Kosten für TISAX®

Hier erfahren Sie transparent und detailliert, was die Einführung von TISAX® kosten wird.

Damit Sie eine realistische Vorstellung von den Kosten bekommen,
haben wir in unseren Referenzprojekten konkrete Beträge ergänzt:

Zusammenfassung: Was kostet wie viel?

In Summe müssen Sie mit externen Beratungskosten zwischen 24.000 und 65.000 EUR für den gesamten Begleitungsprozess rechnen, aufgeteilt wie folgt:

  • Scope-Festlegung, GAP-Analyse, Festlegung des Zielzustandes 15% 15%
  • Erstellung Ihres individuellen ISMS mit allen notwendigen Dokumenten 40% 40%
  • Unterstützung bei der Maßnahmenumsetzung und Prüfung der Doku 30% 30%
  • Vorbereitung des externen Audits 15% 15%

Das sind die Kostentreiber

| Anzahl Standorte

| Assessment Level und Prüfziele

| Unternehmensstruktur

| Multi-Language ISMS

| Stand der Dokumentation
  (ISMS vorhanden ja/nein)

Mehr Details? Dann scrollen Sie weiter

Short story long…

Die Frage zu Kosten und Aufwänden im Rahmen der Einführung von TISAX® bekommen wir meist immer im ersten Gespräch gestellt.

Wir sind der Meinung, dass wir Ihnen als Entscheider unbedingt und unmittelbar die Möglichkeit einer validen Einschätzung zu Aufwand, Kosten und Zeit geben müssen. Aus Gründen der Fairness, aber auch um Ihnen Planbarkeit zu ermöglichen.

Teil unserer Philosophie ist es, immer transparent, offen und ehrlich mit Ihnen umzugehen. Deshalb teilen wir auf unserer Webseite detaillierte Informationen, die auf unserer Projekterfahrung basieren.

Wir zeigen Ihnen auf, in welchen Bereichen welche Arten von Kosten anfallen (können) und wie hoch diese sein können. “Können”, weil jedes Projekt abhängig von den Gegebenheiten und Anforderungen unterschiedlich ist.

Die Aufwände lassen sich in fünf unterschiedliche Gruppen teilen:

1. Die Projektphase

2. Erfüllung von Voraussetzungen für die Prüfung durch Umsetzung von Maßnahmen

3. Durchführung der Prüfung

4. Aufrechterhaltung des Betriebes und Weiterentwicklung der Informationssicherheit

5. Erneute Prüfung nach 3 Jahren

Die Projektphase 

Die Projektphase ist übergeordnet zu betrachten und zieht sich von Kickoff bis zum Tag der TISAX®-Prüfung. Unsere Zusammenarbeit beschränkt sich hier natürlich nicht nur auf die Beratung – wir setzen gemeinsam mit Ihnen (sofern gewünscht) die Maßnahmen um.

Der Löwenanteil der Beratungs- und Projektleistung entfällt auf die Erstellung Ihres ISMS, die Implementierung von Prozessen, die Definition von Maßnahmen und die Schulung Ihrer Mitarbeiter.

In Summe müssen Sie mit Kosten zwischen 24.000 und 65.000 EUR (1 Standort, normale Komplexität) für den gesamten Begleitungsprozess rechnen.

Die Aufwände hängen vor allem davon ab, ob und wie Sie bereits Prozesse im Unternehmen dokumentiert haben und/oder systemgestützt umsetzen. Auch eine relevante Größe ist, in wie weit sich Ihre Organisation darauf einlässt und am gemeinsamen Ziel der „sicheren Informationen“ mitarbeitet.

Ist bei Ihnen bereits ein ISMS (bspw. Im Rahmen einer vorhandenen ISO 27001-Zertifizierung) eingeführt, reduziert sich der Aufwand. Haben Sie einen Datenschutzbeauftragten und/oder einen Informationssicherheitsbeauftragten im Unternehmen? Dieser kann Aufgaben in der Dokumentation oder Maßnahmenumsetzung in-sourcen und somit externe Kosten reduzieren. 

Zeitdauer

Für diesen Baustein, der die Grundlage für Ihr Projekt ist, benötigen wir zwischen 6 und 18 Monaten (der Durchschnitt liegt deutlich unter 9 Monaten).

Aufwand

Ihr interner Aufwand hängt von vielen Faktoren ab und ist schwer zu schätzen. Rechnen Sie am einfachsten unsere geplanten Beratertage mal drei, dann sind Sie mit ihren internen Planungen auf der sicheren Seite.

