DNV GL

TISAX® - Sicurezza delle informazioni nell’industria automobilistica

TISAX_Info_Security_Automotive

Contattaci

Vuoi saperne di più su questo servizio?

Prenota una call

Per richiedere una quotazione

Clicca qui

In un ambiente estremamente innovativo, dove il successo dipende da più attori in gioco, lo scambio e trasferimento sicuro delle informazioni è essenziale per salvaguardarne la sicurezza: parliamo di dati, progetti, informazioni organizzative e prototipi: proteggerle in maniera adeguatà serve ad aumentare la propria reputazione come partner affidabile e conseguentemente a fidelizzare i clienti.

Con una supply chain lunga e complessa, l'industria automobilistica richiede un approccio alla sicurezza delle informazioni "ecosistemico". Nell'era digitale, le esigenze di sicurezza delle informazioni vanno dai fornitori automobilistici alle aziende di marketing e ad altre parti coinvolte. L'esigenza primaria è quella di proteggere: 

  • progetti o informazioni relative alla progettazione, prototipi o piani di investimento segreti;
  • big data e process data, legati ai nuovi concetti di digitalizzazione, sviluppo di auto autonome;
  • interconnessioni all'interno della rete di filiera;
  • i dati personali dei clienti e degli utenti finali.

TISAX® (Trusted Information Security Assessment eXchange) è un approccio di valutazione sulla sicurezza delle informazioni basato su un modello di maturity e orientato esplicitamente alle esigenze del settore automobilistico. Lo standard è accreditato dal Consorzio ENX (fondato nel 2000, è un’organizzazione che raggruppa produttori di automobili, i fornitori di filiera e quattro associazioni nazionali dell’industria automobilistica) e promosso dai suoi membri dal 2018. E’ applicabile principalmente ai fornitori di primo e secondo livello, ma estendibile a supply chain più complesse, dove la valutazione dell’approccio alla sicurezza (e quindi TISAX®) è un requisito di alcuni OEM.

Perché TISAX?

TISAX® è uno standard globale di sicurezza informatica per l'industria automobilistica, la cui applicazione viene verificata da società di audit come DNV GL, “accreditata” in tal senso dal consorzio ENX.
L'obiettivo dello standard è:

  1. Definire un livello comune di sicurezza per il settore automobilistico (il modello si basa sulla VDA-ISA);
  2. garantire il riconoscimento delle valutazioni per ridurre costi, sforzi e complessità per produttori e fornitori (i risultati degli assessment possono essere condivisi con i potenziali clienti senza necessità di effettuarli ripetute volte);
  3. garantire la comparabilità e la qualità delle valutazioni;
  4. condividere best practice e lezioni apprese;
  5. permettere ai partecipanti di decidere a chi possono essere rivelati i risultati e il grado di dettaglio degli stessi.

TISAX® combina le precedenti Regole sulla sicurezza delle informazioni (ISA) del Verband der Automobilindustrie (VDA) tedesco con l'Appendice A (Controlli tecnici) della ISO / IEC 27001 così come alcuni requisiti sulla privacy.

Che vantaggi offre

Oltre ad essere un requisito del ticket-to-trade per alcuni produttori, le valutazioni TISAX® contribuiscono a creare un approccio comune e riconosciuto all'interno di tutta la supply chain. 

I fornitori partecipanti possono beneficiare di:

  1. riconoscimento da parte dei produttori automobilistici; 
  2. prevenzione dalle violazioni alla sicurezza delle informazioni e dagli attacchi informatici; 
  3. ottenere maggiore fiducia dai clienti; 
  4. identificare e affrontare il rischio; 
  5. ottenere il riconoscimento per i dovuti processi di sicurezza delle informazioni; 
  6. condivisione dei risultati della valutazione attraverso lo scambio ENX. 

TISAX® vs ISO / IEC 27001

Sebbene entrambi riguardino la sicurezza delle informazioni, TISAX si basa sugli elementi chiave dello standard ISO/IEC 27001; si concentra però più sugli elementi specificamente rilevanti per il contesto dell'industria automobilistica.

Le principali differenze sono:

ISO/IEC 27001TISAX
Standard del sistema di gestioneCopre i processi di sicurezza delle informazioni e le parti rilevanti per i partner dell'industria automobilistica
Approccio On/offApproccio maturity level
Scopo definito prima della certificazioneScopo prestabilito
Analisi dei rischi basata sull'aziendaAnalisi dei rischi basata sul gruppo di lavoro VDA-ISA
L'ente di certificazione rilascia il certificatoTISAX emette attestato (label) e scambio di registrazione
Audit periodico e ricertificazione dopo 3 anniValidità triennale, no audit periodici

Come essere valutati?

Le aziende che accedono al programma devono registrarsi con ENX come partecipanti. 

Il processo si articola in fasi (https://portal.enx.com/en-us/tphen.pdf): 

  • Conoscere innanzitutto i requisiti TISAX;
  • Registrarsi sul portale TISAX, selezionando l’ente di verifica e preparandosi per l'audit. Questo include un'autovalutazione per misurare la conformità ai requisiti di sicurezza;
  • Valutazione: Il modo in cui viene eseguito l'audit dipende dal livello di valutazione richiesto: Livello 2, tipicamente in remoto, Livello 3 tipicamente on site. L'audit stesso consiste in interviste (in presenza o remote), revisione dei documenti, chiarimenti sui possibili risultati e passaggi successivi;
  • Piano d'azione correttivo e follow-up: Preparare un piano d'azione correttivo (PAC) per colmare eventuali rilievi (non conformità) che vengono presentati dal fornitore di audit. Il PAC viene valutato attraverso un follow-up (o più follow-up) fino a completare il rapporto TISAX;
  • Scambio di risultati: L’ ente di verifica carica il report TISAX sulla piattaforma. L'azienda decide poi con chi condividere i risultati. ENX rilascia gli attestati (LABEL) TISAX all'azienda verificata.

Come può aiutarti DNV GL?

ENX aggiorna i criteri e le modalità di esecuzione degli audit ed i requisiti di valutazione (TISAX ACAR), approva gli enti di verifica e monitora la qualità dell'implementazione nonché i risultati delle valutazioni. ENX è supportato dal Comitato TISAX, composto da rappresentanti di produttori, fornitori e associazioni.

DNV GL, in qualità di valutatore accreditato da ENX e forte della sua provata esperienza nel settore Automotive, è in grado di effettuare gli audit previsti dal sistema TISAX e può caricare direttamente i risultati sul sistema di interscambio. Gli auditor di DNV GL sono in grado di combinare esperienza nell’Automotive con le competenze sulla sicurezza delle informazioni e la ISO/IEC 27001. Come ente di certificazione presente in più di 100 paesi, combina l’esperienza globale con un’erogazione del servizio sul territorio.

Contattaci

Vuoi saperne di più su questo servizio?

Prenota una call

Per richiedere una quotazione

Clicca qui

Servizi collegati: