Według raportu PZPM 2023/2024 łączne przychody europejskich firm samochodowych w 2023 r. stanowiły aż 8% PKB Unii Europejskiej. W produkcję aut zaangażowanych jest około 2,5 mln Europejczyków działających w ramach różnych przedsiębiorstw – producentów, podwykonawców czy dostawców usług. Nikogo nie powinno więc dziwić, że podmioty z branży automotive kładą tak duży nacisk na bezpieczeństwo wymiany informacji. Chociaż rozwiązania prawne, takie jak dyrektywy NIS, NIS 2 oraz dyrektywa CER, podnoszą bezpieczeństwo w wielu sektorach, to branża automotive dba dodatkowo o ochronę danych we własnym zakresie.

 

Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA) już ponad dekadę temu dostrzegło problem związany z bezpieczeństwem informacji. Opracowało więc katalog pytań VDA ISA, na podstawie którego określano, czy dany podmiot spełnia minimalne standardy bezpieczeństwa.

 

VDA ISA bazuje na wytycznych stawianych przez normy ISO/IEC 27001 oraz ISO/IEC 27002. Na przestrzeni lat katalog był stale ulepszany i dostosowywany do zmieniających się realiów.

 

To narzędzie do oceny zarządzania bezpieczeństwem informacji stosowane jest zarówno do celów wewnętrznych, jak i zewnętrznych. Na jego podstawie firmy oceniają przyszłych dostawców i podwykonawców lub audytują własny poziom zabezpieczeń.

 

Wykonywanie kontroli za każdym razem, gdy dany podmiot chciał nawiązać nową współpracę, było kosztowne i pracochłonne, dlatego w 2017 roku VDA opracowało standard TISAX® (Trusted Information Security Assessment Exchange). W przeciwieństwie do innych aktów prawnych o cyberbezpieczeństwie, takich jak rozporządzenie DORA, TISAX® nie jest prawem, a jedynie przyjętym i uznawanym przez branżę rozwiązaniem (tzw. dobre praktyki rynkowe w danej branży w obszarze cyberbezpieczeństwa).

 

Czym jest zatem TISAX®? To mechanizm pozwalający na znormalizowaną ocenę i wymianę informacji o wynikach audytów między podmiotami działającymi w branży automotive. Wymiana informacji w ramach TISAX® odbywa się za pośrednictwem platformy European Network Exchange (ENX). Z programu TISAX® mogą skorzystać wszystkie podmioty współpracujące z branżą motoryzacyjną, w tym wykonawcy usług dla tej branży czy instytuty badawcze. Również potencjalni kontrahenci nie muszą za każdym razem sprawdzać poziomu bezpieczeństwa firmy automotive – wystarczy, że skorzystają z bazy prowadzonej przez ENX.

 

Uczestnicy TISAX® mogą wybrać jedną z dwóch opcji:

 

• zlecić wykonanie audytu firmie, z którą chcą współpracować,
• dostarczyć informacje o wynikach przeprowadzonej u siebie kontroli.

 

Do oceny stopnia ochrony informacji w ramach TISAX® wykorzystuje się trzy poziomy kontroli – AL1, AL2 i AL3. Podmiot zlecający audyt określa, jaki poziom kontroli interesuje go w danym aspekcie.
 

• AL1 wykorzystywany jest głównie do celów wewnętrznych. Polega na wypełnieniu kwestionariusza VDA ISA i wskazaniu nazw dokumentów regulujących konkretne kwestie.
• Na poziomie AL2 zewnętrzni audytorzy weryfikują prawdziwość podanych przez firmę informacji poprzez sprawdzenie dowodów i przeprowadzanie wywiadów w formie wideokonferencji.
• Na poziomie AL3 audytor dodatkowo wykonuje kontrolę on-site, w ramach której m.in. obserwuje otoczenie i przebieg procesów oraz przeprowadza nieplanowane rozmowy z pracownikami.

 

Nowa wersja TISAX® obowiązująca od 1 kwietnia 2024 roku.

 

Od 1 kwietnia 2024 roku kontrole wykonywane w ramach systemu TISAX® opierają się na katalogu VDA ISA w wersji 6.0. Zmiany dotyczą przede wszystkim kwestii związanych z cyberbezpieczeństwem, a więc wpisują się w trend wyznaczany m.in. przez dyrektywę NIS 2 czy nowelizację ustawy o KSC.

