Blog

MDR für die Einhaltung der TISAX-Vorschriften | Wie hilft MDR bei der Einhaltung der Vorschriften?

Geschrieben von ForeNova | September 2, 2024

Der Trusted Information Security Assessment Exchange (TISAX) gilt für alle Automobilunternehmen und Partner in der Lieferkette, die Zugang zu sensiblen Informationen haben. Bei diesen sensiblen Daten kann es sich um Kundendaten, Mitarbeiterdaten und Informationen über Konkurrenzprodukte handeln.

Ähnlich wie PCI-DSS in der Kreditkartenbranche oder NIST 800-171 für Verteidigungsaufträge ist TISAX eine branchenspezifische Zertifizierung für deutsche und EU-Unternehmen.

Die Zertifizierung nach TISAX ist für die Mitglieder Deutschlands und der Europäischen Union (EU) freiwillig. Viele Unternehmen der Automobilbranche in Deutschland und der EU bevorzugen jedoch die Zusammenarbeit mit kleinen und mittleren Unternehmen (KMU) und anderen Organisationen, die einen unterschiedlichen Reifegrad der Bewertung erreicht haben. Viele deutsche Automobilunternehmen verlangen von ihren OEM-Partnern, dass sie diese Zertifizierung erhalten.

Das MDR-Angebot von ForeNova ist flexibel und sicher und preislich auf den KMU-Automobilmarkt in Deutschland und dem Rest der Europäischen Union abgestimmt. Die Erfahrung von ForeNova bei der Erkennung von Cyberangriffen der nächsten Generation in der gesamten Lieferkette der Automobilindustrie, kombiniert mit automatischer Reaktion auf Vorfälle und Berichterstattung, hilft kleinen und mittleren Unternehmen bei der Einhaltung der TISAX-Vorschriften.

Was ist die TISAX-Konformität?

Der Verband der europäischen Fahrzeughersteller hat den Trusted Information Security Exchange (TISAX) eingeführt. Der TISAX-Standard nutzt mehrere Elemente der ISO 27001-Sicherheitsstandards und stimmt mit den Anforderungen der Bewertungs- und Austauschrahmen des Verbands der Automobilindustrie (VDA) überein.

  • Implementierung eines Datenverwaltungs- und Infrastrukturprozesses, einschließlich kontinuierlicher Schwachstellenbewertungen, automatisierter Reaktion auf Vorfälle und Abhilfefunktionen.
  • Implementierung und Aufrechterhaltung eines sicheren Softwareentwicklungslebenszyklus (SSDLC) für die gesamte Anwendungsentwicklung.
  • Die konsequente Ausrichtung an bewährten Praktiken der Cybersicherheitsbranche, einschließlich Änderungskontrolle, Abschaffung veralteter Sicherheitskontrollen und kontinuierliche Überwachung aller kritischen Infrastrukturen, Geräte und Hosts.
  • Aufrechterhaltung eines konstanten Zustands der Cybersicherheitsbereitschaft.

TISAX verlangt von den Unternehmen, dass sie den Grad der Sensibilität der von ihnen verarbeiteten Daten erfolgreich bewerten.

Der Bewertungsprozess gliedert sich in die folgenden Phasen:

Anmeldung

Die Firma muss ein Konto bei der ENX-Portal um den Bewertungsprozess zu beginnen.

Festlegung des Umfangs der Bewertung

Bestimmen Sie, welche Bewertungsstufe das Unternehmen anstrebt, um die richtige Zertifizierungsstufe zu erreichen.

Durchführung einer Selbsteinschätzung

Das Unternehmen benötigt Zugang zum Formular für die Bewertung der Informationssicherheit (ISA) und nimmt eine erste Selbstbewertung der bestehenden Prozesse vor.

Sanierungsphase

Entwicklung und Durchführung eines Plans zur Behebung von Problemen, die bei den Sicherheitsaudits zur Selbstbewertung festgestellt wurden.

Was sind die verschiedenen Bewertungsstufen?

TISAX-Konformität legt drei Bewertungsstufen fest, die sich nach dem Schutzniveau der von den Partnern der Lieferkette gespeicherten und verarbeiteten Daten richten. Je höher das geforderte Sicherheitsniveau ist, desto höhere Bewertungsstufen müssen die Automobilunternehmen erreichen.

Bewertung Stufe 1

Die TISAX-Normen betrachten Stufe 1 als Einführungsstufe. Unternehmen der Automobilindustrie müssen lediglich eine Selbstbewertung durchführen und dabei den ISA-Fragebogen verwenden.

