Daimler Truck

Cyber Security Anforderungen

Einführung 

Dieses Dokument gibt einen umfassenden Überblick über TISAX® (Trusted Information Security Assessment Exchange). TISAX® ist ein standardisiertes Verfahren zur Bewertung und Kennzeichnung der Informationssicherheit, das speziell für die Automobilbranche entwickelt wurde. 

Dieses Dokument dient dazu, die Lieferanten von Daimler Truck über den TISAX®-Prozess zu informieren und kompetente und schnelle Antworten auf Fragen der Lieferanten zum Informationssicherheitsstandard bei Daimler Truck zu geben.  

Die in diesem Dokument enthaltenen Informationen über TISAX beruhen auf öffentlich zugänglichen Informationen. Weitere Informationen finden Sie auf den folgenden Websites: https://portal.enx.com/en-us/TISAX/

Das Dokument ist in vier Kapitel mit entsprechenden Fragen und Antworten unterteilt. Bitte beachten Sie, dass die ersten beiden Kapitel für die direkte und indirekte Beschaffung gelten. Kapitel drei gilt nur für die direkte und Kapitel vier nur für die indirekte Beschaffung. 

Weitere Informationen 

Daimler Tuck TISAX® Teilnehmer-ID: PYF55X 

Ausgestellt von: Procurement & Cyber Security 

1. Allgemeine Informationen über TISAX®

  • 1.1 Wofür steht TISAX®?

    TISAX® (Trusted Information Security Assessment Exchange) ist ein standardisiertes Bewertungsverfahren für Informationssicherheit, das speziell für die Automobilindustrie entwickelt wurde. Es basiert auf dem VDA-ISA-Katalog und ermöglicht Unternehmen, ihre Maßnahmen zur Informationssicherheit zu bewerten und zu zertifizieren. 

  • 1.2 Was ist TISAX®?

    Es handelt sich dabei um einen Bewertungs- und Austauschmechanismus für Informationssicherheitsprozesse, die für die Verwaltung, den Austausch und den Schutz von Informationen in der Automobilindustrie eingesetzt werden. 

  • 1.3 Wer hat TISAX® entwickelt?

    TISAX® wurde von der ENX Association im Auftrag des Verbandes der deutschen Automobilindustrie (VDA) entwickelt. Das Leitungsgremium für die TISAX®-Prüfanforderungen ist die ENX Association, eine im Jahr 2000 gegründete gemeinnützige Vereinigung. Weitere Informationen finden Sie unter folgendem Link: https://www.enx.com/en-US/  

  • 1.4 Wer gehört zur ENX-Vereinigung?

    Die Mitglieder des ENX-Boards sind einige OEMs (z.B. Volkswagen, BMW, Daimler, Ford, etc.), einige Tier-1-Zulieferer (z.B. Bosch, Continental, etc.) und einige Automobilverbände (VDA, GALIA, SMMT, ANFAC, etc.). 

  • 1.5 Auf welcher Norm basiert TISAX®?

    TISAX® basiert auf der VDA-ISA (Verband der Automobilindustrie - Information Security Assessment), die auf der internationalen Norm ISO/IEC 27001 für Informationssicherheits-Managementsysteme beruht. 

  • 1.6 Was ist der Standardumfang von TISAX®?

    Der Anwendungsbereich des TISAX®-Standards deckt alle Bereiche ab, in denen vertrauliche Informationen verarbeitet werden. „Die Bewertung umfasst alle Prozesse, Verfahren und Ressourcen unter der Verantwortung der bewerteten Organisation, die für die Sicherheit der Schutzobjekte und deren Schutzziele, wie sie in den aufgeführten Bewertungszielen definiert sind, an den aufgeführten Standorten relevant sind.“ (Quelle: TISAX Participant Handbook (enx.com)). Welche Standorte Teil des Begutachtungsumfangs sind, kann das zu bewertende Unternehmen selbst festlegen. 

  • 1.7 Was sind die wichtigsten Vorteile von TISAX®?

    Dies sind vier externe Hauptvorteile: 

    • Das TISAX®-Label setzt einen vordefinierten Standardumfang und damit ein bestimmtes Niveau an Informationssicherheit für Lieferanten und Kunden 

    • TISAX® ist speziell auf die Anforderungen der Automobilindustrie zugeschnitten 

    • Das TISAX®-Label ist von der ENX Association verifiziert 

    • Das TISAX®-Label kann über das ENX-Portal leicht mit anderen Teilnehmern ausgetauscht werden 

  • 1.8 Wer führt die Plausibilitätsprüfung durch?

