12 juli 2026 • Cyber security
Als je aan de auto-industrie levert, zal een klant vroeg of laat naar TISAX vragen. Fabrikanten zoals Volkswagen, BMW en Mercedes-Benz delen gevoelige informatie – van prototypegegevens tot klantgegevens – alleen met leveranciers en dienstverleners die hebben aangetoond dat ze hun informatiebeveiliging op orde hebben. TISAX, kort voor Trusted Information Security Assessment Exchange, is de norm die ze daarvoor hanteren.
In dit artikel leggen we uit wat een TISAX-certificaat precies inhoudt, aan welke eisen je moet voldoen binnen 10 thema’s, waarom de norm veel verder reikt dan alleen directe leveranciers, en hoe TISAX zich verhoudt tot ISO 27001.
Wat is TISAX certificering?
Strikt genomen is TISAX geen certificering. Je krijgt geen certificaat, maar een TISAX-label dat drie jaar geldig is. Dit deel je met klanten via het portaal van ENX Association, de organisatie die TISAX beheert namens de Duitse automobielvereniging VDA. Het label geeft aan dat een geaccrediteerde auditinstantie heeft gecontroleerd of je informatiebeveiliging voldoet aan de eisen van de VDA ISA-catalogus, op het beoordelingsniveau dat je klant eist.
Dat beoordelingsniveau hangt af van hoe gevoelig de informatie is waarmee je werkt. Bij AL1 controleert de auditor alleen of er een ingevulde zelfbeoordeling is; daarom accepteert bijna geen enkele fabrikant dit niveau. Bij AL2 wordt er een plausibiliteitscontrole op je zelfbeoordeling uitgevoerd, waarbij er steekproefsgewijs bewijsmateriaal wordt gecontroleerd, meestal op afstand. AL3, dat vereist is voor prototypes en andere strikt vertrouwelijke informatie, houdt een volledige audit ter plaatse in, met interviews en observaties.
In aanloop naar de assessment, voordat je een auditprovider inschakelt, voer je een self-assessment uit aan de hand van de VDA ISA-catalogus. Dat is ook het moment om Security Awareness Training te implementeren met een tool zoals Guardey. De catalogus vereist aantoonbaar getraind personeel, en omdat de auditor de volwassenheid (maturity) beoordeelt in plaats van een momentopname, is een trainingsprogramma dat al maanden loopt veel meer waard dan een dat vorige week is gestart.
Bereid je je voor op een TISAX-assessment?
Met de gamified bewustwordingstraining van Guardey heb je vanaf dag één de trainingsgegevens die auditors vragen. (Binnen enkele minuten ingesteld, geen betalingsgegevens nodig.)
Probeer Guardey 14 dagen gratisTISAX vereisten: de VDA ISA catalogus in 10 thema's
De TISAX-eisen komen uit de VDA ISA-catalogus (versie 6), een vragenlijst met meer dan 300 vragen verdeeld over drie modules: informatiebeveiliging, bescherming van prototypes en gegevensbescherming. Voor elke controle beoordeelt de auditor je volwassenheidsniveau op een schaal van 0 tot 5, en het streefdoel is volwassenheidsniveau 3: het proces bestaat niet alleen, het is ook gedocumenteerd en wordt aantoonbaar gevolgd. Samengevat in 10 thema’s is dit wat de beoordeling omvat:
- Beleid en organisatie. Een beleid voor informatiebeveiliging, vastgelegde verantwoordelijkheden en risicobeheer: dat is de basis van je ISMS.
- Mensen en bewustwording. Gescreende medewerkers, geheimhoudingsverklaringen en aantoonbare trainingen in beveiligingsbewustzijn voor iedereen, met een overzicht van wie wanneer is getraind.
- Fysieke beveiliging. Ruimtelijke indeling, toegangscontrole tot gebouwen en veilige omgang met bezoekers.
- Identiteits- en toegangsbeheer. Het principe van minimale rechten, sterke authenticatie en het tijdig intrekken van toegangsrechten.
- IT en cyberbeveiliging. Beveiligingsversterking, bescherming tegen malware, patchbeheer, netwerkbeveiliging en logboekregistratie.
- Incidentbeheer en bedrijfscontinuïteit. Incidenten herkennen, melden en afhandelen, plus back-up en beschikbaarheid.
- Relaties met leveranciers. Het doorgeven van beveiligingseisen aan je eigen onderaannemers en dienstverleners.