Bewertung Stufe 2

Diese Bewertung ist ideal für Anbieter in der Automobilzulieferkette, die mit hochsensiblen Themen umgehen. Das Automobilunternehmen muss den ISA-Fragebogen nutzen und einen externen Prüfer beauftragen, um seine von TISAX vorgeschriebenen Cybersicherheitskontrollen zu validieren.

Bewertung Stufe 3

Diese Bewertungsstufe setzt voraus, dass jedes Automobilunternehmen innerhalb der Lieferkette mit höchst sensiblen Informationen umgeht, was zusätzliche Sicherheitsvorkehrungen erfordert. Stufe 3 erfordert auch Standortkontrollen und persönliche Gespräche mit den Prüfern.

Warum ist Compliance für KMU und Automobilunternehmen in Deutschland so wichtig?

Kleine und mittlere Unternehmen (KMU) der Automobilindustrie in Deutschland streben danach, TISAX-konforme Zulieferer zu werden und müssen den Bewertungs- und Zertifizierungsprozess durchlaufen. Kleine und mittlere Unternehmen der Automobilindustrie müssen außerdem ihre Sicherheitskontrollen und -prozesse sowie ihre Fähigkeit nachweisen, geheime Informationen in der gesamten Lieferkette der Automobilindustrie sicher auszutauschen, was das Erreichen dieses Standards für ihr Geschäft entscheidend macht.

KMU, die in die Einhaltung der TISAX-Vorschriften investieren, sind sich der Notwendigkeit bewusst, dieses Mandat zwischen den ersten Beurteilungen und den künftigen Beauftragungen durch externe Prüfer aufrechtzuerhalten.

Automobilunternehmen, die sich nicht an TISAX halten, stehen vor mehreren vor- und nachgelagerten Herausforderungen.

  • Es besteht die Möglichkeit, den Zugang zu wertvollen Aufträgen zu verlieren, die größere Automobilunternehmen in Deutschland und der EU unterstützen.
  • Ihre Fähigkeit, Ihre Daten zu schützen, wird dadurch noch schwieriger.

Was sind die Vorteile der Einhaltung von TISAX?

  • Automobilunternehmen, die sich TISAX-zertifizieren lassen, werden durch die Übernahme mehrerer Anhang-A-Kontrollen innerhalb des ISO 27001-Rahmens auch cyber-sicherer. Die Investition in TISAX trägt auch dazu bei, rechtliche Verpflichtungen und Cyber-Versicherungsprämien zu reduzieren.
  • Durch die Aktivierung von ISO 27001-Kontrollen, die die TISAX-Zertifizierung unterstützen, werden Unternehmen auch weniger Betriebsausfälle durch Cyberangriffe erleben.
  • Die TISAX-Zertifizierung zeigt das Engagement des Unternehmens für den Datenschutz. Die Einführung einer soliden Datenschutzstrategie verringert die Wahrscheinlichkeit, dass Automobilunternehmen mit Geldbußen für die Nichteinhaltung anderer Vorschriften, einschließlich der DSGVO, rechnen müssen.

Was sind die Reifegrade innerhalb von TISAX?

TISAX legt im Rahmen seines Mandats verschiedene Reifegrade fest, an denen sich die Organisationen orientieren können. Wie die Bewertungsstufen richten sich auch diese Reifegrade nach der Erfüllung mehrerer Voraussetzungen durch die Organisation, einschließlich der Bewertung ihrer aktuellen Fähigkeiten im Bereich des Informationssicherheitsmanagementsystems (ISMS).

Reifegrad 0: Unvollständig

In diesem Stadium können die Automobilunternehmen dies ohne Zielvorgaben oder Dokumentation erreichen.

Reifegrad 1: Durchführen

Die Automobilunternehmen verfügen über eine adaptive Steuerung der Cybersicherheit; es gibt jedoch nur bestimmte Dokumentationselemente. Eine Dokumentation des aktuellen Einsatzes ist erforderlich; eine Validierung durch einen Dritten ist auf dieser Ebene jedoch nicht erforderlich.

Reifegrad 2: Verwalten

Das Automobilunternehmen hat kontinuierlich eine hohe Cybersicherheitsbereitschaft aufrechterhalten, die durch angemessene Verfahren und Dokumentation unterstützt wird. Eine ordnungsgemäße Überprüfung der Dokumentation und Validierung des Betriebs der Cybersicherheitskontrollen ist erforderlich.

Reifegrad 3: Etablieren

Das Automobilunternehmen nutzte branchenweit anerkannte Best Practices für die Cybersicherheit, darunter Sicherheitsarchitekturen, Zero-Trust, E-Mail-Sicherheit, Netzwerksegmentierung und Datenverschlüsselung. Diese Stufe erfordert den Nachweis der Funktionsfähigkeit, die Validierung durch Dritte und durchsetzbare Sicherheitsrichtlinien.

