TISAX 2026: Neue Anforderungen und wie Sie Ihr Büro vorbereiten

Was ist TISAX und warum ist es wichtig?

TISAX (Trusted Information Security Assessment Exchange) ist der Standard für Informationssicherheit in der Automobilindustrie. Für Zulieferer und Dienstleister im Automotive-Bereich ist eine TISAX-Zertifizierung oft Voraussetzung für die Zusammenarbeit mit großen OEMs wie VW, BMW, Mercedes oder Audi.

Die Zertifizierung erfolgt in verschiedenen Assessment-Levels:

• AL1: Basislevel für niedrige Schutzbedarfe
• AL2: Standardlevel mit erhöhten Anforderungen (häufigste Stufe)
• AL3: Höchstes Level mit sehr hohen Sicherheitsanforderungen (für R&D, Prototypenbau)

Neue Anforderungen in 2026

Mit dem Update des VDA ISA-Katalogs (Version 6.0) haben sich einige wichtige Anforderungen verschärft, insbesondere im Bereich der physischen Sicherheit:

1. Verstärkte Perimeter-Sicherheit

Die Überwachung des Gebäudeperimeters wurde verschärft. Erforderlich sind nun:

• Lückenlose Videoüberwachung aller Zugangsbereiche mit mindestens 30 Tagen Speicherfrist
• Bewegungsmelder an allen kritischen Zugängen
• Dokumentation aller Zugangsversuche (auch gescheiterte)
• Regelmäßige Überprüfung der Aufzeichnungen durch Sicherheitsbeauftragte

2. Zonierung und Zugangskontrollen

Die Anforderungen an die Zonierung wurden präzisiert:

• Öffentliche Zone: Empfang, Besprechungsräume für externe Gäste
• Allgemeine Zone: Büros, Sozialräume für Mitarbeiter
• Sensible Zone: Entwicklungsbereiche, Server-Räume, Prototypenwerkstätten

Jede Zone benötigt nun separate Zugangskontrollsysteme mit Protokollierung.

3. Secure Clean Desk Policy

Für AL2 und AL3 ist jetzt eine striktere Clean-Desk-Policy vorgeschrieben:

• Verschließbare Schränke oder Schließfächer für alle Mitarbeiter
• Automatische Bildschirmsperre nach 5 Minuten Inaktivität
• Verbot von sensiblen Dokumenten auf Schreibtischen außerhalb der Arbeitszeit
• Regelmäßige Kontrollen durch den Datenschutzbeauftragten

5 Schritte zur erfolgreichen Vorbereitung

Schritt 1: Gap-Analyse durchführen

Zunächst sollten Sie den Ist-Zustand Ihrer Räumlichkeiten dokumentieren:

• Welche Zugangskontrollsysteme sind bereits vorhanden?
• Wie ist die aktuelle Videoüberwachung aufgebaut?
• Gibt es bereits eine Zonierung?
• Welche Türen erfüllen die Anforderungen an Einbruchschutz (RC2)?

Vergleichen Sie den Ist-Zustand mit den Anforderungen Ihres Ziel-Assessment-Levels.

Schritt 2: Physische Sicherheit nachrüsten

Die wichtigsten baulichen Maßnahmen:

• Türen: Installation von RC2-zertifizierten Türen für sensible Bereiche (ca. 1.500-3.000 € pro Tür)
• CCTV: Professionelles Videoüberwachungssystem mit Netzwerkrekorder und Langzeitspeicher (ab 3.000 €)
• Zutrittskontrolle: Kartenlese-System oder biometrische Systeme (2.000-5.000 € pro Tür)
• Schließfächer: Abschließbare Schränke für alle Mitarbeiter mit Zugang zu sensiblen Daten

Schritt 3: IT-Infrastruktur absichern

Separate Server-Räume mit erhöhter Sicherheit:

• Klimatisierung und Brandschutz
• Redundante Stromversorgung (USV)
• Separater Zugang mit Protokollierung
• Regelmäßige Wartung und Überwachung

Schritt 4: Dokumentation erstellen

Für das Audit benötigen Sie umfassende Dokumentation:

• Zonierungsplan mit Kennzeichnung aller Bereiche
• Zugangsberechtigungsmatrix
• Technische Dokumentation aller Sicherheitssysteme
• Prozessbeschreibungen (z.B. Besuchermanagement)
• Schulungsunterlagen für Mitarbeiter

