ISO 27001 vs. TISAX: Unterschiede, Mapping und welcher Standard für Ihr Unternehmen passt
25. April 2026
21 Min. Lesezeit
Cyber Security
ISO/IEC 27001 und TISAX (Trusted Information Security Assessment Exchange) sind die beiden führenden Standards für Informationssicherheit in Deutschland. ISO 27001 ist ein international anerkannter, branchenübergreifender ISMS-Standard. TISAX ist ein Branchenstandard der ENX Association — verpflichtend für Lieferanten der deutschen Automobilindustrie. Beide teilen 70–80 % der Kontrollen, unterscheiden sich aber in Anwendungsbereich, Audit-Tiefe und Anerkennung. Eine Dual-Zertifizierung lohnt sich für Mittelständler, die sowohl in Automotive-Lieferketten als auch in andere regulierte Branchen liefern.
Kerntatsachen
ISO/IEC 27001 ist der internationale ISMS-Standard — branchenübergreifend, anerkannt nach NIS-2, vom BSI empfohlen.
TISAX (basierend auf VDA ISA — Verband der Automobilindustrie Information Security Assessment) ist Pflicht für Automotive-Zulieferer.
70–80 % Überschneidung der Kontrollen — eine ISO-27001-Implementierung deckt den Großteil der TISAX-Anforderungen ab.
Audit-Tiefe: TISAX kennt drei Assessment Level (AL1 / AL2 / AL3) — AL3 ist deutlich strenger als ISO 27001.
ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er wurde erstmals 2005 veröffentlicht und zuletzt 2022 überarbeitet (ISO/IEC 27001:2022). Er definiert Anforderungen an Aufbau, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS — einschließlich Risikomanagement, Sicherheitsmaßnahmen, Audits und Geschäftsleitungs-Verantwortung.
Artikel teilen
Brauchen Sie Unterstützung bei der Compliance?
Vereinbaren Sie ein kostenloses Erstgespräch
ISO 27001 verlangt:
Einen risikobasierten ISMS-Aufbau mit dokumentierter Anwendungserklärung (Statement of Applicability, SoA)
93 Sicherheitsmaßnahmen (Annex A) in vier Themen — organisatorisch, personenbezogen, physisch, technologisch
Externe Zertifizierung durch eine akkreditierte Zertifizierungsstelle (z. B. DEKRA, TÜV, BSI Group, DQS)
Drei-Jahres-Zertifikat mit jährlichen Überwachungs-Audits und einem Re-Zertifizierungs-Audit am Ende des Zyklus
Anwendungsbereich. ISO 27001 ist branchenagnostisch und gilt von Software-Startups über Produktionsbetriebe bis Banken. Sie ist anerkannte Grundlage für regulatorische Pflichten (DSGVO Art. 32, NIS-2 § 30 BSIG), wird vom BSI-Grundschutz als kompatibel ausgewiesen und ist häufige Voraussetzung in B2B-Ausschreibungen.
Was ist TISAX?
TISAX (Trusted Information Security Assessment Exchange) ist ein Branchenstandard für Informationssicherheit, der 2017 von der ENX Association im Auftrag des Verbands der Automobilindustrie (VDA) eingeführt wurde. TISAX-Audits basieren auf dem VDA ISA-Katalog (Information Security Assessment), der inhaltlich eng an ISO/IEC 27001 angelehnt ist — mit Erweiterungen für Prototypenschutz und Datenschutz.
TISAX-Anforderungen umfassen:
VDA ISA-Katalog — derzeit Version 6.0.x — mit ca. 110 Kontrollen über drei Module: Information Security, Prototype Protection und Data Protection
Drei Assessment Levels:
AL1 — Selbstauskunft, kein vor-Ort-Audit (selten genutzt)
AL2 — Plausibilitätsprüfung der Selbstauskunft, Remote-Audit
AL3 — On-site-Audit mit erweiterter Prüftiefe; Pflicht für höchste Schutzklasse
Drei-Jahres-Geltung des TISAX-Labels nach erfolgreichem Audit; danach erneute Bewertung erforderlich
Audit-Durchführung durch TISAX-zugelassene Prüfdienstleister (z. B. DEKRA, DQS, KPMG, BSI Group)
Anwendungsbereich. TISAX ist Pflicht für Lieferanten der deutschen Automobilhersteller (BMW, Mercedes-Benz, Volkswagen-Konzern und ihre Töchter) sowie für Tier-1- und Tier-2-Zulieferer. Ohne TISAX-Label kein Auftragseingang. Der Standard breitet sich zunehmend auch auf andere produzierende Branchen aus, in denen Prototypenschutz relevant ist — etwa Maschinenbau und Luftfahrt.
