1. Ihre Mitarbeiter arbeiten von zuhause aus

Um die Verbreitung der Coronavirus-Pandemie zu verhindern, sind Unternehmen vielerorts erneut dazu angehalten, nur absolut notwendige Arbeiten aus den Geschäftsräumen zu erbringen und alle anderen Mitarbeiter von zuhause arbeiten zu lassen.

Dies ist auch aus Sicht der Informationssicherheit ein legitimes Vorgehen. Das Verlegen der Arbeiten in das häusliche Umfeld Ihrer Mitarbeiter unter angemessener Berücksichtigung von Informationssicherheit ist im Einklang mit den TISAX-Anforderungen entsprechend möglich und gefährdet in diesem Fall auch Ihre TISAX-Labels nicht.

Weitere Informationen finden Sie in dem oben genannten Dokument Ihr ISMS und das Coronavirus.

2. Ihre initiale Prüfung ist geplant oder im Gange

2.1 VORBEREITUNG AUF DIE PRÜFUNG

Natürlich sollte auch bei der Prüfungsvorbereitung die Sicherheit der Mitarbeiter und das Management der Lage an erster Stelle stehen. Soweit die Situation es zulässt, empfehlen wir die Vorbereitung auf eine TISAX-Prüfung weiterhin wie geplant stattfinden zu lassen.

2.2 PRÜFUNGEN IM ASSESSMENT-LEVEL 2

Prüfungen im Assessment-Level 2 können aus TISAX-Sicht weiterhin uneingeschränkt stattfinden. Sollte eine Prüfung wegen eingeschränkter Verfügbarkeit notwendiger Personen für Vorbereitung und Durchführung (etwa wegen Arbeiten in Krisenstäben, der Krisenbewältigung oder durch Erkrankungen) verschoben werden müssen, gilt die normale Vorgehensweise bei Verschiebungen.

Seitens TISAX gibt es keine Sonderregelung. Die ENX Association macht keine Vorgaben, wann sich ein Unternehmen welcher Prüfung unterzieht. Wenn Geschäftspartner eine TISAX-Prüfung als Voraussetzung für Informationssicherheitsfreigaben fordern, entscheidet der Geschäftspartner, wie er mit Verschiebungen umgeht (ob z.B. eine Ausnahmefreigabe geschaffen werden kann).

2.3 PRÜFUNGEN IM ASSESSMENT-LEVEL 3

Auch Prüfungen im Assessment-Level 3 können grundsätzlich weiterhin stattfinden. Allerdings ist aus verschiedenen Gründen eine Durchführung derzeit oft nicht möglich:

• Prüfungsrelevante Unternehmensteile befinden sich wegen Coronavirus-Verdachtsfall in Quarantäne.
• Die Auditoren sind teilweise von staatlich angeordneten Reisebeschränkungen betroffen.
• Es gibt teilweise individuelle Reisebeschränkungen bei Prüfdienstleistern.
• Die Sicherheitsmaßnahmen des zu prüfenden Unternehmens in Reaktion auf die Pandemie verhindern eine Prüfung.

In diesem Fall verweisen wir auf 2.4 Pandemie-Workaround: “Assessment Level 2,5” als mögliche Alternative.

2.4 PANDEMIE-WORKAROUND: “ASSESSMENT LEVEL 2,5”

Sie haben die Möglichkeit, dass die Prüfung vorläufig im Assessment-Level 2 durchgeführt wird und später auf den eigentlich geplanten Assessment-Level 3 erweitert wird. Das heißt, dass in dem angedachten Fall eine Prüfung mit sehr hohem Schutzbedarf (Label: „Info Very High“) soweit wie möglich aus der Ferne durchgeführt wird (Prüfung aller ISA Control-Anforderungen ohne Berücksichtigung der physischen Aspekte im sogenannten AL 2,5) und in einer verkürzten Vor-Ort-Prüfung die Anforderungen an die physische Sicherheit nachgeholt werden. Sie erhalten in diesem Fall nach erfolgreicher Durchführung der Remote-Prüfung vorab das Info High-Label und nach erfolgreicher Vor-Ort- Prüfung das Info Very High Label.
Bitte sprechen Sie diesen Workaround mit ihren interessierten bzw. fordernden Geschäftspartnern ab und informieren, dass:

• wegen der Coronavirus-Pandemie die TISAX-Prüfung nur im Assessment-Level 2,5 als Remote-Prüfung durchgeführt werden kann und daher einige Labels noch nicht verfügbar sind und
• in der Prüfung bereits nachgewiesen wurde, dass die notwendigen Informationssicherheitsmanagementstrukturen vorhanden sind.

