Wer in der Automobilbranche tätig ist und TISAX-Assessments plant, arbeitet seit dem 1. April 2024 ausschließlich nach der neuen VDA ISA Version 6.0. Der VDA hat damit den bisherigen Katalog ISA 5.1 offiziell abgelöst — alle neuen Assessments müssen nach ISA 6.0 durchgeführt werden. Bestehende Assessments nach ISA 5 behalten ihre Gültigkeit bis zum Ablauf der dreijährigen Zertifikatslaufzeit. Wer jetzt ein Erst-Assessment oder ein Re-Assessment angeht, muss sich auf die Neuerungen einstellen.
Was hat sich wirklich verändert? Und was kostet ein TISAX-Assessment nach ISA 6.0 für ein mittelständisches Unternehmen konkret? Dieser Artikel gibt einen strukturierten Überblick.
Der neue Fokus: Verfügbarkeit und Resilienz
Der grundlegende Schwerpunkt von ISA 6.0 hat sich verschoben. Während ISA 5.1 stark auf Vertraulichkeit und klassische Informationssicherheit ausgerichtet war, stellt die neue Version IT-Verfügbarkeit und Resilienz gleichwertig daneben. Das schließt ausdrücklich auch OT-Umgebungen (Operational Technology) ein — relevant für alle Unternehmen mit vernetzten Fertigungs- oder Steuerungsanlagen.
Dahinter steckt eine Reaktion auf die Realität: Ransomware-Angriffe haben in den letzten Jahren gezeigt, dass der größte Schaden nicht aus Datenlecks entsteht, sondern aus Produktionsausfällen. Wenn ein Automobilzulieferer tagelang nicht liefern kann, weil seine Systeme verschlüsselt sind, ist das ein Lieferkettenproblem — nicht nur ein IT-Problem. ISA 6.0 adressiert genau das.
Die 5 neuen Controls im Detail
1. Software-Freigabe (Control 3.4)
Jede eingesetzte Software — ob intern entwickelt oder zugekauft — muss einem strukturierten Freigabeprozess durchlaufen. Das umfasst die Prüfung auf bekannte Schwachstellen, die Bewertung des Sicherheitsniveaus des Herstellers und die Dokumentation der Freigabeentscheidung. Für viele KMU ist das ein echter Aufwand: Wer bisher Software nach dem Prinzip „wird schon passen" eingesetzt hat, braucht jetzt einen nachvollziehbaren Prozess. Besonders relevant für Unternehmen, die Fremdsoftware in sicherheitsrelevanten Prozessen einsetzen oder selbst Software entwickeln.
2. Management von Sicherheitsereignissen (Control 6.2)
Sicherheitsvorfälle müssen nicht nur erkannt, sondern systematisch behandelt werden. ISA 6.0 fordert einen definierten Prozess für die Erkennung, Klassifizierung, Analyse und Behebung von Sicherheitsereignissen — inklusive Dokumentation und Lessons-Learned-Mechanismus. Das ist die TISAX-Antwort auf die gleiche Anforderung, die NIS2 im regulatorischen Bereich stellt: Wer keinen Incident-Response-Prozess hat, kann diesen Control nicht erfüllen.
3. Umgang mit Krisensituationen (Control 6.3)
Über den normalen Incident Response hinaus verlangt ISA 6.0 einen eigenständigen Krisenmanagementsatz. Was passiert, wenn ein Angriff das gesamte Unternehmen lahmlegt? Wer entscheidet was, wer kommuniziert nach außen, wer informiert den OEM-Auftraggeber? Krisenmanagement-Pläne müssen dokumentiert, regelmäßig geübt und aktuell gehalten werden. Theoretische Dokumente, die nie getestet wurden, reichen nicht.
4. IT-Service-Continuity-Planung (Control 2.8)
Dieser Control geht über klassisches Backup hinaus: Unternehmen müssen nachweisen, dass sie ihre kritischen IT-Dienste im Krisenfall in einem definierten Zeitrahmen wiederherstellen können. Das erfordert eine Analyse, welche Systeme und Dienste geschäftskritisch sind (Business Impact Analysis), und Wiederanlaufpläne, die tatsächlich funktionieren. Wer seinen Recovery-Plan noch nie getestet hat, sollte damit anfangen — bevor der Auditor kommt.
5. Backup und Recovery (Control 2.9)
Backup ist bekannt, aber ISA 6.0 konkretisiert die Anforderungen erheblich. Es reicht nicht, irgendwie Backups zu erstellen. Gefordert sind: definierte Backup-Zyklen, Verschlüsselung der Backup-Daten, physische oder logische Trennung vom Produktivsystem, regelmäßige Wiederherstellungstests und Dokumentation. Ein Backup, das nicht getestet wurde, ist kein Backup — das ist die Kernaussage dieses Controls.
Was bleibt gleich — und was profitiert von ISO 27001?
ISA 6.0 hat rationalisiert und gestrafft: Assessment-Prozesse wurden vereinfacht, redundante Anforderungen entfernt. Der Gesamtkatalog ist strukturell übersichtlicher als ISA 5.1. Das ist eine gute Nachricht für Unternehmen, die ein Re-Assessment angehen.
