Das "German Delta": TISAX vs. NIS2UmsuCG

Die Frage beschäftigt derzeit viele meiner Kunden: „Erfüllen wir mit unserem TISAX-Label bereits die Anforderungen der NIS-2-Richtlinie?“

Die ENX Association hat hierzu mit ihrem Dokument „Abdeckung NIS-2 durch TISAX“ (Version 1, April 2025) eine wertvolle Orientierungshilfe veröffentlicht. Die Analyse zeigt eindrucksvoll auf, dass der ISA6-Katalog aufgrund seiner hohen Anforderungstiefe die technischen und organisatorischen Maßnahmen der EU-Richtlinie bereits umfassend abdeckt. Für Unternehmen ist das eine gute Nachricht: Wer TISAX® lebt, hat das fundamentale Risikomanagement und die operative Sicherheit bereits fest verankert.

Doch als Auditoren wissen wir: Ein Rahmenwerk wie TISAX® agiert global, während NIS-2 nationales Recht wird. Das ENX-Dokument weist daher korrekterweise darauf hin, dass länderspezifische Umsetzungen, wie das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gesondert betrachtet werden müssen.

In diesem Beitrag möchte ich die Brücke schlagen. Wir schauen uns an, wie wir die starke Basis von TISAX® nutzen, um die Anforderungen der NIS-2 effizient zu erfüllen und beleuchten strukturiert jene Aspekte des deutschen Gesetzes (wie Meldepflichten und Haftung), die über den reinen TISAX-Scope hinausgehen. Ziel ist es, den „Stand der Technik“, den TISAX® definiert, rechtssicher in die nationale Compliance zu überführen.

Das technische Fundament: Wo TISAX® bereits liefert (ISA6 vs. NIS-2 Artikel 21)

Der Blick in das ENX-Dokument bestätigt, was wir als Auditoren in der Praxis täglich erleben: Der ISA6-Katalog ist ein extrem mächtiges Werkzeug. Wenn wir die in Artikel 21 der NIS-2-Richtlinie geforderten Risikomanagementmaßnahmen (a-j) gegen den ISA-Katalog mappen, wird deutlich, dass ein TISAX-Assessment hier nicht nur an der Oberfläche kratzt, sondern tief in die Substanz geht.

Die ENX Association legt in ihrer Analyse dar, dass Unternehmen, die ihre Standorte TISAX-konform aufgestellt haben, die materiellen Anforderungen der NIS-2-Richtlinie weitestgehend abdecken. Technisch gesehen ist das absolut schlüssig, denn die zehn Maßnahmenbereiche des Artikel 21 finden im ISA6 ihr direktes Pendant:

• Risikomanagement & Governance (Art. 21 (1) & (2) a): Was die NIS-2 als „gefahrenübergreifenden Ansatz“ fordert, ist im TISAX® durch die Kombination aus Informationssicherheits-Management (Control 1.2.1) und operativem Risikomanagement (Control 1.4.1) fest verankert. Der ISA fordert hier nicht nur die Existenz von Konzepten, sondern prüft deren aktive Anwendung und die Einbindung der Leitungsebene.

  
  

• Business Continuity & Incident Management (Art. 21 (2) b & c): Die Anforderungen an Backup-Management und Krisenbewältigung sind im ISA6 durch die Controls 5.2.8 (Kontinuität), 5.2.9 (Backup/Recovery) und 1.6.x (Incident Management) teils detaillierter geregelt als im Gesetzestext selbst. Besonders hervorzuheben ist, dass TISAX® hier bereits Prüfungen der Wiederherstellungsfähigkeit verlangt. Ein Aspekt, der in der reinen "Papierlage" oft untergeht.

  
  

• Sicherheit der Lieferkette (Art. 21 (2) d): Hier spielt TISAX® seinen Heimvorteil aus. Da der Standard explizit für die Wertschöpfungskette der Automobilindustrie entwickelt wurde, sind die Anforderungen an die Lieferantensicherheit (Control 6.x) sehr robust und decken die NIS-2-Forderungen zur Sicherheit zwischen Einrichtungen und ihren Anbietern vollständig ab.

