Ähnlich wie PCI-DSS in der Kreditkartenbranche oder NIST 800-171 für Verteidigungsaufträge ist TISAX eine branchenspezifische Zertifizierung für deutsche und EU-Unternehmen.
Die Zertifizierung nach TISAX ist für die Mitglieder Deutschlands und der Europäischen Union (EU) freiwillig. Viele Unternehmen der Automobilbranche in Deutschland und der EU bevorzugen jedoch die Zusammenarbeit mit kleinen und mittleren Unternehmen (KMU) und anderen Organisationen, die einen unterschiedlichen Reifegrad der Bewertung erreicht haben. Viele deutsche Automobilunternehmen verlangen von ihren OEM-Partnern, dass sie diese Zertifizierung erhalten.
Das MDR-Angebot von ForeNova ist flexibel und sicher und preislich auf den KMU-Automobilmarkt in Deutschland und dem Rest der Europäischen Union abgestimmt. Die Erfahrung von ForeNova bei der Erkennung von Cyberangriffen der nächsten Generation in der gesamten Lieferkette der Automobilindustrie, kombiniert mit automatischer Reaktion auf Vorfälle und Berichterstattung, hilft kleinen und mittleren Unternehmen bei der Einhaltung der TISAX-Vorschriften.
Der Verband der europäischen Fahrzeughersteller hat den Trusted Information Security Exchange (TISAX) eingeführt. Der TISAX-Standard nutzt mehrere Elemente der ISO 27001-Sicherheitsstandards und stimmt mit den Anforderungen der Bewertungs- und Austauschrahmen des Verbands der Automobilindustrie (VDA) überein.
TISAX verlangt von den Unternehmen, dass sie den Grad der Sensibilität der von ihnen verarbeiteten Daten erfolgreich bewerten.
Der Bewertungsprozess gliedert sich in die folgenden Phasen:
Die Firma muss ein Konto bei der ENX-Portal um den Bewertungsprozess zu beginnen.
Bestimmen Sie, welche Bewertungsstufe das Unternehmen anstrebt, um die richtige Zertifizierungsstufe zu erreichen.
Das Unternehmen benötigt Zugang zum Formular für die Bewertung der Informationssicherheit (ISA) und nimmt eine erste Selbstbewertung der bestehenden Prozesse vor.
Entwicklung und Durchführung eines Plans zur Behebung von Problemen, die bei den Sicherheitsaudits zur Selbstbewertung festgestellt wurden.
TISAX-Konformität legt drei Bewertungsstufen fest, die sich nach dem Schutzniveau der von den Partnern der Lieferkette gespeicherten und verarbeiteten Daten richten. Je höher das geforderte Sicherheitsniveau ist, desto höhere Bewertungsstufen müssen die Automobilunternehmen erreichen.
Die TISAX-Normen betrachten Stufe 1 als Einführungsstufe. Unternehmen der Automobilindustrie müssen lediglich eine Selbstbewertung durchführen und dabei den ISA-Fragebogen verwenden.
Diese Bewertung ist ideal für Anbieter in der Automobilzulieferkette, die mit hochsensiblen Themen umgehen. Das Automobilunternehmen muss den ISA-Fragebogen nutzen und einen externen Prüfer beauftragen, um seine von TISAX vorgeschriebenen Cybersicherheitskontrollen zu validieren.
Diese Bewertungsstufe setzt voraus, dass jedes Automobilunternehmen innerhalb der Lieferkette mit höchst sensiblen Informationen umgeht, was zusätzliche Sicherheitsvorkehrungen erfordert. Stufe 3 erfordert auch Standortkontrollen und persönliche Gespräche mit den Prüfern.
KMU, die in die Einhaltung der TISAX-Vorschriften investieren, sind sich der Notwendigkeit bewusst, dieses Mandat zwischen den ersten Beurteilungen und den künftigen Beauftragungen durch externe Prüfer aufrechtzuerhalten.
Automobilunternehmen, die sich nicht an TISAX halten, stehen vor mehreren vor- und nachgelagerten Herausforderungen.
TISAX legt im Rahmen seines Mandats verschiedene Reifegrade fest, an denen sich die Organisationen orientieren können. Wie die Bewertungsstufen richten sich auch diese Reifegrade nach der Erfüllung mehrerer Voraussetzungen durch die Organisation, einschließlich der Bewertung ihrer aktuellen Fähigkeiten im Bereich des Informationssicherheitsmanagementsystems (ISMS).