Statistik
Über 6.500 Unternehmen aus 70+ Ländern haben sich bisher TISAX-zertifizieren lassen — die Mehrheit deutsche Mittelständler und internationale Konzerntöchter mit deutscher Automotive-Bindung.
ISO 27001 vs. TISAX — direkter Vergleich
Aspekt
ISO/IEC 27001
TISAX
Standardgeber
ISO/IEC (international)
ENX Association (Branchenstandard)
Verbindlich für wen?
Freiwillig; oft Voraussetzung für regulatorische Pflichten und B2B-Verträge
Pflicht für Automotive-Lieferanten
Branchenfokus
Branchenagnostisch
Automotive (zunehmend Maschinenbau, Luftfahrt)
Anzahl Kontrollen
93 (Annex A:2022)
ca. 110 (VDA ISA 6.x)
Module
Ein Hauptkatalog
Information Security + Prototype Protection + Data Protection
Wesentliche TISAX-Erweiterungen gegenüber ISO 27001
Prototypenschutz — physische und logische Schutzmaßnahmen für Prototypen, Erlkönige, Konstruktionsunterlagen
Spezifische Datenschutz-Kontrollen für Auftragsverarbeitung in Automotive-Kontexten
Vorgaben zur Schutzklassen-Klassifizierung (Confidentiality Levels: Normal / High / Very High)
Konkretisierung abstrakter ISO-Kontrollen in branchenspezifische Anforderungen
Praxis-Hinweis
Wer ein bestehendes ISO-27001-ISMS hat, kann TISAX in der Regel mit 2–4 Monaten Vorbereitungszeit und einer Lücken-Implementierung in Prototypenschutz erreichen. Umgekehrt: Wer mit TISAX startet, hat 70–80 % der ISO-27001-Anforderungen bereits erfüllt — die ISO-Zertifizierung verlangt zusätzlich nur die formale ISMS-Dokumentation und ein externes Audit durch eine akkreditierte CAB.
Wann ISO 27001? Wann TISAX? Wann beides?
Nur ISO 27001
Sie sind außerhalb der Automobil-Lieferkette tätig (SaaS, Banken, Versicherungen, Healthcare, allgemeines verarbeitendes Gewerbe).
Sie suchen einen international anerkannten Standard für B2B-Ausschreibungen.
Ihr Hauptziel ist NIS-2-Compliance oder DSGVO Art. 32-Konformität.
Sie wollen einen breiten, branchenneutralen Reifegrad-Nachweis ohne Automotive-spezifische Anforderungen.
Nur TISAX
Sie sind direkter Automotive-Zulieferer und brauchen ausschließlich den TISAX-Nachweis für Auftraggeber.
Sie haben eine begrenzte Lieferantenbeziehung zu einem OEM und kein internationales Geschäft.
Budget oder Zeit lassen eine doppelte Zertifizierung zunächst nicht zu — TISAX zuerst, ISO später.
Beides — die Dual-Zertifizierungs-Strategie
Sie liefern an Automotive und in andere regulierte Branchen (Banken, Telekommunikation, Energie, Healthcare).
Sie suchen sowohl OEM-Akzeptanz als auch internationale B2B-Anerkennung.
Sie wollen mit einem ISMS beide Zertifikate bedienen — typischer Pfad für deutsche Mittelständler im Maschinenbau, Elektronik und Industrie 4.0.
Die meisten unserer mittelständischen Mandanten in NRW, Baden-Württemberg und Bayern wählen den Dual-Pfad. ISO-27001-Aufbau zuerst, TISAX-Erweiterung anschließend — die Mehrkosten gegenüber TISAX-only liegen im Bereich von 15.000 – 30.000 EUR und amortisieren sich, sobald ein Nicht-Automotive-Kunde nach ISO 27001 fragt.