  
  

Zwischenfazit für die Praxis: Wer ein gültiges TISAX-Label (Assessment Level 2 oder 3) vorweisen kann, hat die „technischen Hausaufgaben“ (TOMs) der NIS-2 in der Regel erledigt. Die Prozesse sind etabliert, dokumentiert und durch einen unabhängigen Dritten validiert. Wir müssen das Rad für NIS-2 also technisch nicht neu erfinden. Wir müssen es nur in den richtigen juristischen Rahmen einhängen.

Und genau hier, beim Übergang von der technischen Validierung zur nationalen Legal Compliance, müssen wir als Verantwortliche nun genau hinsehen.

Deep Dive: Risikomanagement – Warum Control 1.4.1 allein nicht reicht

Ein häufiges Missverständnis in der Praxis ist der Glaube, dass mit der Erfüllung des TISAX-Controls 1.4.1 („Inwieweit werden Informationssicherheitsrisiken gemanagt?“) das Thema Risikomanagement für NIS-2 abgehakt sei. Das ist verständlich, denn Control 1.4.1 liefert zweifellos das methodische Herzstück: Es fordert regelmäßige Bewertungen, klare Risikoeigner und definierte Behandlungspläne .

Doch der Gesetzgeber verlangt in NIS-2 (Artikel 21) und im deutschen Umsetzungsgesetz (§ 30 NIS2UmsuCG) einen „gefahrenübergreifenden Ansatz“. Um diesen vollständig abzubilden, müssen wir im Audit den Blick weiten. Die ENX-Analyse zeigt sehr präzise, dass NIS-2-Konformität hier erst durch das Zusammenspiel mehrerer Controls entsteht.

Das Zusammenspiel der Controls:

• Der Rahmen (Governance): Ein Risikomanagement hängt im luftleeren Raum, wenn der Geltungsbereich (Scope) nicht sauber definiert ist. Für NIS-2 ist es essenziell, dass Control 1.2.1 („Inwieweit wird in der Organisation Informationssicherheit gemanagt?“) greift. Hier wird festgelegt, was überhaupt geschützt wird und ob die Organisationsleitung das Mandat dazu erteilt hat . Ohne diesen „Management-Hook“ läuft das operative Risikomanagement ins Leere.

  
  

• Die technische Tiefe: NIS-2 fordert explizit Konzepte zur Sicherheit für Informationssysteme (Art. 21 (2) a). Ein reiner Prozess reicht hier nicht. Das ENX-Mapping verweist deshalb korrekterweise darauf, dass zusätzlich Control 5.2.7 (Netzwerkmanagement) und Control 5.3.1 (Entwicklung/Beschaffung von IT-Systemen) herangezogen werden müssen . Erst diese Controls stellen sicher, dass technische Risiken (z. B. Segmentierung, Secure-by-Design) auch inhaltlich bewertet werden.

  
  

• Die Leitungsebene: Risikomanagement ist nach NIS-2 Chefsache. Es reicht nicht, Risiken zu dokumentieren; die Leitung muss involviert sein. Dies wird im ISA6 durch Control 1.2.2 (Verantwortlichkeiten) und die Berichtswege in 1.5.x sichergestellt.

  
  

Mein Rat als Auditor: Verlassen Sie sich nicht isoliert auf Ihre Risiko-Matrizen aus Control 1.4.1. Prüfen Sie, ob die Schnittstelle zur Geschäftsleitung (Reporting) und die Definition des Scopes (deckt der TISAX-Scope wirklich die gesamte „wesentliche Einrichtung“ nach NIS-2 ab?) konsistent sind. TISAX® liefert alle notwendigen Bausteine, wir müssen sie nur so zusammensetzen, dass sie das „Big Picture“ der NIS-2 ergeben.

Das „German Delta“: Nationale Meldepflichten und Registrierung

Hier erreichen wir den Punkt, an dem wir den sicheren Hafen des TISAX-Standards verlassen und in die Gewässer der nationalen Gesetzgebung eintauchen müssen. Das ENX-Dokument kommuniziert hier sehr transparent: Die Analyse betrachtet die EU-Richtlinie, klammert aber länderspezifische Umsetzungen und nationale Zusatzanforderungen explizit aus.