In diesem Stadium können die Automobilunternehmen dies ohne Zielvorgaben oder Dokumentation erreichen.
Die Automobilunternehmen verfügen über eine adaptive Steuerung der Cybersicherheit; es gibt jedoch nur bestimmte Dokumentationselemente. Eine Dokumentation des aktuellen Einsatzes ist erforderlich; eine Validierung durch einen Dritten ist auf dieser Ebene jedoch nicht erforderlich.
Das Automobilunternehmen hat kontinuierlich eine hohe Cybersicherheitsbereitschaft aufrechterhalten, die durch angemessene Verfahren und Dokumentation unterstützt wird. Eine ordnungsgemäße Überprüfung der Dokumentation und Validierung des Betriebs der Cybersicherheitskontrollen ist erforderlich.
Das Automobilunternehmen nutzte branchenweit anerkannte Best Practices für die Cybersicherheit, darunter Sicherheitsarchitekturen, Zero-Trust, E-Mail-Sicherheit, Netzwerksegmentierung und Datenverschlüsselung. Diese Stufe erfordert den Nachweis der Funktionsfähigkeit, die Validierung durch Dritte und durchsetzbare Sicherheitsrichtlinien.
Das Automobilunternehmen ermöglicht weiterhin die adaptive Steuerung der Cybersicherheit der nächsten Generation in Kombination mit kontinuierlicher Überwachung und wichtigen Leistungsindikatoren (KPI). Zu diesen Indikatoren gehören die mittlere Zeit bis zur Erkennung (MTTD) und die mittlere Zeit bis zur Reaktion (MTTR). Eine ordnungsgemäße Dokumentation, einschließlich Plänen zur kontinuierlichen Verbesserung, die Messung der Wirksamkeit der Reaktion auf Vorfälle und eine genaue Berichterstattung über alle Cybersecurity-Kontrollen und -Prozesse, ist erforderlich.
Das Automobilunternehmen passt seine Verteidigungsstrategie im Bereich der Cybersicherheit auf der Grundlage interner und externer Bewertungen seiner Sicherheitsmaßnahmen, der Verwaltung der verschiedenen Sicherheitsvorrichtungen und der Pflege der Dokumentation kontinuierlich an. Unternehmen müssen genaue Berichte und Unterlagen vorlegen, aus denen hervorgeht, dass sie die TISAX-Vorschriften einhalten. Das Automobilunternehmen muss diese Artefakte den Prüfern bei Bedarf kurzfristig zur Verfügung stellen.
Kleine und mittlere Unternehmen der Automobilindustrie, die ihre TISAX-Zertifizierung aufrechterhalten wollen, benötigen oft Hilfe bei den Investitionskosten für die Hinzufügung mehrerer Schichten von Cybersicherheitswerkzeugen, die im Rahmen von ISO 27001 definiert sind, und für die Einstellung von Vollzeit-Sicherheitsteams, die rund um die Uhr arbeiten.
Mittelständische Unternehmen in Deutschland und der EU, die den Reifegrad von TISAX erreichen wollen, können einen MDR-Service von ForeNova in Anspruch nehmen.
Speziell für TISAX gibt es mehrere Reifegrade, die gut zu einem MDR-Angebot passen. KMUs können MDR innerhalb dieser Stufen nutzen:
Kleine und mittlere Unternehmen der Automobilindustrie in Deutschland brauchen Zugang zu Talenten und Erfahrung, um die TISAX-Zertifizierung zu erreichen. Durch die Erlangung und Aufrechterhaltung dieser Zertifizierung haben diese Unternehmen Zugang zu den größeren Automobilherstellern in Deutschland und der EU. Wenn diese Firmen die Vorschriften nicht einhalten, werden die Geschäftsmöglichkeiten weiterhin schwierig sein.
ForeNova ist ein agiles und flexibles MDR-Dienstleistungsunternehmen, das sich gut auf den KMU-Markt in Deutschland und der EU eingestellt hat. Ihr Preismodell, ihre Serviceleistungen und ihr Fachwissen übertreffen die Erwartungen ihrer Kunden und unterstützen gleichzeitig ein für diesen Markt konzipiertes Preismodell.