12 luglio 2026 • Sicurezza informatica
Se siete fornitori dell’industria automobilistica, prima o poi un cliente vi chiederà informazioni su TISAX. Case automobilistiche come Volkswagen, BMW e Mercedes-Benz condividono informazioni sensibili, dai dati relativi ai prototipi a quelli dei clienti, solo con fornitori e prestatori di servizi che abbiano dimostrato di garantire la sicurezza delle informazioni. TISAX, acronimo di Trusted Information Security Assessment Exchange, è lo standard che utilizzano per tale dimostrazione.
In questo articolo illustriamo cosa dichiara effettivamente un marchio TISAX, i requisiti in base ai quali viene effettuata la valutazione nell’ambito di 10 aree tematiche, perché lo standard va ben oltre i fornitori diretti e come si colloca il TISAX rispetto alla norma ISO 27001.
Che cos’è la certificazione TISAX?
A rigor di termini, TISAX non è una certificazione. Non si riceve un certificato, bensì un marchio TISAX, valido per tre anni, che viene condiviso con i clienti tramite il portale dell’Associazione ENX, l’organizzazione che gestisce TISAX per conto dell’associazione automobilistica tedesca VDA. Il marchio attesta che un ente di audit accreditato ha verificato che la sicurezza delle informazioni della vostra azienda soddisfi i requisiti del catalogo VDA ISA, al livello di valutazione richiesto dal vostro cliente.
Il livello di valutazione dipende dal grado di riservatezza delle informazioni trattate. Al livello AL1, il revisore si limita a verificare l’esistenza di un’autovalutazione compilata, motivo per cui quasi nessun produttore lo accetta. Il livello AL2 prevede un controllo di plausibilità dell’autovalutazione con campionamento delle prove, solitamente effettuato a distanza. Il livello AL3, richiesto per i prototipi e altre informazioni strettamente riservate, comporta un audit completo in loco con colloqui e osservazioni.
Nel periodo che precede la valutazione, prima di affidarsi a un fornitore di servizi di audit, è necessario completare un’autovalutazione sulla base del catalogo VDA ISA. È anche il momento giusto per mettere in atto un programma di formazione sulla sicurezza informatica utilizzando uno strumento come Guardey. Il catalogo richiede che il personale abbia seguito una formazione comprovata e, poiché il revisore valuta il livello di maturità piuttosto che una situazione istantanea, un programma di formazione in corso da mesi ha un valore di gran lunga superiore rispetto a uno avviato solo la settimana scorsa.
Stai cercando di ottenere la certificazione TISAX?
La formazione sulla sensibilizzazione alla sicurezza con elementi ludici di Guardey ti fornisce, fin dal primo giorno, la documentazione formativa richiesta dai revisori. (Configurazione in pochi minuti, senza bisogno di inserire dati di pagamento.)
Prova Guardey gratuitamente per 14 giorniRequisiti TISAX: il catalogo VDA ISA suddiviso in 10 temi
I requisiti TISAX derivano dal catalogo VDA ISA (versione 6), un questionario con oltre 300 domande suddivise in tre moduli: sicurezza delle informazioni, protezione dei prototipi e protezione dei dati. Per ogni controllo, il revisore valuta il vostro livello di maturità su una scala da 0 a 5, e l’obiettivo è il livello di maturità 3: il processo non solo esiste, ma è documentato e viene seguito in modo dimostrabile. Riassunta in 10 temi, ecco cosa comprende la valutazione:
- Politiche e organizzazione. Una politica di sicurezza delle informazioni, l’attribuzione delle responsabilità e la gestione dei rischi costituiscono le fondamenta del vostro ISMS.
- Persone e sensibilizzazione. Dipendenti sottoposti a controlli, accordi di riservatezza e formazione comprovata sulla sicurezza per tutti, con registri che indicano chi è stato formato e quando.
- Sicurezza fisica. Divisione in zone, controllo degli accessi agli edifici e gestione sicura dei visitatori.
- Gestione delle identità e degli accessi. Principio del privilegio minimo, autenticazione forte e revoca tempestiva degli accessi.
- IT e sicurezza informatica. Rafforzamento della sicurezza, protezione dal malware, gestione delle patch, sicurezza di rete e registrazione degli eventi.
- Gestione degli incidenti e continuità operativa. Individuazione, segnalazione e gestione degli incidenti, oltre a backup e disponibilità.
- Rapporti con i fornitori. Trasferimento dei requisiti di sicurezza ai propri subappaltatori e fornitori di servizi.
- Conformità. Rispettare i requisiti legali e contrattuali e verificarne periodicamente il rispetto in prima persona.