Reifegrad 4: Vorhersagbarkeit

Das Automobilunternehmen ermöglicht weiterhin die adaptive Steuerung der Cybersicherheit der nächsten Generation in Kombination mit kontinuierlicher Überwachung und wichtigen Leistungsindikatoren (KPI). Zu diesen Indikatoren gehören die mittlere Zeit bis zur Erkennung (MTTD) und die mittlere Zeit bis zur Reaktion (MTTR). Eine ordnungsgemäße Dokumentation, einschließlich Plänen zur kontinuierlichen Verbesserung, die Messung der Wirksamkeit der Reaktion auf Vorfälle und eine genaue Berichterstattung über alle Cybersecurity-Kontrollen und -Prozesse, ist erforderlich.

Reifegrad 5: Optimieren

Das Automobilunternehmen passt seine Verteidigungsstrategie im Bereich der Cybersicherheit auf der Grundlage interner und externer Bewertungen seiner Sicherheitsmaßnahmen, der Verwaltung der verschiedenen Sicherheitsvorrichtungen und der Pflege der Dokumentation kontinuierlich an. Unternehmen müssen genaue Berichte und Unterlagen vorlegen, aus denen hervorgeht, dass sie die TISAX-Vorschriften einhalten. Das Automobilunternehmen muss diese Artefakte den Prüfern bei Bedarf kurzfristig zur Verfügung stellen.

Wie können MDR-Dienste KMU-Unternehmen bei der Einhaltung der TISAX-Vorschriften unterstützen?

Kleine und mittlere Unternehmen der Automobilindustrie, die ihre TISAX-Zertifizierung aufrechterhalten wollen, benötigen oft Hilfe bei den Investitionskosten für die Hinzufügung mehrerer Schichten von Cybersicherheitswerkzeugen, die im Rahmen von ISO 27001 definiert sind, und für die Einstellung von Vollzeit-Sicherheitsteams, die rund um die Uhr arbeiten.

Mittelständische Unternehmen in Deutschland und der EU, die den Reifegrad von TISAX erreichen wollen, können einen MDR-Service von ForeNova in Anspruch nehmen.

Speziell für TISAX gibt es mehrere Reifegrade, die gut zu einem MDR-Angebot passen. KMUs können MDR innerhalb dieser Stufen nutzen:

  • Reifegrad 1: Verwaltete Firewalls, IDS oder Identitätssysteme.
  • Reifegrad 2: Managed Incident Response rund um die Uhr oder Aufstockung des vorhandenen Personals.
  • Reifegrad 3: Aktivierung neuer Cybersicherheitskontrollen und Bereitstellung von MDR-Abdeckung.
  • Reifegrad 4: Aktivierung von Cybersicherheitstools der nächsten Generation und Bereitstellung von kontinuierlicher Überwachung rund um die Uhr, KPI-Berichterstattung, Reaktion auf Vorfälle und Abhilfemaßnahmen.
  • Reifegrad 5: Bereitstellung kompletter, schlüsselfertiger Managed Services, einschließlich Erkennung und Reaktion, Compliance-Berichterstattung und Validierung von KPIs zur Unterstützung von Mandaten.

Warum ForeNova?

Kleine und mittlere Unternehmen der Automobilindustrie in Deutschland brauchen Zugang zu Talenten und Erfahrung, um die TISAX-Zertifizierung zu erreichen. Durch die Erlangung und Aufrechterhaltung dieser Zertifizierung haben diese Unternehmen Zugang zu den größeren Automobilherstellern in Deutschland und der EU. Wenn diese Firmen die Vorschriften nicht einhalten, werden die Geschäftsmöglichkeiten weiterhin schwierig sein.

ForeNova ist ein agiles und flexibles MDR-Dienstleistungsunternehmen, das sich gut auf den KMU-Markt in Deutschland und der EU eingestellt hat. Ihr Preismodell, ihre Serviceleistungen und ihr Fachwissen übertreffen die Erwartungen ihrer Kunden und unterstützen gleichzeitig ein für diesen Markt konzipiertes Preismodell.

Sind Sie ein Automobilunternehmen in der EU, das die TISAX-Vorschriften einhalten muss? Erfahren Sie mehr darüber, wie ForeNova Ihnen bei der Einhaltung der Cybersicherheitsanforderungen für TISAX helfen kann.

 


Der TISAX-Konformitätsleitfaden

Schalten Sie jetzt einen Gang höher! Laden Sie den kostenlosen Leitfaden zur TISAX-Complianceherunter und entdecken Sie Ihren Weg zu neuen Partnerschaften!