Für deutsche Unternehmen, die unter das NIS2UmsuCG fallen, entsteht hier die größte operative Lücke zwischen „TISAX-konform“ und „Gesetzes-konform“.

Der Unterschied zwischen Prozess und Adresse: Im TISAX-Assessment prüfen wir gemäß Control 1.6.1 und 1.6.2 intensiv, ob ein Incident-Management-Prozess existiert. Wir prüfen, ob Sicherheitsvorfälle erkannt, klassifiziert und intern gemeldet werden. Das ist die notwendige Kür. Die gesetzliche Pflicht verlangt jedoch mehr:

• Der Adressat: Das deutsche Gesetz schreibt zwingend eine Meldung an das BSI (Bundesamt für Sicherheit in der Informationstechnik) vor. Das ENX-Dokument stellt klar, dass die Prüfung spezifischer Kontaktinformationen und Meldewege (z. B. Meldeportal des BSI) im TISAX-Assessment nicht erfolgt, da diese zu unternehmensspezifisch sind.

  
  

• Die Fristen: Das Gesetz kennt starre Fristen (24 Stunden für die Frühwarnung, 72 Stunden für die Meldung). TISAX® fordert zwar die Definition von Höchstreaktionszeiten, aber ob diese exakt mit den Vorgaben des BSI synchronisiert sind, liegt allein in der Verantwortung des Unternehmens.

  
  

• Die Registrierung: Eine rein administrative, aber bußgeldbewehrte Pflicht ist die aktive Registrierung beim BSI (§ 33 NIS2UmsuCG). Dieser Vorgang ist komplett außerhalb des TISAX-Scopes.

Die Brücke schlagen Das bedeutet für die Praxis: Ein Unternehmen kann ein perfektes TISAX-Label haben und dennoch ordnungswidrig handeln, wenn der Incident-Prozess im Ernstfall „blind“ für den Weg zum BSI ist.

Die Lösung ist eine klare Arbeitsteilung: TISAX® liefert den Motor (den funktionierenden Incident-Prozess), aber das Unternehmen muss das Navigationsziel (BSI-Meldewege und Registrierung) manuell einspeichern. Es verbleibt also die Notwendigkeit, die nationalstaatlichen Meldeanforderungen parallel zum ISMS zu pflegen.

Governance & Haftung: Der TISAX®-Report als Schutzschild für die Geschäftsleitung

Ein Paradigmenwechsel der NIS-2-Richtlinie und besonders scharf im deutschen Umsetzungsgesetz (§ 38 NIS2UmsuCG) formuliert, ist die direkte Inpflichtnahme der Leitungsebene. Cybersicherheit ist endgültig keine reine IT-Aufgabe mehr, sondern Chefsache. Geschäftsführer haften bei schuldhafter Verletzung ihrer Pflichten persönlich gegenüber der Gesellschaft („Binnenhaftung“), und ein Verzicht auf diese Ansprüche ist rechtlich unwirksam.

Wie TISAX® hier unterstützt: Das ENX-Dokument zeigt auf, dass TISAX-geprüfte Unternehmen hier einen entscheidenden Vorteil haben. Die Anforderungen des Artikels 20 (Governance) werden im ISA6 durch starke Controls abgedeckt:

• Verantwortung: Control 1.2.1 erzwingt, dass die Organisationsleitung das ISMS nicht nur duldet, sondern aktiv beauftragt und freigibt.

• Ressourcen: Control 1.2.2 stellt sicher, dass notwendige Mittel und Personal bereitgestellt werden. Ein häufiger Streitpunkt, der hier auditierbar gemacht wird.

• Überwachung: Durch die Controls 1.5.1 und 1.5.2 wird geprüft, ob die Wirksamkeit des ISMS regelmäßig an die Leitung berichtet wird.

Die juristische Nuance: Als Auditor prüfe ich, ob diese Prozesse gelebt werden. Ich prüfe, ob ein Management-Review stattgefunden hat und ob das Management informiert ist. Was TISAX® jedoch leistet, ist die Dokumentation der Sorgfaltspflicht. Ein TISAX-Label ist im Haftungsfall ein starkes Indiz dafür, dass die Geschäftsleitung ihre Überwachungspflichten ernst genommen hat. Es ist quasi die „Versicherungspolice“ gegen den Vorwurf der Untätigkeit.

