Deutschland 2024: VDA ISA 6.0 verbindlich, 9.500+ TISAX-Labels aktiv – Validato Regulations digitalisiert ISMS-Aufbau und TISAX-Assessment-Vorbereitun

Die globale Automobilindustrie befindet sich in einem beispiellosen Digitalisierungsschub. Vernetzte Fahrzeuge, Software-defined Cars, autonomes Fahren und komplexe internationale Lieferketten machen Informationssicherheit zum kritischen Wettbewerbsfaktor. Im Zentrum steht TISAX® (Trusted Information Security Assessment Exchange) – der Prüf- und Austauschmechanismus des VDA und der ENX Association, ohne den kein Zulieferer mehr an deutschen OEMs liefern kann.

Validato unterstützt mit dem Modul „Validato Regulations TISAX“ alle betroffenen Unternehmen beim strukturierten, digitalen und revisionssicheren Weg zum TISAX-Label.

Deutschland: OEM-Pflicht, VDA ISA 6.0 und der Druck auf 10.000+ Zulieferer

TISAX ist in Deutschland keine optionale Qualitätsaussage mehr – es ist die Marktzugangsvoraussetzung. Die Standardklausel in OEM-Lieferverträgen lautet: Der Lieferant muss ein gültiges TISAX-Label auf Assessment-Level [AL X] vorweisen und während der gesamten Vertragslaufzeit aufrechterhalten. Wer das Label nicht hat, verliert die Auftragsfähigkeit.

Am 1. April 2024 trat VDA ISA 6.0 in Kraft. Die wichtigsten Neuerungen:

• Neues Label „Vearfügbarkeit“: Erstmals können Zulieferer Erfüllung der Verfügbarkeitsanforderungen nachweisen – direkte Reaktion auf Ransomware-Bedrohungen in Just-in-Time-Lieferketten.
• 5 neue Controls für Incident- und Business Continuity Management: Notfallmanagement, BCM und Backup/Disaster Recovery werden zu Kernthemen.
• OT und Industrie 4.0: ISA 6.0 integriert erstmals Anforderungen der ISA/IEC 62443-2-1 für Operational Technology (OT) und Industrial Automation Control Systems (IACS).
• Neue Label-Struktur: „Vertraulich“, „Hohe Verfügbarkeit“, „Streng vertraulich“ und „Sehr hohe Verfügbarkeit“ ersetzen die bisherigen Prüfziele.

“TISAX ist faktisch Pflicht für jeden Lieferanten der deutschen Automobilindustrie, der mit vertraulichen Daten arbeitet. Bei Nicht-Erfüllung verliert der Lieferant die Auftragsfähigkeit.”
– VisionCompliance, Mai 2026

Die drei Assessment-Level: Von der Selbstauskunft bis zum Vor-Ort-Audit

Für alle Level gilt ein 6-stufiges Reifegradmodell. Für die Label-Vergabe muss Reifegrad 3 in allen anwendbaren Anforderungen erreicht werden:

• Assessment Level 1 (AL 1): Selbstauskunft ohne externes Audit. Nur noch für wenige nicht-kritische Anwendungsfälle relevant – ca. 10 % der aktiven Labels.
• Assessment Level 2 (AL 2): Plausibilisierung durch akkreditierten Prüfdienstleister (TÜV, DEKRA, DQS, BSI, CIS), typischerweise remote. Marktstandard – ca. 65 % aller aktiven Labels. Kosten: 8.000–15.000 Euro.
• Assessment Level 3 (AL 3): Vollständige Vor-Ort-Prüfung. Für hochsensible Daten (Prototypen, Produktionsgeheimnisse). Ca. 25 % aller aktiven Labels. Kosten: 18.000–35.000 Euro plus Reise.

Die vier TISAX-Module: Pflicht und optionale Add-ons je OEM-Anforderung

• Informationssicherheit (Pflicht): über 80 Controls in 13 Bereichen – Sicherheitsrichtlinien, Risikomanagement, Zugangskontrollen, IT-Sicherheit, BCM, Incident Management und OT-Sicherheit.
• Prototypenschutz (optional): Für Unternehmen mit Fahrzeugprototypen, Vorabmodellen oder streng vertraulichen Entwicklungsdaten. Physische Sicherheit, Testfahrzeuge, Geheimhaltung bei Presseveranstaltungen.
• Datenschutz (optional): Für Unternehmen, die personenbezogene Daten im OEM-Auftrag verarbeiten. VVT, DSFA, AVV, Datentransfers in Drittländer.
• Connect to Customer (optional): Für Software-Lieferanten und IT-Dienstleister mit direkter digitaler Verbindung zum OEM oder Endkunden.

Japan und USA: TISAX als globaler Standard der Automobilindustrie

• Japan: Zulieferer für deutsche OEM-Standorte in Deutschland, China oder Mexiko benötigen zunehmend TISAX-Labels. Japanische Prüfdienstleister sind bei der ENX Association akkreditiert.
• USA: BMW Spartanburg, Mercedes Alabama, Volkswagen Chattanooga verlangen TISAX-Konformität von Zulieferern. Über 1.500 TISAX-Labels bei nordamerikanischen Unternehmen registriert.
• China: Chinesische Zulieferer, die für europäische OEMs exportieren, müssen das TISAX-Label vorweisen. ENX-akkreditierte Prüfer in Shanghai und Peking aktiv.