    Unabhängige akkreditierte Prüfdienstleister führen die Plausibilitätsprüfungen durch (TISAX Audit Provider · ENX Portal). 

  • 1.9 Welche Assessment Level gibt es bei TISAX®?

    TISAX® hat drei Assessment Level: Assessment Level 1 (Selbstbewertung durch den Lieferanten), Assessment Level 2 (Selbstbewertung durch den Lieferanten mit Plausibilitätsprüfung durch den Auditanbieter - eine Vor-Ort-Überprüfung ist nicht erforderlich), Assessment Level 3 (umfassende Überprüfung der Einhaltung der Vorschriften durch das Unternehmen einschließlich einer Vor-Ort-Überprüfung). 

    Daimler Tuck verlangt von seinen Lieferanten das Assessment Level 3. 

  • 1.10 Was sind die Ziele des TISAX®-Assessments?

    TISAX® hat zwölf Assessmentziele, die je nach den Daten, die das Unternehmen verarbeitet, ausgewählt werden. https://www.enx.com/handbook/tisax-participant-handbook.html#ID4685 

     

    TISAX®-Assessmentziele mit Assessment Level (AL): 

     

    1. Info hoch (AL 2) 

    1. Info sehr hoch (AL 3) 

    1. Vertraulich (AL 2) 

    1. Streng vertraulich (AL 3) 

    1. Hohe Verfügbarkeit (AL 2) 

    1. Sehr hohe Verfügbarkeit (AL 3) 

    1. Prototypenbauteile und -Komponenten (AL 3) 

    1. Prototypenfahrzeuge (AL 3) 

    1. Erprobungsfahrzeuge (AL 3) 

    1. Prototypen bei Veranstaltungen (AL 3) 

    1. Daten (AL 2) 

    1. Besondere Daten (AL 3) 

     

    Daimler Tuck verlangt von seinen Lieferanten das Assessment Level 3. 

2. TISAX®-Label Verfahren

  • 2.1 Wie erhält ein Unternehmen ein TISAX®-Label und wie kann es sich registrieren? Wie sieht der Zertifizierungsprozess aus?

    Das TISAX®-Verfahren besteht aus drei Schritten: Der Registrierung, der Bewertung und dem Austausch. Weitere Informationen über den Registrierungsprozess finden Sie hier: FAQs · ENX Portal

  • 2.2 Wo sind neben diesen FAQ weitere Informationen (z. B. zum Umfang und zur Bewertung selbst) über TISAX® zu finden?

    Weitere Informationen über TISAX® finden Sie hier: TISAX Participant Handbook (enx.com)

  • 2.3 Muss jeder Standort ein eigenes TISAX®-Label erhalten?

    Teil des Scoping-Prozesses ist es, die Standorte zu definieren, die zum Bewertungsumfang gehören. Es wird erwartet, dass alle Standorte, die in Beziehungen zu Daimler Truck stehen, TISAX® AL 3 zertifiziert sind. Für große Konzerne kann das Unternehmen auch eine vereinfachte Konzernbewertung beantragen. Die Verfahrensschritte sind im TISAX®-Teilnehmerhandbuch detailliert beschrieben (TISAX Participant Handbook (enx.com)). 

  • 2.4 Was beinhaltet das TISAX®-Assessment?

    Der genaue Inhalt des Assessments wird im Rahmen des TISAX®-Prozesses festgelegt. Grundlage des Assessments ist der Fragebogen zum VDA Information Security Assessment (ISA), der vom VDA-Ausschuss für Informationssicherheit erstellt und gepflegt wird. Dieser kann über das ENX-Portal heruntergeladen werden: Downloads - ENX Portal

  • 2.5 Wer kann das Ergebnis des TISAX®-Assessments einsehen?

    Das bewertete Unternehmen hat die volle Kontrolle über seine Ergebnisse und muss sie aktiv mit der anfragenden Partei teilen. Für Daimler Truck muss der Lieferant die Lieferantennummer, für die das TISAX®-Label gültig ist, direkt in der ENX-Datenbank angeben. Dies ist notwendig, um Daimler Truck das offizielle Ergebnis zu übermitteln. 

  • 2.6 Können Lieferanten das TISAX®-Label in Papierform versenden?

    TISAX® ist so konzipiert, dass es über das vorgesehene ENX-Portal und nicht über andere Wege, z.B. in Papierform, weitergegeben wird. Dies gewährleistet die Vertraulichkeit der Bewertungsergebnisse. Daher muss der Lieferant die Bewertungsergebnisse speziell für Daimler Truck im ENX-Portal freigeben. 

