TISAX: cos'è e perché non è una certificazione ISO 27001
TISAX (Trusted Information Security Assessment Exchange) è il meccanismo con cui l'industria automotive valuta e si scambia il livello di sicurezza delle informazioni dei propri fornitori. È nato in Germania, dove i grandi costruttori avevano un problema pratico: ogni fornitore lavora per più case, e ogni casa pretendeva un proprio audit sulla protezione dei dati. Il risultato erano decine di verifiche quasi identiche sulla stessa azienda. TISAX nasce per fare la verifica una volta sola e renderla condivisibile tra chi ne ha titolo, gestito dall'associazione ENX.
Il contenuto tecnico arriva dal questionario VDA ISA (Information Security Assessment), elaborato dall'associazione tedesca dei costruttori. Quel questionario, a sua volta, è costruito sulla ISO/IEC 27001: ritrova gli stessi temi (governo della sicurezza, gestione del rischio, controllo degli accessi, gestione degli incidenti) e vi aggiunge i punti che interessano in modo specifico al settore auto, come la protezione dei prototipi e la connessione con i fornitori.
Cosa NON è: la differenza con la ISO 27001
Qui sta l'equivoco più comune. TISAX assomiglia molto alla ISO/IEC 27001, ne usa la stessa logica, ma non è una certificazione ISO. La ISO/IEC 27001 è uno standard internazionale: un organismo di certificazione accreditato verifica il tuo sistema di gestione e rilascia un certificato spendibile con chiunque, in qualunque settore. TISAX, invece, non rilascia un certificato ISO: produce un'etichetta di valutazione (una label), con esiti registrati su una piattaforma e visibili solo ai membri ENX a cui decidi di darli in condivisione.
È la differenza tra un diploma riconosciuto ovunque e un attestato che vale dentro un certo club. La ISO/IEC 27001 è il diploma; TISAX è il lasciapassare interno alla filiera automotive. Per questo TISAX prevede livelli di assurance, cioè gradi di approfondimento della verifica, in funzione di quanto sono sensibili le informazioni che tratti: più alto il rischio, più stringente il controllo.
A chi serve davvero
TISAX serve a chi lavora, o vuole lavorare, nella catena di fornitura dell'automotive: chi sviluppa componenti, software, stampi, chi fornisce servizi di ingegneria o gestisce dati e prototipi per conto di un costruttore. In pratica chi te lo chiede è una casa automobilistica o un fornitore più a monte, come condizione per affidarti commesse. Non è un obbligo di legge: è un requisito contrattuale di un settore. Fuori dall'auto, TISAX non viene richiesto, e per dimostrare in generale che proteggi le informazioni lo strumento universale resta la ISO/IEC 27001.
Come si svolge la valutazione
Lo schema, in estrema sintesi, prevede tre passaggi. Ci si registra sulla piattaforma ENX e si definisce l'ambito (le sedi e i tipi di informazione coinvolti). Si compila un'autovalutazione con il questionario VDA ISA, misurando dove sei rispetto a ciascun requisito. Infine un soggetto verificatore accreditato da ENX conduce la valutazione vera e propria: superata, ottieni la label, che condividi con i clienti che la richiedono. La label ha una validità a termine, dopo la quale la verifica va ripetuta.
Il rapporto con la ISO 27001: il vero vantaggio
Ed è qui che le due cose si parlano. Visto che il questionario VDA ISA nasce dalla ISO/IEC 27001, chi ha già costruito un sistema di gestione della sicurezza delle informazioni (SGSI) conforme a quella norma affronta TISAX con molto meno sforzo: politiche, analisi del rischio, controllo degli accessi, gestione degli incidenti, formazione del personale sono già a posto. Restano da curare i punti tipici dell'auto, come la protezione dei prototipi. Funziona un po' come avere già pagato e collaudato l'impianto elettrico di casa: aggiungere una stanza è questione di rifiniture, non di rifare tutto.
Per questo, se l'obiettivo è entrare nella filiera automotive in modo solido, partire dalla ISO/IEC 27001 è spesso la mossa più sensata: dà un certificato spendibile ovunque e, allo stesso tempo, prepara gran parte di ciò che TISAX andrà a verificare.
Domande frequenti
TISAX sostituisce la ISO 27001? No. Sono cose diverse: la ISO/IEC 27001 è una certificazione internazionale valida in ogni settore; TISAX è una valutazione, con label, pensata per la filiera automotive e riconosciuta tra i membri ENX.
Se ho la ISO 27001 ho automaticamente TISAX? No, restano due percorsi distinti e TISAX va comunque svolto. Però chi ha un SGSI ISO/IEC 27001 ben funzionante copre già gran parte dei requisiti e arriva alla valutazione molto più preparato.
TISAX è obbligatorio? Non per legge. Lo diventa quando un cliente automotive lo mette come condizione per lavorare con te: in quel caso, senza, non si entra in fornitura.
Chi gestisce TISAX? L'associazione ENX, che governa la piattaforma e accredita i soggetti che svolgono le valutazioni. Il contenuto tecnico è il questionario VDA ISA, derivato dalla ISO/IEC 27001.
In breve: se ti hanno chiesto TISAX, non stai cercando una certificazione ISO, ma il lasciapassare della filiera auto. E il modo più efficiente per prepararti, e per avere in mano qualcosa che vale anche fuori da quel mondo, è costruire un sistema di gestione conforme alla ISO/IEC 27001.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
🔗 Se ti serve una certificazione
Questo tema non è una certificazione accreditata. Per ottenere un certificato, guarda alle norme certificabili correlate:
ISO/IEC 27001 — Sistema di gestione per la sicurezza delle informazioniArticoli Correlati
Certificazione ISO/IEC 27001: come funziona e perché la chiedono tutti
Cos'è la ISO/IEC 27001:2022, come si ottiene la certificazione del SGSI passo dopo passo, quanto tempo serve, i vantaggi concreti e il legame con NIS2 e DORA. Guida evergreen, indipendente e senza markette.
ISO/IEC 27001: guida alla certificazione, sicurezza e NIS2
Scopri cos’è la certificazione ISO 27001, a chi serve, requisiti, iter, tempi e vantaggi. Percorso chiaro per PMI e grandi imprese con focus NIS2 e GDPR.
Certificazione ISO/IEC 20000-1, come funziona la gestione dei servizi IT
Cos'è la ISO/IEC 20000-1:2018, la norma che certifica il sistema di gestione dei servizi IT (ITSM), come ci si certifica passo dopo passo, che rapporto ha con ITIL e perché spesso si certifica insieme alla ISO/IEC 27001. Guida evergreen e indipendente.