Die TISAX-Pflicht wird in der Lieferkette weitergegeben: Tier-2- und Tier-3-Unternehmen werden zunehmend TISAX-pflichtig – +18 % aktive Labels jährlich.

Deutschland und Europa: TISAX, ISO 27001 und NIS2 als integriertes Framework

• ISO 27001 ↔ TISAX: Ca. 75 % der ISO-27001-Controls decken sich mit TISAX-ISA-6.0-Anforderungen. Integrierte Implementierung spart 30–50 % der separaten Aufwände.
• NIS2 (NIS2UmsuCG seit Dezember 2025): TISAX-ISA-6.0-Anforderungen decken sich weitgehend mit NIS2-Risikomanagementmassnahmen nach § 30 BSIG.
• UN R155 / UN R156: Die UN-ECE-Regularien für Cybersecurity (seit Juli 2022 für Neufahrzeuge in der EU verpflichtend) erhöhen Anforderungen an die gesamte Lieferkette – TISAX ergänzt sich komplementär.

Validato Regulations TISAX: Die digitale Plattform für den strukturierten Weg zum ENX-Label

• VDA-ISA-6.0-Anforderungsmanagement: Alle Controls in den vier Modulen; strukturierte Zuweisung zu Bereichen und Personen; automatische Updates bei Katalogüberarbeitungen.
• Self-Assessment-Workflow: Geführter digitaler Workflow für das VDA-ISA-Self-Assessment; 6-stufige Reifegradbewertung; automatische Identifikation von Controls unter Reifegrad 3.
• Gap-Analyse und Massnahmenplanung: Abgleich Ist-Reifegrad vs. Ziel-Assessment-Level (AL 1/2/3); priorisierte Massnahmenpläne; ISO-27001-Mappingfunktion für Unternehmen mit bestehendem ISMS.
• Assessment-Level-Management: Scope-Konfiguration gemäss OEM-Anforderungen; parallele Verwaltung mehrerer Scopes für verschiedene OEM-Kunden; ENX-Portal-Vorbereitung.
• Modul-Management Prototypenschutz / Datenschutz: Dedizierte Workflows; Datenschutz direkt verknüpft mit ISO-27701-Modul für integriertes PIMS.
• OT/ICS-Sicherheitsmanagement: Unterstützung bei Einbeziehung von OT/IACS-Systemen ins Risikomanagement gemäss ISA/IEC 62443-2-1.
• Incident Management / BCM: Verwaltung der neuen ISA-6.0-Controls; strukturierter Notfallplan-Workflow mit Übungsprotokollen und Wirksamkeitsnachweisen.
• ENX-Label-Tracking: Überwachung der 3-jährigen Gültigkeitsdauer; frühzeitige Erinnerungen; Management mehrerer Labels für verschiedene Standorte.
• Multi-Standort- und Multi-OEM-Management: Parallele Verwaltung für Deutschland, Japan, USA und verschiedene OEM-Kunden in einer Plattform.
• Revisionssicherer Audit-Trail: Zeitgestempelt, bereit für Prüfdienstleister-Audits und ENX-Überprüfungen.

Zahlen, Daten, Fakten: TISAX in Deutschland und der globalen Automobilindustrie

• 2017: VDA und ENX Association etablieren TISAX als Branchenstandard der Automobilindustrie.
• April 2024: VDA ISA 6.0 verbindlich für alle neuen TISAX-Assessments; Übergangsphase für ISA-5.1-Verfahren bis 30. September 2024.
• Über 9.500 aktive TISAX-Labels im ENX-Portal 2025 – +18 % jährlich. Ca. 65 % auf AL 2, 25 % auf AL 3, 10 % auf AL 1.
• VDA ISA 6.0: Über 80 Controls in 13 Bereichen – plus 5 neue Controls für Incident- und Business Continuity Management.
• 3 Jahre Gültigkeit: Jedes TISAX-Label muss durch ein Folgeassessment erneuert werden.
• 8–12 Wochen typische Vorbereitungszeit für KMU ohne ISO-27001-Vorzertifizierung; mit ISMS: 6–8 Wochen; mit ISMS-Plattform: bis zu 50 % Zeitersparnis.
• AL-2-Kosten: 8.000–15.000 Euro. AL-3-Kosten: 18.000–35.000 Euro plus Reise. 75 % Übereinstimmung mit ISO 27001 – integrierte Implementierung spart 30–50 % der separaten Aufwände.

“TISAX ist mehr als nur ein Zertifizierungslabel. Es ist ein strategisches Instrument, das Unternehmen hilft, ihre Informationssicherheit strukturiert aufzubauen und Vertrauen bei Partnern zu schaffen.”
– Proliance.ai, April 2026