Schritt 5: Mitarbeiter schulen

Selbst die beste Infrastruktur nützt nichts ohne geschulte Mitarbeiter:

• Sensibilisierung für Informationssicherheit
• Schulung zu Clean-Desk-Policy
• Besuchermanagement-Prozesse
• Verhalten im Notfall

Häufige Stolpersteine beim TISAX-Audit

Aus unserer Erfahrung mit Unternehmen wie Intellias kennen wir die typischen Probleme:

• Lückenhafte Protokollierung: Zugangskontrollen ohne vollständige Logs
• Fehlende Zonentrennung: Keine klare Abgrenzung zwischen öffentlichen und sensiblen Bereichen
• Mangelhafte Videoüberwachung: Tote Winkel oder zu kurze Speicherdauer
• Inkonsistente Umsetzung: Sicherheitsrichtlinien existieren, werden aber nicht gelebt

Kosten und Zeitrahmen

Für die Vorbereitung auf TISAX AL2 sollten Sie einplanen:

• Kosten: 15.000-50.000 € je nach Objektgröße und Ausgangslage
• Zeitrahmen: 2-4 Monate von der Gap-Analyse bis zum Assessment
• Folgekosten: Jährliche Re-Assessments und laufende Wartung der Systeme

Fazit

Die TISAX-Zertifizierung 2026 stellt höhere Anforderungen an die physische Sicherheit. Mit einer strukturierten Vorbereitung und den richtigen Partnern ist die Zertifizierung jedoch gut zu bewältigen. Wichtig ist, frühzeitig zu starten und nicht erst kurz vor dem Audit mit der Umsetzung zu beginnen.

Bei Mirhof Facility Service haben wir bereits mehrere Unternehmen erfolgreich auf TISAX-Audits vorbereitet. Wir kennen die Anforderungen aus der Praxis und wissen, worauf es ankommt.

Что такое TISAX и почему это важно?

TISAX (Trusted Information Security Assessment Exchange) — это стандарт информационной безопасности для автомобильной промышленности. Для поставщиков и подрядчиков в automotive-секторе сертификация TISAX часто является обязательным условием сотрудничества с крупными OEM, такими как VW, BMW, Mercedes или Audi.

Сертификация проводится на различных уровнях:

• AL1: Базовый уровень для низких требований защиты
• AL2: Стандартный уровень с повышенными требованиями (наиболее распространенный)
• AL3: Высший уровень с очень строгими требованиями (для R&D, прототипирования)

Новые требования 2026 года

С обновлением каталога VDA ISA (версия 6.0) ужесточились некоторые важные требования, особенно в области физической безопасности:

1. Усиленная безопасность периметра

Контроль периметра здания был усилен. Теперь требуется:

• Непрерывное видеонаблюдение всех точек доступа с хранением записей минимум 30 дней
• Датчики движения на всех критических входах
• Документирование всех попыток доступа (включая неудачные)
• Регулярная проверка записей ответственным по безопасности

2. Зонирование и контроль доступа

Требования к зонированию были уточнены:

• Публичная зона: Ресепшн, переговорные для внешних гостей
• Общая зона: Офисы, социальные помещения для сотрудников
• Чувствительная зона: Зоны разработки, серверные, мастерские прототипов

Каждая зона теперь требует отдельной системы контроля доступа с протоколированием.

3. Политика Clean Desk

Для AL2 и AL3 теперь предписана более строгая политика чистого стола:

• Запираемые шкафы или локеры для всех сотрудников
• Автоматическая блокировка экрана после 5 минут неактивности
• Запрет конфиденциальных документов на столах вне рабочего времени
• Регулярные проверки ответственным по защите данных

5 шагов к успешной подготовке

Шаг 1: Провести gap-анализ

Сначала следует задокументировать текущее состояние помещений:

• Какие системы контроля доступа уже установлены?
• Как организовано видеонаблюдение?
• Есть ли уже зонирование?
• Какие двери соответствуют требованиям взломостойкости (RC2)?

