TISAX Certificering Automotive: Gids voor Toeleveranciers

TISAX certificering automotive is voor steeds meer Nederlandse toeleveranciers geen optie maar een harde voorwaarde om zaken te blijven doen met grote OEM's. De standaard, ontwikkeld door de Verband der Automobilindustrie (VDA) en beheerd door de ENX Association, stelt eisen aan informatiebeveiliging die specifiek zijn afgestemd op de gevoelige data die binnen de automotive keten circuleren. Wie zonder TISAX label werkt, riskeert contractverlies bij opdrachtgevers als BMW, Volkswagen en Mercedes-Benz.

Wat is TISAX en waarom is het onmisbaar voor automotive toeleveranciers?

TISAX staat voor Trusted Information Security Assessment Exchange en is in 2017 gelanceerd als sectorbreed antwoord op de wildgroei aan individuele security-audits die OEM's bij hun leveranciers uitvoerden. In plaats van tientallen aparte audits per klant volstaat nu één assessment, waarvan de resultaten via het ENX Portal gedeeld worden met alle relevante opdrachtgevers. Dit bespaart toeleveranciers aanzienlijk tijd en kosten.

Het verschil met ISO 27001 is wezenlijk. ISO 27001 is een generieke norm voor informatiebeveiliging die breed toepasbaar is, terwijl TISAX specifieke controls bevat voor prototype-informatie, voertuigontwikkeling en de unieke risico's van de automotive toeleveranciersketen. Een ISO 27001-certificaat vervangt een TISAX assessment niet in de ogen van de meeste OEM's. Voor automotive informatiebeveiliging geldt TISAX als de sectorstandaard.

De drie TISAX assessmentlevels uitgelegd

TISAX kent drie assessmentlevels (AL) die bepalen hoe intensief het onderzoek is en welke gegevenstypen onder de scope vallen. Het juiste level hangt af van de soort informatie die uw organisatie verwerkt namens de opdrachtgever. Een verkeerd gekozen level leidt tot onnodige kosten of tot een assessment dat onvoldoende dekking biedt.

• •AL1: Bestemd voor informatie met normale beschermingsbehoefte. Dit level omvat een vereenvoudigde zelfevaluatie en is in de praktijk zelden voldoende voor directe OEM-leveranciers.
• •AL2: Het meest voorkomende level voor Nederlandse toeleveranciers. Van toepassing wanneer u vertrouwelijke bedrijfsinformatie, persoonsgegevens of financieel gevoelige data verwerkt. Vereist een on-site of remote assessment door een geaccrediteerde auditprovider.
• •AL3: Het hoogste level, vereist bij de verwerking van strikt vertrouwelijke informatie zoals gedetailleerde prototype-ontwerpen of veiligheidsrelevante voertuigdata. Omvat een uitgebreider assessment met strengere controles en hogere kosten.
• •Prototypebescherming: Een aparte assessmentcategorie voor organisaties die fysieke prototypes opslaan of vervoeren, aanvullend op het gekozen assessmentlevel.

De VDA ISA vragenlijst: inhoud en voorbereiding

De basis van elk TISAX assessment is de VDA ISA vragenlijst, een gestructureerde lijst met controlevragen verdeeld over meerdere domeinen. De belangrijkste domeinen zijn informatiebeveiliging (beleid, organisatie, toegangsbeheer, incidentmanagement), prototypebescherming en verbonden locaties of derde partijen. Elke vraag wordt beoordeeld op een rijpheidsschaal van 0 tot 5, waarbij een score van minimaal 3 per domein vereist is voor een positief resultaat.

Bij Nederlandse toeleveranciers zien auditors regelmatig dezelfde tekortkomingen terugkomen. Een gedegen voorbereiding richt zich dan ook op deze specifieke aandachtspunten.

• •Onvoldoende gedocumenteerd informatiebeveiligingsbeleid dat niet aansluit op de dagelijkse praktijk van de organisatie.
• •Ontbrekende of verouderde risicoanalyses die niet de specifieke risico's van de automotive keten adresseren.
• •Geen aantoonbaar proces voor het beheer van leveranciers en derde partijen die toegang hebben tot vertrouwelijke informatie.
• •Onvoldoende bewustwording bij medewerkers, met name over omgang met prototype-informatie en clean desk-beleid.
• •Gebrekkige logging en monitoring van toegang tot kritieke systemen en data.