Was die Leitung dennoch tun muss: Das Label allein entbindet den Geschäftsführer nicht von der Pflicht, sich inhaltlich weiterzubilden. NIS-2 fordert explizit Schulungen für Leitungsorgane, um Risiken selbst bewerten zu können (Artikel 20 (2)). TISAX® prüft in Control 2.1.3 zwar Schulung und Sensibilisierung generell, aber die spezifische Befähigung des Vorstands, Cyberrisiken geschäftlich zu bewerten, ist eine Holschuld der Entscheider.

TISAX® liefert der Geschäftsleitung die notwendigen Nachweise auf dem Silbertablett, um ihre Compliance zu belegen. Die Verantwortung, diese Nachweise zu verstehen und die Risiken tatsächlich zu billigen, bleibt jedoch untrennbar mit der Person des Geschäftsführers verbunden.

Haftungsausschluss (Disclaimer)

Wichtiger Hinweis: Die Inhalte dieses Artikels wurden mit größter Sorgfalt recherchiert und erstellt. Dennoch übernehmen der Autor und der Betreiber dieser Website keine Garantie für die Aktualität, Vollständigkeit, Richtigkeit oder Qualität der bereitgestellten Informationen. Die dargestellten Analysen, Empfehlungen und Meinungen basieren auf öffentlich zugänglichen Quellen und stellen keine individuelle Beratung dar, insbesondere keine Rechts-, Steuer- oder Compliance-Beratung. Jede Handlung oder Unterlassung auf Basis dieser Inhalte erfolgt auf eigenes Risiko des Lesers. Es wird dringend empfohlen, für spezifische Fälle qualifizierte Fachleute (z. B. Anwälte, Auditoren oder Behörden) zu konsultieren.

Haftung für Schäden: Jegliche Haftung für direkte oder indirekte Schäden, die aus der Nutzung oder Nichtnutzung der dargebotenen Informationen entstehen, ist ausgeschlossen, soweit keine nachweislich vorsätzliche oder grob fahrlässige Verschuldung vorliegt. Dies gilt insbesondere für wirtschaftliche Verluste, Bußgelder oder andere Konsequenzen im Kontext von NIS-2, TISAX® oder ähnlichen Regulierungen.

Externe Links: Für den Inhalt verlinkter externer Seiten sind ausschließlich deren Betreiber verantwortlich. Zum Zeitpunkt der Verlinkung wurden diese auf offensichtliche Rechtsverstöße überprüft, eine permanente inhaltliche Kontrolle ist jedoch nicht möglich. Bei Kenntnis von Rechtsverletzungen werden solche Links umgehend entfernt.

Urheberrecht: Alle Texte, Bilder und sonstigen Inhalte dieses Artikels unterliegen dem Urheberrecht und anderen Schutzrechten. Eine Vervielfältigung, Bearbeitung oder Verbreitung ist ohne ausdrückliche schriftliche Zustimmung des Autors untersagt. Zitate aus externen Quellen (z. B. dem ENX-Dokument) erfolgen unter Fair-Use-Regeln und dienen der Analyse.

Marke: TISAX® ist eine eingetragene Marke der ENX Association. Die AUDIT MANUFAKTUR steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.

Dieser Haftungsausschluss ist Bestandteil des Blogartikels. Sollte eine Regelung ganz oder teilweise unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Lieferkettensicherheit: Ein Heimspiel für TISAX®

Während viele Branchen derzeit händeringend nach Wegen suchen, die Anforderungen der NIS-2 an die „Sicherheit der Lieferkette“ (Artikel 21 (2) d) zu erfüllen, spielt die Automobilindustrie hier ihren größten Vorteil aus. TISAX® wurde ursprünglich genau dafür geschaffen: Ein vertrauenswürdiges Netzwerk zwischen Herstellern und Zulieferern zu etablieren.

Der Standard geht voran Das ENX-Mapping zeigt hier zu Recht großes Selbstbewusstsein. Die Anforderungen im ISA6-Katalog gehen teilweise sogar über die reinen NIS-2-Vorgaben hinaus.

