nexalign

Branche · Automotive & Zulieferer

DecisionOS für Automotive und Zulieferer

Die Automobilindustrie steht 2026 vor der dichtesten Regulatorik-Welle ihrer Geschichte: TISAX als Beschaffungs-Pflicht, UNECE R155 (CSMS) und R156 (SUMS) als Typgenehmigungs-Pflicht, ISO/SAE 21434 als Produkt-Cybersicherheits-Standard, NIS2 als Cross-Cutter. Jede IT-Entscheidung zu Engineering-Tools, MES, OTA-Update-Plattformen oder SDV-Stack muss diese Achsen gleichzeitig bedienen.

TL;DR

Automotive ist TISAX + UNECE R155/R156 + ISO 21434 + NIS2. Decision Memo ist das einzige Format, das alle vier parallel abbildet.

Regulatorik im Überblick

TISAX/ISA 6.xUNECE R155 (CSMS)UNECE R156 (SUMS)ISO/SAE 21434NIS2EU Data ActMaschinenrichtlinie 2023/1230

Regulatorischer Kontext

TISAX gilt für alle Zulieferer, die OEM-Daten verarbeiten. Prüfstufen: hoch, sehr hoch, mit Sonderanforderungen. Pflicht-Label seit 2017, Audit-Anbieter durch ENX akkreditiert.

UNECE R155 verpflichtet Hersteller zu einem zertifizierten Cybersecurity Management System (CSMS) über den Fahrzeug-Lebenszyklus. R156 verpflichtet zu einem Software Update Management System (SUMS). Beide gelten seit Juli 2024 für alle Typgenehmigungen.

ISO/SAE 21434 ist der Produkt-Standard für Automotive Cybersecurity Engineering. Wird als CSMS-Beleg-Standard genutzt.

EU Data Act bringt ab September 2025 neue Pflichten zur Daten-Portabilität zwischen Fahrzeugdaten-Inhabern (Hersteller) und Nutzern/Drittanbietern.

Typische Entscheidungen

EDR / XDR Auswahl

IAM / IGA / PAM

Sovereign Cloud Migration

NIS2-Readiness Programm

Pentest und Red Team

Backup und DR

Dealbreaker (nicht verhandelbar)

  • TISAX-Label hoch für Anbieter mit Datenzugriff

    OEM-Beschaffungs-Pflicht. Ohne TISAX kein Engineering-Tool im Konzern.

  • ISO/SAE-21434-Kompatibilität bei Produkt-Tools

    Engineering-Tools, die in den Fahrzeug-CSMS-Scope fallen, brauchen 21434-Konformitäts-Nachweise.

  • OTA-Update-Sicherheit und SUMS-Konformität

    R156 fordert Software Update Management System. OTA-Plattform muss konform sein.

  • EU-Datenresidenz und Konstruktions-IP-Schutz

    Konstruktions- und Funktionsdaten sind Geschäftsgeheimnis-Kernsubstanz.

Typische Entscheidungen

Engineering-Tool-Stack (PLM, CAD, Simulation, Test) mit TISAX-Eignung und IP-Schutz.

MES- und Werker-App-Plattformen mit OT-IT-Konvergenz.

OTA-Update-Plattform mit R156-konformem SUMS.

Connected-Car-Cloud mit EU-Datenresidenz und R155-konformem CSMS-Backend.

Wo DecisionOS einspeist

Kriterien-Mapping auf TISAX-ISA-Module, Dealbreaker als R155/R156/21434-Anforderungen, Stakeholder-Alignment über Engineering, IT, Cybersecurity, Procurement, Werks-IT. Versionierung beim Anbieterwechsel.

Hosting und Datenhoheit

DecisionOS wird in Deutschland bei Hetzner gehostet, EU-only Datenfluss, AVV nach Art. 28 DSGVO. Geeignet für Decision-Doku der TISAX-/R155-/R156-Tool-Beschaffung.

FAQ

Ist TISAX Pflicht oder freiwillig?

Faktisch Pflicht, formell vertraglich. Nahezu alle deutschen OEMs verlangen TISAX-Label für Zulieferer mit Datenzugriff. Ohne TISAX kein Auftrag.

Was kostet TISAX-Erstzertifizierung?

Implementierung und ISMS-Aufbau typischerweise 80-300 TEUR im Erstjahr. Audit selbst 15-40 TEUR. Geltungsdauer 3 Jahre. Bei vorhandenem ISO 27001 deutlich günstiger.

Wie verhält sich R155 zu ISO 21434?

R155 verlangt ein CSMS, gibt aber keine konkreten Anforderungen vor. ISO/SAE 21434 ist der akzeptierte technische Standard zur Erfüllung. Wer ISO 21434 implementiert, ist faktisch R155-konform; ohne ISO 21434 wird der Konformitäts-Nachweis schwer.

Demo buchen →Was ist DecisionOS?