TISAX v kostce: Jak zajistit informační bezpečnost v automobilovém průmyslu

Automobilový průmysl patří mezi odvětví s velmi vysokými nároky na důvěrnost, dostupnost a integritu informací. Organizace, které jsou dodavateli nebo partnery výrobců automobilů (OEM), musí být schopny prokázat, že citlivá data jsou adekvátně chráněna. K tomu slouží standard TISAX. 

🎧 Nechce se vám článek číst? Poslechněte si jeho shrnutí

Co je to TISAX 

TISAX (Trusted Information Security Assessment Exchange) je hodnoticí model, který slouží jako standard pro sdílení výsledků bezpečnostních auditů mezi firmami v automobilovém průmyslu. 

Vytvořila ho asociace ENX a je založen na normě ISO/IEC 27001, kterou rozšiřuje o specifické požadavky na ochranu prototypů, zpracování osobních údajů a další oblasti relevantní pro automobilky. 

Tento standard byl vyvinut v reakci na potřebu jednotného systému ověřování úrovně informační bezpečnosti mezi výrobci a dodavateli v rámci dodavatelského řetězce automobilového průmyslu. Ačkoliv vznikl primárně pro německý a evropský trh, certifikace TISAX je dnes uznávána celosvětově a platí i mimo Evropu. 

Proč TISAX vznikl 

Cílem TISAX bylo sjednotit a zefektivnit bezpečnostní požadavky v rámci automobilového průmyslu. Před zavedením TISAX musely organizace často podstupovat různé audity pro různé partnery.  

Dnes stačí jediný audit, jehož výsledky lze sdílet v rámci platformy ENX, což šetří čas i peníze a přináší větší důvěru mezi partnery. 

Co všechno TISAX hodnotí 

TISAX vychází z tzv. VDA ISA katalogu (Information Security Assessment), který obsahuje tři hlavní oblasti: 

• Informační bezpečnost (Information Security): Základní ISMS rámec (jako u ISO 27001) 

• Ochrana prototypů (Prototype Protection): Fyzická i digitální ochrana vývojových dat a produktů 

• Ochrana osobních údajů (Data Protection): Soulad s požadavky jako GDPR 

Organizace si v rámci přípravy samy určí rozsah hodnocení a jeho cílovou úroveň podle toho, co od nich vyžadují jejich zákazníci. Tím se dostáváme k tomu, jak konkrétně úrovně v rámci TISAX fungují a jak je správně zvolit. 

Jak zvolit rozsah TISAX a úrovně hodnocení 

Jednou z klíčových vlastností TISAXu je flexibilita – organizace si samy zpravidla neurčují, jaký rozsah hodnocení bude proveden a jaká cílová úroveň bezpečnosti je pro ně relevantní. Toto rozhodnutí je často definováno požadavky jejich zákazníků a charakterem jejich činnosti.  

TISAX definuje několik úrovní hodnocení: 

• Úroveň 1 (AL 1) – základní sebehodnocení a jeho publikace v síti TISAX, bez nutnosti externího auditu 

• Úroveň 2 (AL 2) – standardní úroveň bezpečnosti vhodná pro většinu dodavatelů, zahrnuje detailní audit 

• Úroveň 3 (AL 3) – nejvyšší úroveň, určená pro projekty s vysokou citlivostí, například vývoj nových technologií či prototypů, vyžaduje rozsáhlé a přísné kontroly 

Volba úrovně tedy organizacím určuje bezpečnostní požadavky a jejich rozsah, které musí organizace splnit. 

Tato podrobná struktura hodnocení TISAX pomáhá zajistit jednotný a transparentní přístup k informační bezpečnosti v celém automobilovém průmyslu, což významně zvyšuje důvěru mezi výrobci a jejich dodavateli. 

Pro koho je TISAX určen 

TISAX se týká všech organizací, které jsou dodavateli v automobilovém průmyslu a pracují s informacemi, které jejich partneři považují za citlivé. Typicky se jedná o: 

• Dodavatele součástek nebo technologií 

• IT firmy, které poskytují služby výrobcům 

• Vývojové a výzkumné organizace 

• Marketingové a servisní agentury 

• Kdokoliv, kdo pracuje s prototypy, osobními údaji nebo přenáší data do automobilky 

Pokud se vaše firma chce stát součástí dodavatelského řetězce pro automobilky jako je Volkswagen, BMW, Mercedes nebo Škoda Auto, je TISAX často nutnou podmínkou. 