Erfüllung von Voraussetzungen für die Prüfung durch Umsetzung von Maßnahmen

Im Laufe der TISAX®-Einführung wird sich bei Ihnen, wie bei den meisten unserer Kundinnen und Kunden herausstellen, dass neue, geänderte und optimierte Prozesse und Dokumentationsanforderungen gewisse Investitionen in ihrer Umsetzung erfordern.

Was genau bei Ihnen zu tun ist, erarbeiten wir gemeinsam in einem Maßnahmenplan im Rahmen Ihres Projektes. 

Wir haben einige Beispiele für Sie zusammengetragen. Gerne können Sie sich bei unseren Referenzprojekten umsehen – dort finden Sie Praxisbeispiele für notwendige Investitionen.

  • Bauliche Maßnahmen zur physischen Sicherheit (Zutrittskontrollsysteme, Alarmanlagen, Zustandsüberwachung in der Versorgungstechnik, Videoüberwachung, Sichtschutzanlagen, Fenster und/oder Türen, Schaffung neuer Räumlichkeiten, etc.) 
  • Anschaffung von IT-Equipment (neue Server, neue Clients, Sichtschutzblenden, Dongles, neue Netzwerk-Infrastruktur, etc.)
  • Anschaffung von neuen Softwarelizenzen und Einführung neuer Software (bspw. Mobile Device Management, Verschlüsselungssoftware, Anti-Viren-Software, Firewalls, Risikomanagement-Systeme, etc.) 
  • Personal (beispielsweise die Anstellung eines Informationssicherheitsbeauftragten oder Verstärkung der IT)

Die Kosten für diese Punkte sind höchst individuell und von den Gegebenheiten in Ihrem Unternehmen abhängig. Bei fraglicher Notwendigkeit, die durchaus im Rahmen einer Reifegradbewertung aufkommen kann, geben wir gerne Empfehlungen aus Basis unserer bisherigen Projekterfahrung oder fragen direkt bei der ENX für Sie nach.

Durchführung der prüfung

Vor Ihrer eigentlichen Prüfung bereiten wir Sie vor. Dies ist unerlässlich, damit in der externen Prüfung alles “rund” läuft und Sie ohne größere Abweichungen das Label erhalten. 

Die Vorbereitung umfasst die Durchführung mindestens einen internen Audits und, sofern vom Prüfer ebenfalls verlangt bzw. vom Assessment Level vorgegeben, eine detaillierte Ortsbegehung der im Scope befindlichen Flächen.

Weiterhin bereiten wir alle Ihre MitarbeiterInnen, die an der Prüfung teilnehmen – selbstverständlich auch Sie – auf die Prüfungssituation mit einem detaillierten Briefing vor. 

Selbstverständlich begleiten wir Sie in Ihrer Prüfung mit dem Prüfdienstleister und stehen mit Rat und Tat zur Seite.

Dieser Aufwand schlägt i.d.R. mit 4.000 bis 12.000 EUR zu Buche und hängt vor allem an der Anzahl der zu prüfenden Lokationen und Prüfungstage ab.

Für unsere Kalkulation rechnen wir je Standort und Prüfungstag mit ca. 4.000 EUR an Beratungskosten.

Die Kosten für die eigentliche Prüfung variieren je nach Scope, Assessment-Level und Anzahl der Standorte. Meist liegen sie im Bereich von 4.000 bis 20.000 EUR und sind direkt an den Prüfdienstleister [externer Link] zu entrichten.

Die ENX als verwaltende Organisation verlangt zusätzlich einmalig pro Zertifizierungsvorgang (alle 3 Jahre) eine Gebühr in Höhe von 405 EUR pro Standort in einem Scope.

Sie möchten erfahren, wie der Prüfungsprozess im Detail abläuft? Das haben wir hier für Sie beschrieben.

Zeitdauer

Die gesamte Prüfungsvorbereitung, Durchführung und Nachbereitung rechnen Sie bitte mit einem Zeitraum von 4 bis 8 Wochen.

Aufwand

Ihr interner Aufwand liegt, je nach Anzahl der Standorte und Spezifika bei 10 bis 30 Tagen.

Aufrechterhaltung des betriebes und weiterentwicklung der informationssicherheit

Da die TISAX®-Prüfung alle drei Jahre vollständig wiederholt werden muss, ist dringend anzuraten, die teils neuen Prozesse, Methoden und Dokumentationen tief in den Arbeitsalltag zu integrieren und sicherzustellen, dass diese auch in der Organisation und von der Leitung gelebt werden. 

Sichergestellt wird dies einerseits durch formelle und prozessuale Rahmenbedingungen, vorgegeben durch das ISMS, andererseits aber auch durch eine entsprechende personelle Besetzung einer Schlüsselposition: Dem Informations-Sicherheitsbeauftragten – kurz ISB.

