TISAX®: Informatiebeveiliging in de automotive sector

De automotive sector ontwikkelt zich in een razendsnel tempo. Moderne auto’s zijn hierbij steeds vaker connected. Dit betekent dat ze via een internetverbinding kunnen communiceren met andere voertuigen, externe apparaten en het internet. Dit maakt niet alleen veel dingen makkelijker, maar zorgt ook voor extra beveiligingsrisico’s. Zo kan een cyberaanval ervoor zorgen dat een hacker een auto kan besturen of onklaar kan maken. Het is daarom van belang om de data die connected auto’s verzamelen en uitwisselen, te beschermen.

De TISAX^® helpt bedrijven in de automotive sector om op een gestandaardiseerde manier aan te tonen dat hun informatiebeveiliging op orde is en om veiligere auto's te ontwikkelen. In dit blog vertellen wij je meer over het label, waarom het belangrijk is om eraan te voldoen en hoe je dit doet.

In dit blog:

• Wat is TISAX®?
• Wat is het verschil tussen TISAX® en ISO 27001?
• Waarom is TISAX® belangrijk?
• De verschillende assessment levels binnen TISAX®
• Hoe behaal je een TISAX® label?

Wat is TISAX^®?

TISAX^® staat voor Trusted Information Security Assessment Exchange en is een label dat specifiek is ontwikkeld voor de automotive sector. Het doel van het label is om de informatiebeveiliging binnen de branche op een uniform niveau te brengen en veiligere auto's te maken. De TISAX^® stelt een norm voor het werken met informatie en stimuleert een goed informatiebeveiligingsbeleid.

De ISO 27001, de internationale norm voor informatiebeveiliging, vormt de basis voor de TISAX^®. Hier zijn aanvullende eisen aan toegevoegd die specifiek zijn voor de automotive sector, zoals de bescherming van prototypes en hoe er moet worden omgegaan met gevoelige partnerdata.

De TISAX® is opgericht door de VDA (Verband der Automobilindustrie) en wordt beheerd door de ENX Association die audit providers beoordeeld en goedgekeurd.

Voor wie is TISAX^®?

De TISAX^® is relevant voor iedere organisatie in de automotive sector die werkt met gevoelige data en bij de ontwikkeling van nieuwe auto's. Organisatie die hieronder vallen zijn bijvoorbeeld:

• Autofabrikanten
• Keten leveranciers
• Ontwikkel- en designbureaus
• Test- en engineerbedrijven
• IT-dienstverleners die data of systemen beheren voor automotive klanten.

In veel gevallen eisen grote autofabrikanten dat hun leveranciers een geldig TISAX^®-label hebben voordat zij opdrachten verstrekken.

Is een TISAX^®label verplicht?

Het TISAX^® label is ontwikkeld door de VDA waar vooral Duitse autofabrikanten en toeleveranciers (zoals BMW, VAG en Daimler) bij aangesloten zijn. Het is dus vanzelfsprekend dat deze partijen veel waarde hechten aan het label en als harde eis stellen voor een samenwerking. In de praktijk stellen veel opdrachtgevers het TISAX^® label verplicht voor Europese autofabrikanten.

Wat is het verschil tussen TISAX^® en ISO 27001?

Hoewel de TISAX^® en ISO 27001 beide gaan over informatiebeveiliging, zijn er enkele duidelijke verschillen. Zo richt de TISAX^® zich alleen op elementen die specifiek zijn voor de automotive sector en met name de toeleveringsketen en de ontwikkeling van veiligere auto's. Hieronder hebben we ze overzichtelijk voor je op een rijtje gezet:

1. Aspect	TISAX®	ISO 27001
   Doelgroep	Specifiek voor de automotive sector.	Universeel, toepasbaar op alle sectoren.
   Basisnorm	Gebaseerd op de ISO 27001, aangevuld met specifieke eisen voor de automotive sector.	Gebaseerd op de internationale ISO/IEC standaard.
   Beoordelingsmethode	Maturity-model met verschillende assessment levels.	Certificering die je wel of niet haalt.
   Beheersorganisatie	ENX Association.	Internationale ISO-organisatie.
   Resultaat	TISAX®-label (gedeeld via ENX-platform).	ISO 27001-certificaat.
   Focusgebieden	Inclusief prototypebeveiliging, fysieke beveiliging testlocaties, ketenvertrouwen.	Algemene informatiebeveiliging zonder sectorspecifieke eisen.
   Manier van auditen	Eerst een Self Assessment, daarna komt er een auditor langs.	Een externe audit door een certificerende instelling.
   Controlemomenten	Geen, het is een eenmalig assessment dat drie jaar geldig is.	Jaarlijks een tussentijdse controle audit.

Meer weten over de verschillende wetten en gerelateerde normenkaders rondom informatiebeveiliging? Lees dan ons blog: Wetten en gerelateerde normenkaders m.b.t. informatiebeveiliging.

Waarom is TISAX^®belangrijk?