Jak získat certifikaci TISAX 

Získání TISAX hodnocení probíhá v několika krocích: 

1. Vyhodnocení současného stavu (gap analýza) – Posouzení, jaká bezpečnostní opatření už máte a co je třeba doplnit. 

2. Definování rozsahu (scope) – Stanovení rozsahu auditu (např. jedna pobočka nebo celá skupina). 

3. Implementace opatření – Zavedení ISMS a případných doplňkových opatření (např. pro prototypy). 

4. Výběr auditora – Vyberete si akreditovaného poskytovatele auditu z ENX seznamu (např. DNV, DEKRA, TÜV). 

5. Provedení auditu – Auditor ověřuje dokumentaci i praxi ve firmě. 

6. Zveřejnění výsledků v portálu TISAX – Po auditu jsou výsledky zveřejněny a partneři si je mohou zobrazit. 

TISAX není certifikace v klasickém slova smyslu, ale hodnocení, které má omezenou platnost (typicky 3 roky) a musí se pravidelně obnovovat. 
 

Jaké výhody TISAX přináší 

Zavedení TISAX hodnocení přináší firmám řadu konkrétních benefitů: 

1. Přístup k novým zakázkám 

TISAX otevírá dveře k větším projektům a strategickým partnerstvím s významnými automobilkami, které certifikaci vyžadují. 

2. Důvěra obchodních partnerů 

Díky transparentnosti a jednotnému systému hodnocení si obchodní partneři mohou být jisti, že vaše bezpečnostní opatření odpovídají očekávání celého sektoru. 

3. Efektivní řízení bezpečnosti 

TISAX vás vede k implementaci ISMS na míru – včetně technických, organizačních a personálních opatření. To pomáhá snižovat riziko úniků, útoků i lidských chyb. 

4. Úspora nákladů 

Namísto opakovaných auditů pro každého partnera vám stačí jeden. To šetří čas a peníze. 

5. Podpora souladu s regulacemi 

Požadavky TISAX jsou navrženy tak, aby byly v souladu s klíčovými standardy a regulacemi, jako jsou GDPR, směrnice NIS 2 (včetně její implementace prostřednictvím zákona o kybernetické bezpečnosti – ZKB) a norma ISO/IEC 27001. Zavedení systému podle TISAX tak organizaci pomáhá efektivně plnit více regulačních požadavků současně a snižuje administrativní zátěž spojenou s jejich dodržováním. 

TISAX vs. ISO 27001: Jaký je rozdíl? 

• ISO 27001 je univerzální rámec pro řízení informační bezpečnosti, použitelný napříč všemi odvětvími. 

• TISAX je specializovaný model pro automobilový průmysl, který rozšiřuje ISO 27001 o specifické požadavky, například na ochranu prototypů. 

• TISAX nenahrazuje ISO 27001, ale staví na jeho principech. Oba standardy se často zavádějí současně. 

Závěr: TISAX je klíčem k úspěchu v automotive 

Pokud podnikáte v oblasti automobilového průmyslu a chcete budovat důvěru u vašich zákazníků a účastnit se tendrů předních automobilek, TISAX je pro vás nezbytný.  

Implementace vám přinese vyšší úroveň zabezpečení i významnou konkurenční výhodu, která vám usnadní vstup a spolupráci do dodavatelského řetězce automobilového průmyslu. 

Připravte se na TISAX s BESECURED 

Naši experti vám pomohou připravit se na získání certifikace TISAX, která vám otevře dveře k novým zakázkám. 

• Připravíme analýzu vaší současné situace a vypracujeme detailní plán přípravy na TISAX audit.  

• Pomůžeme vám implementovat bezpečnostní opatření a připravit kompletní dokumentaci dle požadavků VDA ISA.  

• Proškolíme váš tým, abyste byli dobře připraveni, a podpoříme vás při výběru akreditovaného auditora.  

• Pomůžeme s registrací vaší firmy do ENX portálu a pomůžeme s publikací výsledků hodnocení.  

• Připravíme vás na požadavky úrovní AL2 i nejvyšší úrovně AL3 podle nejnovější verze standardu TISAX ISA 6. 

• Na úvodním setkání vám celý proces podrobně vysvětlíme, provedeme vás všemi kroky a zajistíme vám plnou podporu po celou dobu přípravy i certifikace.  

Chcete se dozvědět víc? Domluvte si nezávaznou konzultaci a začněte svou cestu k úspěšnému TISAX hodnocení.