Die Kosten für einen ISB belaufen sich, je nach Größe und Komplexität Ihrer Organisation und des gewünschten Aufgabenprofils auf 4.000 bis 20.000 EUR pro Jahr, wenn die ISB-Rolle extern wahrgenommen wird. In größeren Organisation empfiehlt es sich, den ISB als Vollzeitstelle intern zu besetzen. 

Viele unserer Kundinnen und Kunden nehmen unsere ISB-Dienstleistungen in Anspruch. Die Kosten dafür liegen für einen Fixbetrag zwischen 2.000 EUR (Kleinstunternehmen ohne inkludierte Stunden) und 20.000 EUR (KMU mit Inklusivstunden) pro Jahr. 

Hinzu kommen die variablen Aufwände (berechnet nach Stunden) für das Incident Management, die Pflege und Weiterentwicklung des ISMS, das Bereitstellen eines Servicepoints für MitarbeiterInnen, Betrieb von Hotline- und Ticketsystem bei größeren Unternehmen, Schulung von MitarbeiterInnen, etc.

Ebenfalls wichtig für den Betrieb des ISMS und damit die Aufrechterhaltung des TISAX®-Labels sind regelmäßige interne Audits durch den ISB und ein abschließendes jährliches Management-Review.

Hier finden Sie eine detaillierte Beschreibung der ISB-Rolle, die wir für Sie angefertigt haben.

Erneute Prüfung nach 3 Jahren

Die TISAX®-Prüfung muss alle drei Jahre erneut durchgeführt werden, damit das Label erhalten bleibt. Dafür ist eine erneute Bewertung des Standes der Informationssicherheit anhand des VDA ISA Kataloges, den Management-Reviews und Berichten des ISB notwendig. Auch muss das ISMS, sofern nicht ohnehin durch den ISB kontinuierlich geschehen, auf Aktualität und Gültigkeit geprüft werden.

Die Vorbereitung der externen Prüfung verläuft analog der Erstprüfung mit entsprechenden Briefings der beteiligten Personen.

Die Beratungskosten für die Vorbereitung der externen Prüfung sind abhängig von den Arbeitsergebnissen und Dokumentationen des ISB und dem Aufwand, der am Ende für die Prüfungsvorbereitung entsteht.

Unsere Kunden haben zwischen 2.000 EUR (kurze Vorbereitung der Prüfung) oder auch über 20.000 EUR (vollständiges Review des ISMS, mehrere interne Audits nötig, lückenhafte Dokumentation der letzten drei Jahre, fehlende Nachweise, etc.) dafür investiert.

Warnung vor unseriösen Pauschalangeboten

Uns ist durchaus bewusst, dass die Beträge, die wir hier transparent für Sie dargestellt haben, enorme Investitionen für Sie bedeuten. Wir wollen ehrlich sein: Wenn Sie TISAX nachhaltig einsetzen möchten oder müssen, werden Sie die Kosten nur durch Eigenleistungen reduzieren können.

Von Pauschal- oder Monatsabonnementangeboten, wie Sie im Internet zu finden sind, die Ihnen das TISAX-Label für 300 EUR monatlich oder mit einem Vorlagenpaket für wenige Tausend Euro versprechen, sind nicht seriös.

Die Entwicklung, Implementierung und der Betrieb eines ISMS beeinflusst viele Prozesse Ihres Unternehmens und bedarf einer umfassenden und professionellen Betreuung. Diese kann nur in den wenigsten Fällen durch vereinfachte Monatsabos oder vorbefüllte Dokumentenportale ersetzt werden.

Aus den vielen Gesprächen mit erfahrenen Prüfern, die wir immer wieder in den von uns begleiteten Audits treffen, hören wir heraus, dass den Kunden TISAX mit einfachsten und schnellsten Mitteln versprochen wird, am Ende aber meist im Audit dann das „böse Erwachen“ folgt.

Einfach nur eine webbasierte Dokumentensammlung zu haben bedeutet eben nicht, Informationssicherheit zu leben und zu gewährleisten. Und genau dafür ist TISAX gemacht worden. Die Automobilhersteller müssen ihren Lieferanten und Dienstleistern zu 100% vertrauen können. Würden Sie jemandem Ihr Vertrauen schenken (und Ihre Daten geben), wenn Sie wüssten, dass damit lax umgegangen wird?

Genug über TISAX® gelesen?

wir rufen Sie zurück! 

 

Oder machen Sie gleich unseren kostenlosen Quick-Check zu
VDA ISA und
TISAX®:

Hier sind wir

Abakus Management &
Consulting GmbH
Plieninger Str. 44
70567 Stuttgart

Telefon

+49 711 715 300 21