TISAX (Trusted Information Security Assessment Exchange) è il meccanismo con cui l'industria automotive valuta e si scambia il livello di sicurezza delle informazioni dei propri fornitori. È nato in Germania, dove i grandi costruttori avevano un problema pratico: ogni fornitore lavora per più case, e ogni casa pretendeva un proprio audit sulla protezione dei dati. Il risultato erano decine di verifiche quasi identiche sulla stessa azienda. TISAX nasce per fare la verifica una volta sola e renderla condivisibile tra chi ne ha titolo, gestito dall'associazione ENX.

Il contenuto tecnico arriva dal questionario VDA ISA (Information Security Assessment), elaborato dall'associazione tedesca dei costruttori. Quel questionario, a sua volta, è costruito sulla ISO/IEC 27001: ritrova gli stessi temi (governo della sicurezza, gestione del rischio, controllo degli accessi, gestione degli incidenti) e vi aggiunge i punti che interessano in modo specifico al settore auto, come la protezione dei prototipi e la connessione con i fornitori.

Cosa NON è: la differenza con la ISO 27001

Qui sta l'equivoco più comune. TISAX assomiglia molto alla ISO/IEC 27001, ne usa la stessa logica, ma non è una certificazione ISO. La ISO/IEC 27001 è uno standard internazionale: un organismo di certificazione accreditato verifica il tuo sistema di gestione e rilascia un certificato spendibile con chiunque, in qualunque settore. TISAX, invece, non rilascia un certificato ISO: produce un'etichetta di valutazione (una label), con esiti registrati su una piattaforma e visibili solo ai membri ENX a cui decidi di darli in condivisione.

È la differenza tra un diploma riconosciuto ovunque e un attestato che vale dentro un certo club. La ISO/IEC 27001 è il diploma; TISAX è il lasciapassare interno alla filiera automotive. Per questo TISAX prevede livelli di assurance, cioè gradi di approfondimento della verifica, in funzione di quanto sono sensibili le informazioni che tratti: più alto il rischio, più stringente il controllo.

A chi serve davvero

TISAX serve a chi lavora, o vuole lavorare, nella catena di fornitura dell'automotive: chi sviluppa componenti, software, stampi, chi fornisce servizi di ingegneria o gestisce dati e prototipi per conto di un costruttore. In pratica chi te lo chiede è una casa automobilistica o un fornitore più a monte, come condizione per affidarti commesse. Non è un obbligo di legge: è un requisito contrattuale di un settore. Fuori dall'auto, TISAX non viene richiesto, e per dimostrare in generale che proteggi le informazioni lo strumento universale resta la ISO/IEC 27001.

Come si svolge la valutazione

Lo schema, in estrema sintesi, prevede tre passaggi. Ci si registra sulla piattaforma ENX e si definisce l'ambito (le sedi e i tipi di informazione coinvolti). Si compila un'autovalutazione con il questionario VDA ISA, misurando dove sei rispetto a ciascun requisito. Infine un soggetto verificatore accreditato da ENX conduce la valutazione vera e propria: superata, ottieni la label, che condividi con i clienti che la richiedono. La label ha una validità a termine, dopo la quale la verifica va ripetuta.

Il rapporto con la ISO 27001: il vero vantaggio

Ed è qui che le due cose si parlano. Visto che il questionario VDA ISA nasce dalla ISO/IEC 27001, chi ha già costruito un sistema di gestione della sicurezza delle informazioni (SGSI) conforme a quella norma affronta TISAX con molto meno sforzo: politiche, analisi del rischio, controllo degli accessi, gestione degli incidenti, formazione del personale sono già a posto. Restano da curare i punti tipici dell'auto, come la protezione dei prototipi. Funziona un po' come avere già pagato e collaudato l'impianto elettrico di casa: aggiungere una stanza è questione di rifiniture, non di rifare tutto.

Per questo, se l'obiettivo è entrare nella filiera automotive in modo solido, partire dalla ISO/IEC 27001 è spesso la mossa più sensata: dà un certificato spendibile ovunque e, allo stesso tempo, prepara gran parte di ciò che TISAX andrà a verificare.

Domande frequenti

TISAX sostituisce la ISO 27001? No. Sono cose diverse: la ISO/IEC 27001 è una certificazione internazionale valida in ogni settore; TISAX è una valutazione, con label, pensata per la filiera automotive e riconosciuta tra i membri ENX.

Se ho la ISO 27001 ho automaticamente TISAX? No, restano due percorsi distinti e TISAX va comunque svolto. Però chi ha un SGSI ISO/IEC 27001 ben funzionante copre già gran parte dei requisiti e arriva alla valutazione molto più preparato.

TISAX è obbligatorio? Non per legge. Lo diventa quando un cliente automotive lo mette come condizione per lavorare con te: in quel caso, senza, non si entra in fornitura.

Chi gestisce TISAX? L'associazione ENX, che governa la piattaforma e accredita i soggetti che svolgono le valutazioni. Il contenuto tecnico è il questionario VDA ISA, derivato dalla ISO/IEC 27001.

In breve: se ti hanno chiesto TISAX, non stai cercando una certificazione ISO, ma il lasciapassare della filiera auto. E il modo più efficiente per prepararti, e per avere in mano qualcosa che vale anche fuori da quel mondo, è costruire un sistema di gestione conforme alla ISO/IEC 27001.