• Geprüfte Partner: Control 1.3.3 stellt sicher, dass keine externen IT-Dienste ohne explizite Sicherheitsbewertung genutzt werden.

• Vertragliche Bindung: Control 6.1.1 fordert, dass Informationssicherheit vertraglich mit Auftragnehmern vereinbart und deren Einhaltung verifiziert wird .

• Kettenreaktion: Der Standard verlangt oft, dass Anforderungen auch an Unterauftragnehmer („Sub-Supplier“) weitergegeben werden.

Vom Label zum Prozess Für uns als Auditoren und Verantwortliche bedeutet das: Wer TISAX® nutzt, hat das methodisch stärkste Werkzeug für Supply Chain Security bereits im Haus. Die NIS-2-Compliance entsteht hier jedoch nicht allein dadurch, dass wir ein Label haben, sondern dadurch, dass wir den TISAX-Status unserer Partner aktiv managen. Das ENX-Portal und der Austauschmechanismus bieten hierfür die perfekte Infrastruktur.

Die Aufgabe für die Compliance-Abteilung ist es nun, diesen Mechanismus formal als NIS-2-Maßnahme zu dokumentieren. Wir müssen nachweisen können: „Wir erfüllen die Lieferkettensicherheit, indem wir von unseren kritischen Zulieferern ein TISAX-Label (oder ein Äquivalent wie ISO 27001) fordern und dessen Gültigkeit regelmäßig prüfen.“ Damit wird aus dem TISAX-Ökosystem eine belastbare Compliance-Strategie, die den gesetzlichen Anforderungen mehr als gerecht wird.

Fazit & Handlungsplan: Ihre Roadmap zur vollständigen Compliance

Zusammenfassend lässt sich festhalten: Das TISAX-Label ist für die Automobilindustrie wohl der effizienteste Weg, um die materielle Sicherheit für NIS-2 nachzuweisen. Die ENX-Analyse bestätigt zu Recht, dass die technischen Hausaufgaben damit erledigt sind. Wir müssen als Verantwortliche jedoch die „letzte Meile“ zur gesetzlichen Compliance selbst gehen.

Ein TISAX-Label schützt nicht vor Bußgeldern, wenn die administrativen Prozesse im Hintergrund fehlen.

Ihre Checkliste für das „German Delta“: Um die Lücke zwischen TISAX® und dem deutschen NIS-2-Umsetzungsgesetz zu schließen, empfehle ich meinen Mandanten folgende vier Schritte:

1. Scope-Konsolidierung: Prüfen Sie kritisch, ob Ihr TISAX-Prüfscope deckungsgleich mit der juristischen Einheit („wesentliche/wichtige Einrichtung“) ist. NIS-2 reguliert das Unternehmen, TISAX® oft nur Standorte. Erweitern Sie den Geltungsbereich Ihres ISMS bei Bedarf .

   
   

2. Meldewege operationalisieren: Ergänzen Sie Ihren TISAX-konformen Incident-Prozess um die konkreten Kontaktpunkte zum BSI. Hinterlegen Sie die Meldeformulare und stellen Sie sicher, dass die 24h/72h-Fristen als „Hard Trigger“ in Ihrem Notfallplan verankert sind.

   
   

3. Registrierung durchführen: Dieser Schritt ist rein administrativ, aber essenziell. Registrieren Sie Ihr Unternehmen fristgerecht beim BSI (§ 33 NIS2UmsuCG). Kein Auditor kann Ihnen diesen Verwaltungsakt abnehmen.

   
   

4. Management-Briefing: Nutzen Sie den TISAX-Bericht als Nachweis der Überwachung, aber klären Sie Ihre Geschäftsführung über die persönliche Haftung auf. Ein kurzes, dokumentiertes Briefing zu den spezifischen NIS-2-Pflichten ergänzt das Assessment ideal.

Mein Resümee als Auditor: Nutzen Sie TISAX® als das, was es ist: Ein mächtiges Werkzeug für Informationssicherheit und ein starker Vertrauensanker in der Lieferkette. Wenn Sie dieses Werkzeug nun noch in den korrekten nationalen Rechtsrahmen einbetten, sind Sie nicht nur sicher, sondern auch compliant.