Audit- und Zertifizierungsprozess im Vergleich
ISO 27001 — Drei-Stufen-Audit
Stufe 1 — Bereitschaftsaudit (Stage 1). Dokumentenprüfung — verfügt das Unternehmen über die Mindest-Dokumentation (Anwendungsbereich, Risikoanalyse, SoA, Politiken, Verfahrensanweisungen)?
Stufe 2 — Zertifizierungsaudit (Stage 2). On-site-Prüfung der Implementierung — Stichprobenkontrolle, Interviews mit Mitarbeitenden, technische Tests. Bei Erfolg Erteilung des Zertifikats.
Surveillance. Jährliche Überwachungs-Audits (verkürzt) prüfen kontinuierliche Wirksamkeit. Nach drei Jahren erfolgt das Re-Zertifizierungs-Audit mit voller Tiefe.
TISAX — Self-Assessment + On-site
Registrierung auf der ENX-Plattform und Definition der Audit-Scopes (Standorte, Schutzklassen, gewünschte Labels)
Self-Assessment anhand des VDA-ISA-Katalogs — Ergebnis: Score und identifizierte Lücken
Audit-Durchführung durch zugelassenen Prüfdienstleister gemäß gewähltem Assessment Level (AL2/AL3)
Korrekturmaßnahmen für Major/Minor Findings — typischerweise 90 Tage Frist
Label-Vergabe über die ENX-Plattform; Auftraggeber können das Label im ENX-Portal verifizieren
Wann lohnt sich die Dual-Zertifizierung wirtschaftlich?
Sobald mehr als 30 % Ihres B2B-Geschäfts außerhalb der Automotive-Lieferkette liegt (Banken, Versicherungen, Telekom, Energie, Healthcare), amortisiert sich die zusätzliche ISO-27001-Zertifizierung typischerweise innerhalb von 18–24 Monaten — durch reduzierte Lieferanten-Audits beim Kunden, höhere Gewinnchancen in Ausschreibungen und Anrechenbarkeit auf NIS-2-Compliance.
Dual-Zertifizierungs-Pfad
Für Mittelständler, die beide Zertifikate brauchen, empfehlen wir den integrierten Aufbau aus einem ISMS:
Wählen Sie eine Zertifizierungsstelle, die beide Standards abdeckt (z. B. DEKRA, DQS, BSI Group, KPMG). Das spart Audit-Tage, vermeidet doppelte Stichproben und erlaubt das Bündeln der Surveillance-Termine.
TISAX, ISO 27001 und NIS-2: Wie passt alles zusammen?
Mit dem NIS-2-Umsetzungsgesetz wird Cyber-Security für rund 30.000 deutsche Unternehmen zur regulatorischen Pflicht. Beide Standards sind hier relevant:
ISO 27001 als NIS-2-Grundlage
70–80 % der NIS-2-Pflichten zum Risikomanagement (§ 30 BSIG-neu) werden durch ein zertifiziertes ISO-27001-ISMS abgedeckt.
Lücken bestehen typischerweise bei Lieferketten-Sicherheit, Geschäftsleitungspflichten, Meldepflichten und Cyber-Hygiene-Schulungen — diese müssen NIS-2-spezifisch ergänzt werden.
Das BSI erkennt ISO 27001 in Verbindung mit BSI-Grundschutz-Kompendium als Nachweisinstrument an.
TISAX als NIS-2-Grundlage
TISAX deckt ähnlich viele NIS-2-Pflichten ab wie ISO 27001 — der Mapping-Aufwand ist vergleichbar.
Allerdings ist TISAX kein offiziell anerkannter NIS-2-Nachweis beim BSI; die Lücken müssen ergänzt und die Nachweisführung BSI-tauglich aufbereitet werden.
Für Automotive-Zulieferer mit NIS-2-Pflicht (z. B. wichtige Einrichtungen im verarbeitenden Gewerbe ab Anlage 2) empfehlen wir die Dual-Zertifizierung plus NIS-2-Lücken-Implementierung.
Empfehlung für Automotive-Zulieferer mit NIS-2-Pflicht
TISAX für die Geschäftsbeziehung zu OEMs und Tier-1
ISO 27001 als BSI-akzeptierter NIS-2-Nachweis und für nicht-Automotive-Kunden
Ja. TISAX setzt kein bestehendes ISO-27001-Zertifikat voraus. Sie können direkt über die ENX-Plattform starten, das Self-Assessment durchlaufen und das Audit beauftragen. Allerdings nutzen viele Unternehmen ISO 27001 als Vorlauf, weil 70–80 % der TISAX-Anforderungen ohnehin in einem ISO-konformen ISMS abgebildet werden.