Шаг 2: Модернизировать физическую безопасность

Основные строительные меры:

• Двери: Установка дверей с сертификатом RC2 для чувствительных зон (ок. 1.500-3.000 € за дверь)
• CCTV: Профессиональная система видеонаблюдения с сетевым рекордером (от 3.000 €)
• Контроль доступа: Карточная система или биометрия (2.000-5.000 € за дверь)
• Локеры: Запираемые шкафы для всех сотрудников

Шаг 3: Защитить IT-инфраструктуру

• Отдельные серверные комнаты с повышенной безопасностью
• Климат-контроль и пожарная защита
• Резервное питание (UPS)
• Отдельный доступ с протоколированием

Шаг 4: Создать документацию

• План зонирования
• Матрица прав доступа
• Техническая документация систем безопасности
• Описание процессов
• Материалы для обучения сотрудников

Шаг 5: Обучить сотрудников

• Повышение осведомленности об информационной безопасности
• Обучение политике чистого стола
• Процессы управления посетителями
• Действия в чрезвычайных ситуациях

Типичные проблемы при аудите TISAX

• Неполное протоколирование: Контроль доступа без полных логов
• Отсутствие разделения зон: Нет четкого разграничения между публичными и чувствительными зонами
• Недостаточное видеонаблюдение: Слепые зоны или слишком короткий период хранения
• Непоследовательная реализация: Политики существуют, но не применяются

Заключение

Сертификация TISAX 2026 предъявляет более высокие требования к физической безопасности. Однако при структурированной подготовке и правильных партнерах сертификацию можно успешно пройти.

В Mirhof Facility Service мы уже успешно подготовили несколько компаний к аудитам TISAX. Мы знаем требования на практике и понимаем, на что обратить внимание.

What is TISAX and Why is it Important?

TISAX (Trusted Information Security Assessment Exchange) is the information security standard for the automotive industry. For suppliers and service providers in the automotive sector, TISAX certification is often a prerequisite for collaboration with major OEMs like VW, BMW, Mercedes, or Audi.

Certification is conducted at different assessment levels:

• AL1: Basic level for low protection requirements
• AL2: Standard level with increased requirements (most common)
• AL3: Highest level with very high security requirements (for R&D, prototyping)

New Requirements in 2026

With the update of the VDA ISA catalog (Version 6.0), several important requirements have been tightened, particularly in physical security:

1. Enhanced Perimeter Security

Building perimeter surveillance has been strengthened. Now required:

• Comprehensive video surveillance of all access areas with at least 30 days retention
• Motion detectors at all critical access points
• Documentation of all access attempts (including failed ones)
• Regular review of recordings by security officers

2. Zoning and Access Controls

Zoning requirements have been clarified:

• Public Zone: Reception, meeting rooms for external guests
• General Zone: Offices, social areas for employees
• Sensitive Zone: Development areas, server rooms, prototype workshops

Each zone now requires separate access control systems with logging.

3. Secure Clean Desk Policy

A stricter clean desk policy is now mandated for AL2 and AL3:

• Lockable cabinets or lockers for all employees
• Automatic screen lock after 5 minutes of inactivity
• Prohibition of sensitive documents on desks outside working hours
• Regular checks by the data protection officer

5 Steps to Successful Preparation

Step 1: Conduct Gap Analysis

First, document the current state of your premises:

• What access control systems are already in place?
• How is the current video surveillance set up?
• Is there already zoning?
• Which doors meet burglar resistance requirements (RC2)?

Step 2: Upgrade Physical Security

Key construction measures:

• Doors: Installation of RC2-certified doors for sensitive areas (approx. €1,500-3,000 per door)
• CCTV: Professional video surveillance system with network recorder (from €3,000)
• Access Control: Card reader system or biometric systems (€2,000-5,000 per door)
• Lockers: Lockable cabinets for all employees

Step 3: Secure IT Infrastructure

• Separate server rooms with enhanced security
• Climate control and fire protection
• Redundant power supply (UPS)
• Separate access with logging

Step 4: Create Documentation

• Zoning plan with designation of all areas
• Access authorization matrix
• Technical documentation of all security systems
• Process descriptions
• Training materials for employees

Step 5: Train Employees

• Information security awareness
• Clean desk policy training
• Visitor management processes
• Emergency procedures

Common Pitfalls in TISAX Audits

• Incomplete logging: Access controls without complete logs
• Missing zone separation: No clear distinction between public and sensitive areas
• Inadequate video surveillance: Blind spots or retention period too short
• Inconsistent implementation: Security policies exist but are not practiced

Conclusion

TISAX certification 2026 places higher demands on physical security. However, with structured preparation and the right partners, certification is manageable.

At Mirhof Facility Service, we have successfully prepared several companies for TISAX audits. We know the requirements from practice and understand what matters.