- Protezione dei prototipi. Un modulo dedicato a chiunque lavori con prototipi, veicoli di prova o mimetizzazione.
- Protezione dei dati. Un modulo GDPR dedicato a chiunque tratti dati personali per conto del produttore.
Il Tema 7 spiega perché il TISAX continui a diffondersi lungo la catena di fornitura. I costruttori richiedono la certificazione ai propri fornitori diretti, i quali a loro volta devono imporre tali requisiti ai propri subappaltatori. E l’ambito di applicazione va oltre i componenti: rientrano in esso anche studi di ingegneria, operatori logistici, aziende IT e persino agenzie di marketing, non appena trattano informazioni protette provenienti da un cliente del settore automobilistico. La certificazione viene condivisa tramite la piattaforma ENX, quindi si viene valutati una sola volta anziché separatamente da ogni singolo cliente.
ISO 27001 e TISAX: le differenze
Il TISAX si basa sulle norme ISO 27001 e ISO 27002, pertanto le analogie sono numerose. Chiunque abbia implementato un SGSI (Sistema di Gestione della Sicurezza delle Informazioni) secondo la norma ISO 27001 ha già svolto gran parte del lavoro preparatorio per il TISAX. Tuttavia, vi sono quattro differenze rilevanti nella pratica:
- Ambito di applicazione. La norma ISO 27001 è generica e si applica a qualsiasi settore. La norma TISAX è specifica per il settore automobilistico e aggiunge requisiti non contemplati dalla norma ISO, come la protezione dei prototipi.
- Risultati. La certificazione ISO 27001 comporta il rilascio di un certificato pubblico. La certificazione TISAX comporta il rilascio di un’etichetta visibile solo ai partner con cui la condividi tramite il portale ENX.
- Metodo di valutazione. Un auditor ISO valuta se il vostro sistema di gestione funziona correttamente. Un auditor TISAX assegna un punteggio di maturità per ciascun controllo, il che rende il risultato più dettagliato e più difficile da aggirare con argomentazioni di facciata.
- Riconoscimento. La norma ISO 27001 apre le porte in ogni settore; nel settore automobilistico, tuttavia, solitamente non è sufficiente. I produttori richiedono specificatamente il marchio TISAX, e un certificato ISO non lo sostituisce.
La buona notizia è che, dal punto di vista umano, i due standard si sovrappongono completamente. La norma ISO 27001 richiede la sensibilizzazione attraverso la clausola 7.3 e il controllo 6.3, mentre TISAX lo richiede attraverso i propri controlli relativi al personale e alla sensibilizzazione. Un programma di sensibilizzazione alla sicurezza ben documentato fornisce quindi prove valide per entrambe le valutazioni contemporaneamente.
Domande frequenti
Qual è la durata di validità di un'etichetta TISAX?
Tre anni. Trascorso questo periodo, seguirà una nuova valutazione completa. A differenza della norma ISO 27001, nel frattempo non sono previsti audit di sorveglianza annuali, ma ci si aspetta che l’organizzazione mantenga il livello di conformità raggiunto; il prossimo audit verificherà se ciò è avvenuto.
Il TISAX è obbligatorio?
Non per legge. Si tratta di un requisito contrattuale: i produttori e i grandi fornitori di primo livello richiedono l’etichetta prima di condividere informazioni riservate. In pratica, ciò la rende altrettanto vincolante, perché senza l’etichetta gli ordini vengono indirizzati altrove.
Il possesso di un certificato ISO 27001 mi garantisce automaticamente la conformità al TISAX?
No. Sebbene vi sia una notevole sovrapposizione, TISAX introduce requisiti specifici per il settore automobilistico e utilizza un proprio sistema di valutazione della maturità. Una certificazione ISO 27001 accelera notevolmente la preparazione, ma sarà comunque necessario sottoporsi alla valutazione TISAX vera e propria.
Che il TISAX figuri nella vostra tabella di marcia per quest’anno o che un cliente ne abbia semplicemente accennato durante una telefonata, il primo passo è sempre lo stesso: effettuare l’autovalutazione e capire a che punto siete. Il tema relativo al personale e alla sensibilizzazione è uno dei pochi su cui potete iniziare a lavorare già dallo stesso giorno, e conta anche ai fini di altri quadri normativi di conformità.
Ti stai preparando per una valutazione TISAX?
In una demo di 45 minuti vi mostreremo come Guardey combini la formazione sulla consapevolezza con simulazioni di phishing e come i report forniscano al vostro revisore esattamente le prove di cui ha bisogno.
Prenota una dimostrazione personalizzata