  • 2.7 Wie viel kostet die TISAX®-Zertifizierung?

    Die Kosten für das TISAX®-Label sind abhängig von der Unternehmensgröße, dem Umfang der Zertifizierung, der Anzahl der Standorte, dem Auditanbieter und dem Reifegrad des Informationsmanagementsystems im Unternehmen. 

  • 2.8 Bezahlt Daimler Truck für das TISAX®-Label seiner Zulieferer?

    Nein, Daimler Truck zahlt nicht für das TISAX®-Label seiner Lieferanten. Mit dem TISAX®-Label verbessert ein Unternehmen in erster Linie seine eigenen Sicherheitsmaßnahmen und erst in zweiter Linie die von Daimler Truck, anderen Kunden und der Lieferkette. 

  • 2.9 Wie kann ein Unternehmen nachweisen, dass es ein TISAX®-Label besitzt?

    Um die Statusinformationen des TISAX®-Labels freizugeben, kann der Lieferant entweder die TISAX®-Teilnehmer-ID von Daimler Truck (PYF55X) eingeben oder in einer Dropdown-Liste mit Teilnehmer-IDs von Unternehmen, die häufig gemeinsame Bewertungsergebnisse erhalten, nach Daimler Truck suchen.  

    Darüber hinaus legt der Lieferant fest, in welcher Tiefe Daimler Truck auf das Bewertungsergebnis zugreifen kann. Daimler Truck benötigt die Freigabestufe: A+ Labels. 

  • 2.10 Wie lang ist das TISAX®-Label gültig?

    Das TISAX®-Label ist grundsätzlich drei Jahre gültig. Danach muss zur Aufrechterhaltung des Labels eine erneute Begutachtung durchgeführt werden. 

  • 2.11 Was ist der Unterschied zwischen einem TISAX®-Assessment und einem TISAX®-Label?

    Ein TISAX®-Assessment ist der Prozess, bei dem die Maßnahmen Ihres Unternehmens zur Informationssicherheit bewertet werden. Das Ergebnis dieser Bewertung ist ein TISAX®-Label, das bestätigt, dass Ihr Unternehmen die TISAX®-Anforderungen erfüllt. Geschäftspartner können dieses Siegel auf der TISAX®-Plattform einsehen. 

3. TISAX® bei Daimler Truck für die direkte Beschaffung

  • 3.1 Wie lautet die Daimler Truck Teilnehmer-ID?

    Die Daimler Truck Teilnehmer-ID lautet PYF55X. 

  • 3.2 Welches Level der Zertifizierung erwartet Daimler Truck?

    Das TISAX®-Label mit dem Assessment Level 3 ist erforderlich. Jedes der folgenden TISAX® -Assessmentziele erhält eine Bewertungsstufe 3: “Info very high”, “Strictly confidential”, “Very high availability”, “Proto parts”, “Proto vehicles”, “Test vehicles”, “Proto events”, “Special data”. 

  • 3.3 Wie wird ein TISAX®-Label an Daimler Truck übermittelt?

    Durch die Freigabe des Ergebnisses in der ENX-Datenbank wird das TISAX®-Label für Daimler Truck verfügbar. Der Lieferant muss die Daimler Truck-Teilnehmer-ID („PYF55X“) eingeben und seine Daimler Truck-Lieferantennummer im Feld „Daimler Truck Supplier Number“ angeben. Daimler Truck erhält so Zugriff auf das TISAX®-Label. 

  • 3.4 Wer benötigt das TISAX®-Label?

    Ab 2025 verlangt Daimler Truck das TISAX®-Label mit dem Assessment Level 3 für alle Lieferanten von Produktionsmaterial. 

  • 3.5 Gibt es eine Karenzzeit für die Übermittlung des TISAX®-Labels?

    Ja, zwischen Daimler Truck und dem Lieferanten kann eine angemessene Karenzzeit vereinbart werden. Diese beginnt mit einem neuen Vertrag oder einer Verlängerung des bestehenden Vertrags. 

  • 3.6 Gibt es generelle Ausnahmen für Lieferanten?

    Nein, aber es ist möglich, eine angemessene Karenzzeit zwischen Daimler Truck und dem Lieferanten vereinbaren. Diese beginnt mit einem neuen Vertrag oder einer Verlängerung des bestehenden Vertrags. 

