits eingangs erwähnt, ist die Kostenaufstellung sehr stark vom Unternehmen abhängig und muss individuell betrachtet werden. Das aufgeführte Beispielszenario soll trotzdem deutlich machen, dass eine derartige Zertifizierung durchaus erhebliche Kosten verursachen kann, und einen Anhaltspunkt liefern aus welchen Bereichen diese kommen. So ergeben sich für unsere Berechnung die folgenden Kosten, um eine TISAX® Zertifizierung zu erhalten:

Beispielszenario Kosten für die Erstzertifizierung: 405 € + 4.500,00 € + 46.800 € + 93.600 € = 145.305,00 €

Zudem muss beachtet werden, dass die TISAX® Label abhängig vom Resultat eine Maximallaufzeit von 3 Jahren haben. D.h. nach spätestens 3 Jahren wird eine erneute Prüfung, sowie die Aktualisierung der Prüfungsdokumentation (siehe Abschnitt „Erstellen der Prüfdokumentation“) notwendig. Je nachdem wie stark sich das Unternehmen bis zur Erneuerung verändert, entstehen hier wieder Kosten zur Vorbereitung. Für unser Beispielszenario nehmen wir folgende Berechnung an, die in einem Zyklus von 3 Jahren wiederholt zum Tragen kommt:

Kosten für Scope Registrierung: 405 €
Kosten für Prüfung: 4500 €
Kosten für externe Beratungsleistung: 5 Tage * 1.200,00€ (Tagessatz Berater) = 6.000,00€
Opportunitätskosten: 2 Mitarbeiter * 2 Tage * 10 Wochen * 50% * 1.200,00 € (Tagesumsatz) = 24.000,00€

Beispielszenario wiederkehrende Kosten im 3 Jahres-Zyklus: 405,00€ + 4.500,00€ + 4.000,00€ + 24.000,00€ = 37.810,00€

Zusätzlich erwähnenswert ist, dass für die Umsetzung eines ISMS auch Kosten anfallen können. Je nachdem, welche Infrastruktur beim zu zertifizierenden Unternehmen vorhanden ist, können bestehende Systeme für den Aufbau eines ISMS benutzt werden oder es muss eine neue Lösung eingekauft werden. Für das Beispielszenario wurde ein IT-Dienstleister gewählt, bei dem tendenziell bereits Software zum Aufbau eines ISMS vorhanden ist.

Für Unterstützung bei der Umsetzung von TISAX® Anforderungen oder Kostenschätzungen für die Umsetzung dieser, können Sie sich gerne mit uns in Verbindung setzen (info@toowoxx.de).

TISAX® ist eine eingetragene Marke der ENX Association. Die Too­woxx IT GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Eignung der hier beworbenen Leis­tungen verbunden.