Sollten Sie sich bereits einer Prüfung im Assessment-Level 3 mit mehreren Standorten befinden, empfehlen wir die noch nicht geprüften Standorte in einen Scope auszugliedern und dann nur an diesen Standorten eine Prüfung im Assessment-Level 2 durchzuführen.

3. Ihr Prüfergebnis läuft ab und Sie arbeiten an der Erneuerung

Sollte Ihre bereits beauftragte Prüfung auf Grund der Pandemie über den Gültigkeitszeitraum des bestehenden Prüfergebnisses hinaus verschoben werden, informieren Sie bitte frühzeitig Ihren Prüfdienstleister mit dem Anliegen der Verlängerung des bestehenden Labels. Dieser wird sich dann mit uns in Verbindung setzen.

Wir werden prüfen, inwieweit die Gültigkeit des bestehenden Ergebnisses in angemessenen Schritten verlängert werden kann.

Bitte beachten Sie, dass eine Verlängerung bestehender Labels nur möglich ist, wenn nachfolgende Bedingungen erfüllt sind:

1. Es wurde bereits ein neuer Scope mit entsprechenden Lokationen und Prüfzielen registriert.
2. Ein TISAX Prüfdienstleister wurde bereits mit der Prüfung beauftragt und ein voraussichtliches Prüfungsdatum vereinbart.

4. Sie haben temporäre TISAX-Labels und setzen Maßnahmen um

4.1 DURCHFÜHRUNG VON FOLLOW-UP-PRÜFUNGEN

Da Follow-up-Prüfungen in der Regel keine persönliche Anwesenheit des Auditors erfordern, können Follow-up-Prüfungen weiterhin durchgeführt werden.

4.2 VERZÖGERUNGEN BEI DER UMSETZUNG VON MASSNAHME

Sollte es auf Grund der Pandemie zu Verzögerungen bei der Umsetzung von Maßnahmen ergeben, sollten Sie den Prüfdienstleister darüber in Form eines aktualisierten Maßnahmenplans informieren.

Sofern die Verzögerung vom Auditor unter Berücksichtigung der aktuellen Lage als angemessen bewertet wird, berichtet dieser eine erneute Maßnahmenplanprüfung mit aktualisiertem „Latest corrective action due date“ an uns. Dadurch verlängert sich die Gültigkeit von temporären Labels entsprechend.

4.3 VERZÖGERUNGEN BEI DER UMSETZUNG VON MASSNAHMEN ÜBER NEUN MONATE HINAU

Sollte durch die Pandemie eine Verschiebung über den Maximalzeitraum von neun Monaten hinaus entstehen, besprechen Sie dies frühzeitig mit Ihrem Prüfdienstleister. Dieser wird dies entsprechend bewerten und eine Ausnahmegenehmigung für die Durchführung einer Follow-up-Prüfung auch über die neun Monate hinaus beantragen.

Wir werden in dieser Situation im Einzelfall entscheiden, inwieweit eine Follow-up-Prüfung ausnahmsweise nach der Ablauf der neun-monatigen Frist ermöglicht werden kann.

5. Sie setzen bei Partnern TISAX-Prüfergebnisse voraus

Wenn Sie TISAX als Werkzeug nutzen, um die Informationssicherheit ihrer Lieferkette zu prüfen, zu bewerten und/oder zu verbessern, werden Sie damit umgehen müssen, dass die Prüfungen insbesondere im Assessment-Level 3 für viele ihrer Lieferanten und Kooperationspartner auf Grund der aktuellen Lage verschoben werden müssen.

Eine nicht durchgeführte Prüfung lässt in der aktuellen Lage keine allgemeinen Schlüsse auf schlechte Vorbereitung oder Umsetzung oder fehlenden Willen des Geschäftspartners zu.

Wir empfehlen dies bei der Risikobetrachtung einzubeziehen und ergebnisoffen zu prüfen, ob eine Prüfung im Assessment-Level 2 vorläufig (z. B. für sechs oder zwölf Monate) akzeptiert werden kann.