  • 3.7 Was ist, wenn ein Lieferant ein ISO 27001- oder SOC 2-Zertifikat oder ein niedrigeres TISAX®-Label mit dem Assessment Level 2 hat? Ist das TISAX®-Label mit dem Assessment Level 3 weiterhin erforderlich?

    Ja, das Assessment Level 3 ist weiterhin erforderlich. Nach einer angemessenen Karenzzeit benötigt jeder direkte Lieferant ein TISAX®-Label mit dem Assessment Level 3. Individuelle Ausnahmen sind unter bestimmten Umständen möglich. 

  • 3.8 Was ist, wenn ein Lieferant nur das TISAX® Assessment Level 1 hat? Ist das TISAX®-Label mit dem Assessment Level 3 weiterhin erforderlich?

    Das TISAX® Assessment Level 1 bietet nicht den erforderlichen Schutz und wird daher nicht anerkannt. Nach einer angemessenen Karenzzeit benötigt jeder Direktlieferant ein TISAX® Label mit dem Assessment Level 3. 

  • 3.9 Warum braucht der Lieferant das TISAX®-Label, obwohl er bereits eine andere Zertifizierung hat?

    Andere Zertifikate können eine gute Grundlage für die Erlangung des TISAX®-Labels sein. Es kann zu Überschneidungen im Geltungsbereich der Zertifikate kommen, die auch für das TISAX®-Label erforderlich sind. Dennoch gewährleistet das TISAX®-Label durch den Geltungsbereich der Normen ein einheitliches Sicherheitsniveau aller Lieferanten und ist der Standard der Automobilindustrie. 

  • 3.10 Welche Auswirkungen hat ein fehlendes TISAX®-Label auf die Geschäftsbeziehung mit Daimler Truck?

    Das TISAX®-Label ist ein wichtiger Bestandteil der Beziehung zwischen einem Lieferanten und Daimler Truck, da es die Widerstandsfähigkeit der gesamten Lieferkette erhöht. Daher kann es sich auf zukünftige Vergaben auswirken. 

  • 3.11 Warum gibt es keine Ausnahmen für kleine Lieferanten oder Lieferanten mit geringem Beschaffungsvolumen?

    Da das Risiko von Cyber-Bedrohungen für alle Lieferanten (Tier 1-Lieferanten und kleinere Tier 1, Tier 2 oder darunter) gleich ist. Es ist wichtig zu verstehen, dass jedes Unternehmen in erster Linie sich selbst mit einem TISAX®-Label schützt. Dadurch werden im zweiten Schritt auch anderer Unternehmen geschützt. So könnte z.B. der Ausfall eines Unternehmens zu Problemen in der Lieferkette führen, die sich dann auf andere Unternehmen auswirken könnten. Daher ist es wichtig, dass eine breite Lieferantenbasis geschützt ist. 

4. TISAX® bei Daimler Truck für die indirekte Beschaffung

  • 4.1 Wie lautet die Daimler Truck Teilnehmer-ID?

    Die Daimler Truck Teilnehmer-ID lautet PYF55X. 

  • 4.2 Wer benötigt das TISAX®-Label?

    Ab 2025 verlangt Daimler Truck das TISAX®-Label mit dem Assessment Level 3 für alle Lieferanten von Produktionsmaterial. 

    Daimler Truck kann die gleiche Kennzeichnung auch von allen anderen Lieferanten innerhalb des jeweiligen Beschaffungsvertrags verlangen. Eine Risikobewertung wird für alle indirekten Beschaffungen mit einem Auftragsvolumen von mehr als 500.000 € bei cyberkritischen Gütern durchgeführt. Je nach Ergebnis der Risikobewertung kann ab 2025 ein TISAX®-Label mit dem Assessment Level 3 verlangt werden. 

  • 4.3 Gibt es eine Karenzzeit für die Übermittlung des TISAX®-Labels?

    Ja, zwischen Daimler Truck und dem Lieferanten kann eine angemessene Karenzzeit vereinbart werden. Diese beginnt mit einem neuen Vertrag oder einer Verlängerung des bestehenden Vertrags. 

  • 4.4 Gibt es Ausnahmen für Lieferanten?

    Ja, nur indirekte Materiallieferanten mit einem Vertragsvolumen von mehr als 500.000 € in cyberkritischen Waren, benötigen möglicherweise ein TISAX®-Label dem Assessment Level 3. Wenn diese Kriterien erfüllt sind, wird für jede Beschaffung einzeln bewertet, ob ein TISAX®-Label erforderlich ist. Individuelle Ausnahmen sind unter bestimmten Umständen möglich. 