ENX Portal registratie en het assessmentproces stap voor stap

Het TISAX assessment Nederland doorloopt een vast traject via het ENX Portal, het centrale platform waar alle TISAX-deelnemers geregistreerd staan en resultaten gedeeld worden. Kennis van dit proces voorkomt vertragingen en onnodige kosten.

• •Stap 1 - ENX Portal registratie: Maak een account aan op het ENX Portal, definieer de scope van uw assessment (welke locaties en informatiecategorieën vallen eronder) en plaats een formele assessmentopdracht. Voor de registratie betaalt u eenmalig registratiekosten aan ENX.
• •Stap 2 - Selectie auditprovider: Kies een door ENX geaccrediteerde auditprovider. Vergelijk aanbieders op ervaring met uw branche, beschikbaarheid en prijs. De provider voert het assessment uit en rapporteert de bevindingen in het ENX Portal.
• •Stap 3 - Het assessment zelf: Afhankelijk van uw level en scope vindt het assessment remote of on-site plaats. De auditor toetst uw maatregelen aan de VDA ISA criteria en stelt een lijst van bevindingen op. U krijgt de mogelijkheid om minor bevindingen te corrigeren voor de eindrapportage.
• •Stap 4 - TISAX label publicatie: Na een positieve beoordeling ontvangt u een TISAX label met een geldigheid van drie jaar. U bepaalt zelf met welke opdrachtgevers u het label deelt via het portal. Het label is niet openbaar zichtbaar voor derden buiten uw keuze.
• •Stap 5 - Hernieuwing: Na drie jaar dient u een nieuw assessment te laten uitvoeren om het label te verlengen. Plan dit minimaal zes maanden voor de vervaldatum in.

Hoe bereidt u uw organisatie voor op TISAX certificering automotive?

Een realistische voorbereiding begint met een gap-analyse op basis van de actuele VDA ISA vragenlijst. U brengt in kaart welke controls al aanwezig zijn, welke ontbreken en waar de grootste risico's liggen. Voor een gemiddeld MKB-toeleverancier in Nederland neemt het volledige traject, van gap-analyse tot ontvangst van het label, doorgaans zes tot twaalf maanden in beslag, afhankelijk van de beginsituatie.

Vertaal de uitkomsten van de gap-analyse naar een concreet implementatieplan met prioriteiten, eigenaren en deadlines. Besteed extra aandacht aan documentatie: beleidsdocumenten, procedures en bewijs van implementatie zijn tijdens het assessment minstens zo belangrijk als de technische maatregelen zelf. Voer vervolgens een interne pre-assessment uit om de gereedheid te toetsen voordat de geaccrediteerde auditprovider aan zet is.

• •Fase 1 (maand 1-2): Gap-analyse uitvoeren op basis van de VDA ISA vragenlijst en scope bepalen.
• •Fase 2 (maand 2-6): Ontbrekende beleidsmaatregelen opstellen, technische controls implementeren en medewerkers trainen.
• •Fase 3 (maand 6-8): Interne pre-assessment uitvoeren, resterende bevindingen oplossen en bewijs verzamelen.
• •Fase 4 (maand 8-10): Registratie in het ENX Portal afronden, auditprovider selecteren en het formele assessment inplannen.
• •Fase 5 (maand 10-12): Assessment doorlopen, eventuele minor bevindingen corrigeren en TISAX label in ontvangst nemen.

Een externe adviseur met ervaring in TISAX assessment Nederland versnelt dit traject aanzienlijk. De adviseur kent de meest voorkomende valkuilen, weet welk bewijsmateriaal auditors verwachten en kan de interne pre-assessment objectief begeleiden. De investering in externe begeleiding verdient zich terug in een hogere slaagkans bij het eerste assessment en een kortere doorlooptijd. Op IT-Audit Directory vindt u gekwalificeerde auditors en adviseurs die u door het volledige TISAX-traject kunnen begeleiden, van eerste gap-analyse tot succesvolle labelregistratie.