La sicurezza delle informazioni nella supply chain automotive

TISAX® è l'acronimo di Trusted Information Security Assessment Exchange. TISAX® consente l'accettazione reciproca delle valutazioni di sicurezza delle informazioni nell'industria automobilistica e fornisce un meccanismo comune di valutazione e scambio che garantisce la condivisione sicura di informazioni sensibili alle aziende partner, per ispirare fiducia in tutta la catena di fornitura automobilistica.

TISAX® è stato istituito da VDA (l'associazione tedesca dell'industria automobilistica) ed è gestito da ENX Association, che ha valutato e confermato lo status di BSI come fornitore di audit approvato da TISAX®.

Sviluppato da esperti di sicurezza del settore automobilistico e basato su standard internazionali di sistema di gestione della sicurezza delle informazioni (ISMS) come ISO/IEC 27001, TISAX® fornisce un catalogo di requisiti, che copre gli aspetti virtuali, fisici e sociali della sicurezza delle informazioni, specifici per la catena di fornitura automobilistica. Questo catalogo è denominato Information Security Assessment (ISA) e costituisce la base della valutazione condotta da BSI in qualità di fornitore di audit TISAX® approvato.

I produttori di apparecchiature originali (Original Equipment Manufacturers, OEM) riconoscono sempre più spesso, e in alcuni casi ne impongono la presenza, che l’etichetta TISAX® è una dimostrazione della conformità di un'organizzazione ai requisiti di sicurezza delle informazioni, contribuendo così a garantirla in tutta la supply chain automotive.  

Attualmente ci sono più di 3.000 i partecipanti TISAX® (OEM e fornitori certificati TISAX®) in quasi 6.000 sedi registrate in tutto il mondo. Questo include un insieme di organizzazioni che lavorano con gli OEM, come i fornitori di componenti per i veicoli e i fornitori di servizi tecnologici, ma non solo.  

È fondamentale che le organizzazioni dimostrino ai clienti, a intervalli regolari, di essere conformi a requisiti standardizzati e specifici relativi alla sicurezza delle informazioni. Sia TISAX® che ISO/IEC 27001 rispondono a questo obiettivo.  

TISAX® è strettamente allineato con ISO/IEC 27001, ma presenta alcuni requisiti aggiuntivi specifici del settore automotive, in particolare incentrati sulla supply chain. Ad esempio, lo scambio di dati di progettazione nei processi di sviluppo e lo scambio automatizzato di dati tra sistemi di produzione connessi in rete. Inoltre, la disponibilità e l'affidabilità della produzione sono affrontate in modo più specifico attraverso gli assessment TISAX®.   

In tutto l’ISA sono presenti i riferimenti alle  clausole ISO/IEC 27001, in modo che le aziende possano facilmente allineare la gestione della sicurezza nella supply chain con qualsiasi sistema di gestione della sicurezza delle informazioni ISO/IEC 27001 implementato nella loro organizzazione.  

1. Registrazione TISAX®: il cliente si registra nel portale ENX, indicando l'ambito dell’assessment.  
2. Assessment TISAX®: il cliente è sottoposto alla valutazione (una o più), condotta da un audit provider TISAX®, ad esempio BSI.  
3. Label TISAX®: una volta completato con successo l’assessment, ENX fornisce la label TISAX®, consentendo all'organizzazione valutata di condividerla con tutti i partecipanti TISAX® o con partner commerciali selezionati.

Esistono 3 livelli di assessment TISAX®; il livello appropriato potrà essere selezionato in fase di registrazione.  

• AL 1:Autovalutazione da parte dell’auditee. Valutazione dell'autodichiarazione esistente da parte dell’organizzazione che viene sottoposta ad audit.
• AL 2:Verifica della plausibilità dell'autovalutazione limitatamente alla valutazione delle evidenze e ad un colloquio con un esperto.
• AL 3: Assessment completo che include la valutazione delle evidenze, l'ispezione on site e i colloqui con gli esperti.

TISAX® è un marchio di proprietà dell'Associazione ENX. BSI è formalmente riconosciuta dall'Associazione ENX per condurre audit assessment TISAX®.