Besonders relevant: Wer bereits nach ISO 27001 zertifiziert ist, deckt nach Schätzungen von Auditoren rund 60–70% der TISAX-Anforderungen bereits ab. ISO 27001 liefert das ISMS-Fundament, die Risikobewertung, die Dokumentationsstruktur und viele technische Controls. Die TISAX-spezifischen Ergänzungen — insbesondere der Prototypenschutz, die OEM-spezifischen Anforderungen und die neuen ISA 6.0 Controls — bauen darauf auf.
Für Unternehmen ohne ISMS-Vorarbeit ist der Aufwand entsprechend höher: Alles muss von Grund auf aufgebaut werden.
Kosten für ein TISAX-Assessment (1 Standort, KMU)
Was kostet ein TISAX-Assessment nach ISA 6.0 konkret? Die folgende Tabelle gibt Richtwerte für ein KMU mit einem Standort, basierend auf aktuellen Marktpreisen und Erfahrungswerten aus der Beratungspraxis:
| Kostenblock | Richtwert |
|---|---|
| ENX-Registrierung (einmalig, 3 Jahre) | 405 € |
| Audit-Gebühren Assessment Level 2 (AL2) | ca. 3.500 € |
| Audit-Gebühren Assessment Level 3 (AL3) | ca. 6.000–7.000 € |
| Aufschlag Prototypenschutz | ca. 1.000–2.000 € |
| ISMS-Aufbau & externe Beratung | 10.000–35.000 € |
| Gesamtkosten (Richtwert) | 15.000–50.000 € |
Die Spanne ist groß, weil sie stark von der Ausgangslage abhängt. Ein Unternehmen mit ISO-27001-Zertifizierung und gut dokumentiertem ISMS zahlt deutlich weniger als ein Unternehmen, das bei null anfängt. Die ENX-Registrierungsgebühr gilt für drei Jahre — nach Ablauf des TISAX-Labels ist ein Re-Assessment erforderlich.
Realistischer Zeitrahmen: Was ist zu erwarten?
Wie lange dauert eine TISAX-Erstzertifizierung nach ISA 6.0? Auch das hängt stark von der Ausgangslage ab:
- Mit bestehendem ISO 27001 ISMS: 3–6 Monate (Lückenanalyse, TISAX-spezifische Ergänzungen, Assessment)
- Grundlegende IT-Sicherheit vorhanden, kein formales ISMS: 6–12 Monate
- Ohne nennenswerte Vorarbeit: 12–18 Monate
Wichtig: Die ENX Association setzt eine maximale Dauer von 9 Monaten zwischen Registrierung beim ENX-Portal und dem Abschluss des Assessments. Wer sich registriert und dann zu lange wartet, muss unter Umständen neu starten. Planen Sie daher realistisch und starten Sie nicht mit der Registrierung, bevor die Vorbereitungen konkret laufen.
Für Zulieferer, die von einem OEM unter Zeitdruck gesetzt werden: DNV und andere akkreditierte Auditoren empfehlen, frühzeitig einen Prüftermin zu reservieren — gute Auditoren haben Wartelisten von mehreren Monaten.
Wer ist der richtige Auditor?
TISAX-Assessments dürfen ausschließlich von ENX-akkreditierten Auditoren durchgeführt werden. Die Liste akkreditierter Prüforganisationen ist auf der ENX-Website einsehbar. Bekannte Anbieter sind TÜV Rheinland, TÜV SÜD, DNV, Bureau Veritas und weitere. Ein Vergleich der Angebote lohnt sich — sowohl preislich als auch hinsichtlich Terminerreichbarkeit und Spezialisierung auf Ihre Branche.
Ein häufiger Fehler: Unternehmen beauftragen einen Berater zur Vorbereitung und denselben für das Assessment. Das ist nicht erlaubt — Beratung und Audit müssen strikt getrennt sein.
Fazit: ISA 6.0 erhöht die Messlatte — aber nicht unbezahlbar
VDA ISA 6.0 ist kein radikaler Neustart, aber eine spürbare Verschärfung insbesondere bei Verfügbarkeit, Resilienz und Krisenmanagement. Für Automobilzulieferer, die auf TISAX angewiesen sind, führt kein Weg daran vorbei. Die gute Nachricht: Wer bereits in ISO 27001 oder eine solide IT-Sicherheitsstruktur investiert hat, hat den größten Teil des Weges schon zurückgelegt. Die neuen Controls bauen auf bestehenden Strukturen auf — sie erfordern Ergänzungen, keine Revolution.
TISAX® 6.0 Assessment vorbereiten — mit Erfahrung aus der Praxis
Als TISAX-erfahrener CISO begleite ich Ihren Betrieb von der Gap-Analyse bis zur erfolgreichen Auditdurchführung — effizient, strukturiert und ohne unnötigen Overhead. Starten Sie mit einem kostenlosen Erstgespräch.
Jetzt TISAX-Beratung anfragen