- Compliance. Voldoen aan wettelijke en contractuele vereisten en dat zelf periodiek testen.
- Bescherming van prototypes. Een aparte module voor iedereen die met prototypes, testvoertuigen of camouflage werkt.
- Gegevensbescherming. Een aparte AVG-module voor iedereen die namens de fabrikant persoonsgegevens verwerkt.
In thema 7 wordt uitgelegd waarom TISAX zich steeds verder verspreidt door de toeleveringsketen. Fabrikanten eisen het certificaat van hun directe leveranciers, die op hun beurt de eisen weer moeten opleggen aan hun eigen onderaannemers. En het gaat om meer dan alleen onderdelen: ingenieursbureaus, logistieke dienstverleners, IT-bedrijven en zelfs marketingbureaus vallen eronder zodra ze met vertrouwelijke informatie van een klant uit de automobielsector werken. Het certificaat wordt gedeeld via het ENX-platform, dus je wordt maar één keer beoordeeld in plaats van door elke klant apart.
ISO 27001 vs TISAX: de verschillen
TISAX is gebaseerd op ISO 27001 en ISO 27002, dus er is veel overlap. Iedereen die al een ISMS voor ISO 27001 heeft opgezet, heeft het grootste deel van het voorbereidende werk voor TISAX al gedaan. Toch zijn er vier verschillen die in de praktijk van belang zijn:
- Bereik. ISO 27001 is generiek en van toepassing op elke branche. TISAX is specifiek voor de automotive-sector en voegt eisen toe die ISO niet dekt, zoals prototype protection.
- Resultaat. ISO 27001 leidt tot een openbaar certificaat. TISAX leidt tot een label dat alleen zichtbaar is voor de partners waarmee je het via het ENX-portaal deelt.
- Beoordelingsmethode. Een ISO-auditor beoordeelt of je managementsysteem goed werkt. Een TISAX-auditor geeft voor elke controle een score voor de mate van volwassenheid, waardoor het resultaat gedetailleerder is en je je er moeilijker uit kunt praten.
- Erkenning. ISO 27001 opent deuren in elke sector; binnen de automobielindustrie is dat meestal niet genoeg. Fabrikanten vragen specifiek om het TISAX-keurmerk, en een ISO-certificaat is daar geen vervanging voor.
Het goede nieuws: op het gebied van personeel overlappen de twee elkaar volledig. ISO 27001 vereist bewustwording via clausule 7.3 en controle 6.3, TISAX via zijn maatregelen op het gebied van personeel en bewustwording. Eén goed gedocumenteerd programma voor beveiligingsbewustwording levert dus meteen bewijs voor beide beoordelingen.
Veelgestelde vragen
Hoe lang is een TISAX-certificaat geldig?
Drie jaar. Daarna volgt een volledige herbeoordeling. In tegenstelling tot ISO 27001 zijn er tussentijds geen jaarlijkse surveillance audits, maar er wordt van je verwacht dat je het beoordeelde niveau handhaaft, en je volgende audit zal uitwijzen of je dat hebt gedaan.
Is TISAX verplicht?
Niet wettelijk. Het is een contractuele eis: fabrikanten en grote tier 1-toeleveranciers eisen het label voordat ze beschermde informatie delen. In de praktijk is het daarmee net zo bindend, want zonder label gaan die opdrachten naar een ander.
Voldoe ik met een ISO 27001-certificaat automatisch aan TISAX?
Nee. De overlap is groot, maar TISAX voegt automotive-specifieke eisen toe en hanteert een eigen volwassenheidsbeoordeling. Een ISO 27001-certificaat versnelt je voorbereiding aanzienlijk, maar het TISAX-assessment zelf moet je alsnog doorlopen.
Of TISAX nu op je roadmap staat voor dit jaar of een klant het woord net liet vallen in een gesprek, de eerste stap is hetzelfde: voer de self-assessment uit en zie waar je staat. Het thema 'mensen en awareness' is een van de weinige waar je dezelfde dag nog mee aan de slag kunt, en het telt ook mee voor andere compliance frameworks.
Bereid je je voor op een TISAX-assessment?
In een demo van 45 minuten laten we zien hoe Guardey awareness training combineert met phishing simulaties, en hoe de rapportage je auditor precies het bewijs geeft waar die om vraagt.
Plan een persoonlijke demo