TISAX® - Sicurezza delle informazioni nell’industria automobilistica

Salvaguardare le informazioni riservate come i prototipi, proteggere la reputazione del marchio e ottenere la fedeltà dei clienti.

In un ambiente estremamente innovativo il cui successo dipende da più fattori, la sicurezza nello scambio di informazioni è fondamentale. L'industria automobilistica richiede un approccio "ecosistemico" alla sicurezza delle informazioni all'interno delle sue lunghe e complesse catene di approvvigionamento

Nell'era digitale le esigenze di sicurezza delle informazioni vanno oltre i fornitori automobilistici, includendo società di marketing e le altre parti coinvolte. La necessità principale è quella di proteggere

  • progetti o informazioni relative alla progettazione, prototipi o piani di investimento segreti;
  • big data e process data, legati ai nuovi concetti di digitalizzazione, sviluppo di auto autonome;
  • interconnessioni all'interno della rete di filiera;
  • i dati personali dei clienti e degli utenti finali.

Cos'è TISAX

TISAX® (Trusted Information Security Assessment eXchange) è un approccio di valutazione sulla sicurezza delle informazioni basato su un modello di maturity e orientato esplicitamente alle esigenze del settore automobilistico. Lo standard è accreditato dal Consorzio ENX (fondato nel 2000, è un’organizzazione che raggruppa produttori di automobili, i fornitori di filiera e quattro associazioni nazionali dell’industria automobilistica) e promosso dai suoi membri dal 2018. E’ applicabile principalmente ai fornitori di primo e secondo livello, ma estendibile a supply chain più complesse, dove la valutazione dell’approccio alla sicurezza (e quindi TISAX®) è un requisito di alcuni OEM.

L'obiettivo dello standard è:

  1. Definire un livello comune di sicurezza per il settore automobilistico (il modello si basa sulla VDA-ISA);
  2. garantire il riconoscimento delle valutazioni per ridurre costi, sforzi e complessità per produttori e fornitori (i risultati degli assessment possono essere condivisi con i potenziali clienti senza necessità di effettuarli ripetute volte);
  3. garantire la comparabilità e la qualità delle valutazioni;
  4. condividere best practice e lezioni apprese;
  5. permettere ai partecipanti di decidere a chi possono essere rivelati i risultati e il grado di dettaglio degli stessi.

TISAX® combina le precedenti Regole sulla sicurezza delle informazioni (ISA) del Verband der Automobilindustrie (VDA) tedesco con l'Appendice A (Controlli tecnici) della ISO / IEC 27001 così come alcuni requisiti sulla privacy.

TISAX® vs ISO / IEC 27001

Sebbene entrambi riguardino la sicurezza delle informazioni, TISAX si basa sugli elementi chiave dello standard ISO/IEC 27001; si concentra però più sugli elementi specificamente rilevanti per il contesto dell'industria automobilistica.

Le principali differenze sono:

ISO/IEC 27001 TISAX
Standard del sistema di gestione Copre i processi di sicurezza delle informazioni e le parti rilevanti per i partner dell'industria automobilistica
Approccio On/off Approccio maturity level
Scopo definito prima della certificazione Scopo prestabilito
L'ente di certificazione rilascia il certificato ENX emette attestato (label) e scambio di registrazione
Audit periodico e ricertificazione dopo 3 anni Validità triennale, no audit periodici

I vantaggi

Oltre ad essere un requisito del ticket-to-trade per alcuni produttori, le valutazioni TISAX® contribuiscono a creare un approccio comune e riconosciuto all'interno di tutta la supply chain. 

I fornitori partecipanti possono beneficiare di:

  1. riconoscimento da parte dei produttori automobilistici; 
  2. prevenzione dalle violazioni alla sicurezza delle informazioni e dagli attacchi informatici; 
  3. ottenere maggiore fiducia dai clienti; 
  4. identificare e affrontare il rischio; 
  5. ottenere il riconoscimento per i dovuti processi di sicurezza delle informazioni; 
  6. condivisione dei risultati della valutazione attraverso lo scambio ENX. 

Da dove iniziare?

Le aziende che accedono al programma devono registrarsi con ENX come partecipanti. 

Il processo si articola in fasi (https://portal.enx.com/en-us/tphen.pdf): 

  • Attenzione: conoscere innanzitutto i requisiti TISAX;
  • Preparazione: registrarsi sul portale TISAX, selezionando l’ente di verifica e preparandosi per l'audit. Questo include un'autovalutazione per misurare la conformità ai requisiti di sicurezza;
  • Valutazione: Il modo in cui viene eseguito l'audit dipende dal livello di valutazione richiesto: Livello 2, tipicamente in remoto, Livello 3 tipicamente on site. L'audit stesso consiste in interviste (in presenza o remote), revisione dei documenti, chiarimenti sui possibili risultati e passaggi successivi;
  • Piano d'azione correttivo e follow-up: Preparare un piano d'azione correttivo (PAC) per colmare eventuali rilievi (non conformità) che vengono presentati dal fornitore di audit. Il PAC viene valutato attraverso un follow-up (o più follow-up) fino a completare il rapporto TISAX;
  • Scambio di risultati: L’ ente di verifica carica il report TISAX sulla piattaforma. L'azienda decide poi con chi condividere i risultati. ENX rilascia gli attestati (LABEL) TISAX all'azienda verificata.

Come può aiutarti DNV?

DNV, fornitore TISAX approvato da ENX, forte della sua provata esperienza nel settore Automotive, è in grado di effettuare gli audit previsti dal sistema TISAX a livello globale. Gli auditor di DNV sono in grado di combinare esperienza nell’Automotive con le competenze sulla sicurezza delle informazioni e la ISO/IEC 27001. Come ente di certificazione presente in più di 100 paesi, combina l’esperienza globale con un’erogazione del servizio sul territorio.

Scopri cosa DNV può offrirti in più

Training

Insights rilevanti in un contesto di apprendimento attivo.

Risk Based Certification

Innalzando il livello qualitativo della certificazione, la nostra metodologia di audit ti consente di dimostrare la conformità allo standard prescelto e allo stesso tempo di costruire performance di business sostenibili nel tempo.