 

Najważniejsze zmiany to:

 

• większy nacisk na dostępność środowisk IT i OT,
• przeformowanie katalogu ochrony danych,
• dodanie nowych odniesień do normy ISO/IEC 27001 i NIST Cybersecurity Framework 1.1,
• dodatkowe wskazówki dotyczące wdrażania zaleceń związanych z bezpieczeństwem,
• zmiana wiodącego języka na angielski.

 

Nowa wersja VDA ISA skupia się na czterech aspektach związanych z cyberbezpieczeństwem:

 

• zwiększeniu odporności na ataki,
• wczesnym wykrywaniu incydentów,
• szybkiej i skoordynowanej odpowiedzi na atak,
• odzyskiwaniu zdolności po incydencie.

 

Oprócz tych kwestii w dokumentacji pojawiły się też drobne zmiany, dzięki którym wymagania są bardziej przejrzyste i precyzyjne.

 

 

Starania o certyfikat TISAX® (formalnie nazywany etykietą) zaczynają się od odpłatnej rejestracji w systemie. Formularz rejestracyjny można wypełnić online. Firma musi zaakceptować warunki uczestnictwa w programie i wskazać pracownika odpowiedzialnego za kontakt i współpracę z TISAX®.

Na tym etapie zbierane są informacje o firmie oraz zakresie dokonywanej oceny, w który może wejść każda część przedsiębiorstwa przetwarzająca informacje.

Po dokonaniu rejestracji firma podlega szczegółowej ocenie opartej na katalogu VDA ISA. Najpierw dokonuje ona wewnętrznej samooceny i jej interpretacji. Pozwala to na wprowadzenie zmian mających na celu dostosowanie się do wymagań. Następnie podmiotowi przydzielany jest akredytowany audytor TISAX®, który przeprowadza szczegółowy audyt zgodności zakończony raportem końcowym.

Wyniki audytu publikowane są na platformie ENX. Kontrolowana firma może udostępnić wyniki wyłącznie wybranemu partnerowi biznesowemu, wszystkim uczestnikom TISAX® lub indywidualnie zdefiniować zakres udostępnianych informacji. Otrzymany certyfikat TISAX® jest ważny przez trzy lata.

 

 

TISAX® zapewnia dostęp do bazy podmiotów działających w branży automotive, które spełniają określone wymagania dotyczące bezpieczeństwa informacji. Od 2018 roku każdy podmiot współpracujący z niemieckimi firmami z sektora samochodowego musi posiadać certyfikat TISAX®. Obecnie standard ten jest uznawany i wykorzystywany przez firmy z całego świata.

 

Uczestnictwo w TISAX® zapewnia wiele korzyści, m.in.:

• łatwiejsze nawiązywanie i odnawianie relacji z dostawcami dzięki wysokiej wiarygodności,
• możliwość nawiązywania nowych kontaktów z dostawcami i producentami,
• mniejsze koszty i wysiłek związane z oceną kontrahentów,
• korzystanie z najlepszych rozwiązań w zakresie bezpieczeństwa informacji dla branży automotive,
• sprawniejsza komunikacja w ramach łańcucha dostaw.

 

Wdrażanie TISAX® wzmacnia pozycję firmy na rynku i zapewnia jej przewagę nad konkurencją, która nie poddała się ocenie. Zwiększa też zaufanie do audytowanego przedsiębiorstwa. Dzięki standaryzowanym procedurom kontrahenci wiedzą, że potencjalny partner biznesowy spełnia określone wymagania i można mu powierzyć wrażliwe informacje.

 

 

TISAX® to standard bezpieczeństwa oparty na VDA ISA. Dotyczy kwestii związanych z bezpieczeństwem informacji dla firm z branży motoryzacyjnej. Podczas audytu sprawdzanych jest przede wszystkim 7 podstawowych kryteriów, choć zlecający kontrolę może poszerzyć zakres oceny. Informacje o wynikach audytów dostępne są dla potencjalnych kontrahentów na platformie ENX.

 

Dołączenie do TISAX® ułatwia firmom funkcjonowanie w branży automotive. Jeśli chcesz poprawić bezpieczeństwo danych w swojej firmie, możesz skorzystać z usług specjalistów Netii działających w ramach Security Operations Center. Wysoka jakość naszych usług potwierdzona jest certyfikatem ISO/IEC 27001. Oferujemy też kompleksowe rozwiązania zapewniające ochronę danych przed atakami czy ciągłość działania procesów biznesowych np. w ramach usługi Netia Data Protection.

 

Jeśli szukasz pomocy w przygotowaniu firmy do audytu TISAX®, skontaktuj się ze specjalistami Netii. Razem z nami przygotujesz ją do wymagań stawianych przez nową wersję VDA ISA.