Wanneer jij niet beschikt over een TISAX^® label kan het voorkomen dat potentiële opdrachtgevers sneller kiezen voor een concurrent die wel over het label beschikt. Het is dus zeer bepalend voor de toekomst van jouw organisatie en toont aan dat jij een betrouwbare partner bent. Maar dat is niet het enige. TISAX^® is ook van belang om:

• Dubbele audits te voorkomen dankzij wederzijdse erkenning van TISAX^®-labels.
• Kosten en tijd te besparen bij aanbestedingen en selectie van klanten.
• Te voldoen aan de GDPR en andere relevante regelgevingen.
• Te zorgen voor een algemeen niveau van informatiebeveiliging in de branche. Dit door tegemoet te komen aan specifieke vereisten.
• Veiligere auto's te ontwikkelen die beter beschermd zijn tegen cyberdreigingen.

De verschillende assessments binnen TISAX^®

De TISAX^® maakt gebruik van drie assessment levels (AL). Deze geven aan hoe uitgebreid de beoordeling van jouw informatiebeveiliging is. Het juiste niveau is afhankelijk van de gevoeligheid van de informatie waar je mee werkt en de eisen van jouw klanten. 

• AL1 - Zelfbeoordeling: AL1 is het laagste level en bedoeld voor interne doeleinden waarbij je zelf de vragenlijst van VDA ISA invult. De beoordelingsresultaten hebben een beperkte betekenis en worden daarom ook niet gebruikt in TISAX^®.
• AL2 - Plausibiliteitscontrole van zelfbeoordeling: Bij AL2 voert een geaccrediteerde auditprovider een externe beoordeling uit, vaak in de vorm van een telefonische vergadering en niet ter plaatse.
• AL3 - Volledig assessment: Dit is de meest uitgebreide beoordeling en bevat inspecties op locatie, gesprekken met medewerkers en verificatie van fysieke en technische maatregelen. AL3 is bedoeld voor organisaties die met zeer vertrouwelijke informatie werken en waarbij de risico’s van een incident groot zijn.

Het gekozen assessment level bepaalt niet alleen de intensiteit van de audit, maar ook hoe zwaar je TISAX^®-label weegt bij potentiële klanten. In de meeste gevallen vindt er een combinatie van assessment levels plaats. Bijvoorbeeld eerst een zelfbeoordeling (AL1) gevolgd door een externe beoordeling (AL2).

Hoe behaal je een TISAX^® label?

Wil je het TISAX^® label behalen? Dan zul je het volgende proces moeten doorlopen:

1. Registratie bij ENX: Als eerste zul je je moeten registreren bij ENX om het proces te starten.
2. Bepaal de scope en doelen: Binnen TISAX^® zijn er acht assessment objectives (of categorieën) die samengesteld zijn naar aanleiding van de scope van jouw organisatie en het benodigde niveau van gegevensbescherming.
3. Een audit provider selecteren: Kies vervolgens een geaccrediteerde partij die de audit uit zal voeren. Bekende partijen zijn: BSI, TÜV SÜD of SGS.
4. Assessment: Een klant of opdrachtgever heeft in de meeste gevallen een aantal audit assessment objectives voorgeschreven. Op basis daarvan ga je het auditproces in. Dit begint met een zelfbeoordeling (assessment level 1) en daarna een eventuele audit door een TISAX^® audit provider (assessment level 2 of 3).
5. Rapportage en correcties: Je ontvangt van de auditor een rapport met de bevindingen. Eventuele tekortkomingen die hieruit komen kun je oplossen binnen een afgesproken termijn.
6. Publicatie van het TISAX^® label: Na goedkeuring wordt jouw TISAX^® label geüpload bij het ENX door de audit provider. De ENX publiceert het label vervolgens op het TISAX^® portaal. Je ontvangt uiteindelijk dus geen certificaat.

Wanneer je geregistreerd staat op het TISAX^® portaal kunnen klanten en partners jouw TISAX^® label inzien en toon je aan dat je een betrouwbare partner bent in de automotive sector.

Het juiste TISAX^® assessment level direct toepassen met Base27

Als organisatie binnen de automotive sector is het noodzaak om over een TISAX^® label te beschikken zodat je kan laten zien dat de informatiebeveiliging binnen jouw organisatie op orde is. Daarnaast zal het steeds vaker een vereiste worden vanuit autofabrikanten. TISAX^® audits kunnen echter al snel erg complex en tijdrovend zijn, met name de zelfbeoordeling die jij zonder hulp van een audit provider uit zal moeten voeren.

Base27 biedt hiervoor de uitkomst en is een krachtig  ISMS waarmee je gemakkelijk de informatiebeveiliging van jouw organisatie conform de TISAX^® op kan zetten. Van risicoanalyse tot rapportage, met Base27 beheer je alles in één systeem en voer je gemakkelijk een interne audit of ander assessment uit. Hierbij wordt ook ondersteuning geboden voor andere normen, zoals de ISO 27001.

Dankzij Base27 hoef je geen haastige updates door te voeren of handmatig werk te verrichten. De normen zijn direct toepasbaar binnen jouw organisatie. Zo is jouw informatiebeveiliging altijd up-to-date met de nieuwste eisen en kun jij gemakkelijk voldoen aan de TISAX^®.