Wie lange dauert eine TISAX-Zertifizierung?
Bei einem mittleren Unternehmen mit bestehendem Sicherheits-Bewusstsein (aber ohne ISO-27001) liegt die Dauer von Kick-off bis Label-Erteilung typischerweise bei 6–9 Monaten. Mit bestehendem ISO-27001-Zertifikat verkürzt sich die Vorbereitungsphase auf 2–4 Monate.
Welches TISAX-Assessment-Level brauche ich?
Das Level wird vom Auftraggeber (OEM oder Tier-1) vorgegeben — abhängig von der Schutzklasse der gemeinsam verarbeiteten Informationen. AL2 reicht in der Regel für reguläre Lieferantenbeziehungen. AL3 wird bei sehr sensitiver Information (Prototypen, Konstruktionsdaten, personenbezogene Daten in großem Umfang) verlangt.
Akzeptiert ein TISAX-Auditor mein bestehendes ISO-27001-Zertifikat?
Teilweise. Der Auditor wird das ISO-Zertifikat als positiven Reifegrad-Indikator anerkennen, muss aber trotzdem den VDA-ISA-Katalog vollständig prüfen — insbesondere die TISAX-spezifischen Erweiterungen (Prototypenschutz, branchenspezifische Anforderungen). Es gibt keine vollständige gegenseitige Anerkennung.
Was kostet ein TISAX-Audit für ein mittelständisches Unternehmen?
Audit-Kosten allein (ohne Beratung): typisch 8.000 – 15.000 EUR für AL2 und 20.000 – 30.000 EUR für AL3 pro Standort. Bei mehreren Standorten oder hoher Komplexität entsprechend mehr. Dazu kommen ENX-Plattform-Gebühren (ca. 425–850 EUR/Jahr).
Wie oft muss ich rezertifizieren?
Beide Zertifikate gelten 3 Jahre. ISO 27001 verlangt jährliche Surveillance-Audits in dieser Zeit; TISAX nicht — dafür fällt am Ende ein vollständiges Reassessment an.
Welche Zertifizierungsstellen sind in Deutschland akkreditiert?
Für ISO 27001: DEKRA, DQS, TÜV (Süd, Nord, Hessen, Rheinland), BSI Group, Bureau Veritas, KPMG, Lloyd's Register und einige weitere. Für TISAX: TISAX-zugelassene Prüfdienstleister sind auf der ENX-Plattform gelistet — DEKRA, DQS, BSI Group und KPMG bedienen beide Standards.
Hat NIS-2 Auswirkungen auf TISAX-Anforderungen?
Mittelbar ja. Die NIS-2-Richtlinie verpflichtet wesentliche und wichtige Einrichtungen zu Lieferketten-Sicherheit — TISAX-zertifizierte Lieferanten erleichtern den Nachweis dieser Pflicht. Es ist absehbar, dass OEMs und große Tier-1 ihre TISAX-Anforderungen durch NIS-2-spezifische Klauseln in den Lieferantenverträgen ergänzen werden.
Fazit und Entscheidungshilfe
ISO 27001 und TISAX sind komplementär, nicht konkurrierend. Die Frage ist nicht "entweder/oder", sondern: Welche Zertifikate werden von Ihren Kunden und Aufsichtsbehörden gefordert, und wie können Sie sie mit einem einzigen ISMS bedienen?
B2B außerhalb Automotive: ISO 27001 — international anerkannt, NIS-2-tauglich, BSI-akzeptiert.
Mischportfolio (typischer deutscher Mittelstand): Dual-Zertifizierung mit integriertem ISMS-Aufbau — die Mehrkosten gegenüber Einzelzertifizierungen amortisieren sich schnell.
NIS-2-Pflicht zusätzlich: ISO 27001 als BSI-akzeptierter Nachweis, ergänzt um NIS-2-spezifische Module (Lieferkette, Meldepflichten, Geschäftsleitungspflichten).
Geschäftsleitung einbeziehen: Beide Standards verlangen messbare Beteiligung der obersten Leitungsebene — Beschlussfassung, Risikoakzeptanz, Budgetfreigabe sind dokumentationspflichtig.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