  • 4.5 Welches Level der Zertifizierung erwartet Daimler Truck?

    Das TISAX®-Label mit dem Assessment Level 3 ist erforderlich. Jedes der folgenden TISAX® -Assessmentziele erhält eine Bewertungsstufe 3: “Info very high”, “Strictly confidential”, “Very high availability”, “Proto parts”, “Proto vehicles”, “Test vehicles”, “Proto events”, “Special data”. 

  • 4.6 Wie wird ein TISAX®-Label an Daimler Truck übermittelt?

    Durch die Freigabe des Ergebnisses in der ENX-Datenbank wird das TISAX®-Label für Daimler Truck verfügbar. Der Lieferant muss die Daimler Truck-Teilnehmer-ID („PYF55X“) eingeben und seine Daimler Truck-Lieferantennummer im Feld „Daimler Truck Supplier Number“ angeben. Daimler Truck erhält so Zugriff auf das TISAX®-Label. 

  • 4.7 Was ist, wenn ein Anbieter ein ISO 27001- oder SOC 2-Zertifikat oder ein niedrigeres TISAX®-Label des Assessment Levels 2 hat? Ist das TISAX®-Label mit dem Assessment Level 3 weiterhin erforderlich?

    Ja, das Assessment Level 3 ist notwendig. Nach einer angemessenen Karenzzeit benötigt jeder indirekte Lieferant, der die Kriterien in 4.2 erfüllt, ein TISAX®-Label mit dem Assessment Level 3. Einzelne Ausnahmen sind unter bestimmten Umständen möglich. 

  • 4.8 Was ist, wenn ein Lieferant nur die TISAX®-Bewertungsstufe 1 hat? Ist das TISAX®-Label mit der Bewertungsstufe 3 weiterhin erforderlich?

    Das Assessment Level 1 nach TISAX® bietet nicht den erforderlichen Schutz und wird daher nicht anerkannt.  

    Nach einer angemessenen Karenzzeit benötigt jeder indirekte Lieferant, der die Kriterien in 4.2 erfüllt, ein TISAX®-Label mit dem Assessment Level 3. 

  • 4.9 Warum braucht der Lieferant noch das TISAX®-Label, obwohl er bereits eine andere Zertifizierung hat?

    Andere Zertifikate können eine gute Grundlage für die Erlangung des TISAX®-Labels sein. Es kann zu Überschneidungen im Geltungsbereich der Zertifikate kommen, die auch für das TISAX®-Label erforderlich sind. Dennoch gewährleistet das TISAX®-Label durch den Geltungsbereich der Normen ein einheitliches Sicherheitsniveau aller Lieferanten und ist der Standard der Automobilindustrie. 

  • 4.10 Können Lieferanten mit geringem Beschaffungsvolumen bei Daimler Truck eine Ausnahmegenehmigung für die Nichtvorlage eines TISAX®-Labels erhalten?

    Ja, wenn ein Lieferant von indirektem Material keine Beschaffung von mehr als 500.000 € bei Daimler Truck hat, muss der Lieferant kein TISAX®-Label vorlegen. Es gibt keine Ausnahmen für Lieferanten mit Beschaffungen über 500.000 €. Bitte beachten Sie, dass es keine Ausnahmegenehmigung allein aufgrund der Unternehmensgröße gibt. 

  • 4.11 Warum gibt es keine Ausnahmen für kleine Lieferanten?

    Da das Risiko von Cyber-Bedrohungen für alle Lieferanten (Tier 1-Lieferanten und kleinere Tier 1, Tier 2 oder darunter) gleich ist. Es ist wichtig zu verstehen, dass jedes Unternehmen in erster Linie sich selbst mit einem TISAX®-Label schützt. Dadurch werden im zweiten Schritt auch andere Unternehmen geschützt. So könnte z.B. der Ausfall eines Unternehmens zu Problemen in der Lieferkette führen, die sich dann auf andere Unternehmen auswirken könnten. Daher ist es wichtig, dass eine breite Lieferantenbasis geschützt ist. 

  • 4.12 Welche Auswirkungen hat ein fehlendes TISAX®-Label auf die Geschäftsbeziehung mit Daimler Truck?

    Das TISAX®-Label ist ein wichtiger Bestandteil der Beziehung zwischen einem Lieferanten und Daimler Truck, da es die Widerstandsfähigkeit der gesamten Lieferkette erhöht. Daher kann es sich auf zukünftige Vergaben auswirken.