TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Certificazione TISAX®

La vostra richiesta


Sicurezza delle informazioni nell'industria automobilistica

Siete un produttore o un fornitore di servizi nel settore automobilistico? Allora dovete dimostrare la validità dei vostri servizi o la sicurezza delle informazioni sensibili che ricevete. Siete inoltre tenuti a fornire la prova della corretta gestione dei prototipi. In qualità di partecipanti al processo TISAX®, ciò è possibile attraverso una valutazione corrispondente, che deve essere effettuata solo ogni tre anni. La certificazione TISAX® è valida per tutti i settori e definisce i requisiti di sicurezza delle informazioni della vostra azienda.

Riconoscimento comune tra tutti i partecipanti TISAX®.

I fornitori ed i prestatori di servizi acquisiscono una maggiore fiducia nei confronti della vostra azienda sottoposta a verifica

La valutazione per la certificazione TISAX® avviene solo una volta ogni tre anni

Risparmio di tempo e di costi grazie alla partecipazione al network TISAX®.

Informazioni di base sulla valutazione TISAX®

TISAX® è un procedura comune di valutazione e di scambio per il settore automobilistico. Si basa sul questionario ISA (Information Security Assessment - valutazione della sicurezza delle informazioni) sviluppato dal gruppo di lavoro VDA "Information Security". Tale questionario ha preso spunto a sua volta dagli aspetti chiave della norma internazionale ISO/IEC 27001, ed è stato ulteriormente ampliato per includere un modello di maturità.

L'ISA fa riferimento anche alla norma ISO/SAE 62443-2-1 per i sistemi di controllo industriale per l'automazione e il monitoraggio di impianti di produzione industriale (IACS) e tecnologie operative (OT).

Inoltre, gli organi responsabili della VDA (Verband der Automobilindustrie - Associazione tedesca dell'industria automobilistica) hanno creato le condizioni per stabilire il meccanismo comune di valutazione e di scambio sotto il nome di TISAX® (Trusted Information Security Assessment eXchange). TISAX® è un marchio registrato della Associazione ENX.  L'associazione dei produttori automobilistici europei, i fornitori automobilistici e le associazioni automobilistiche monitorano la qualità delle valutazioni TISAX® e controllano l'approvazione dei fornitori di servizi di audit TISAX®.

Oltre 10.000 sedi sono state valutate in conformità a TISAX®, rendendo questo standard il secondo insieme di regole per la sicurezza delle informazioni più diffuso al mondo dopo ISO 27001. VDA ed ENX hanno formato gruppi di lavoro internazionali per TISAX® e il catalogo ISA con lo scopo di sviluppare ulteriormente lo standard. Allo stesso tempo, questo promuove una più stretta collaborazione con l'industria automobilistica mondiale. Con TISAX 6.0, la forma aggiornata della procedura di valutazione e scambio è stata pubblicata nell'autunno del 2023.

Mostra di più
Mostra meno

TISAX® 2.2 - Obbligatorio dal 1° aprile 2024 - Note di transizione

Le valutazioni TISAX® commissionate entro il 31 marzo 2024 potranno essere eseguite secondo la vecchia versione ISA 5.1. Le valutazioni iniziali o di ricertificazione commissionate a partire dal 1° aprile 2024 saranno eseguite esclusivamente secondo la nuova procedura TISAX® , in conformità al catalogo ISA 6.0. Le attività di audit che dipendono da audit esistenti, come le valutazioni dei piani di azione correttiva, le valutazioni di follow-up, le valutazioni di estensione dell'ambito o le valutazioni di gruppo semplificate continueranno a essere eseguite in conformità alla versione in base alla quale è stato eseguito l'audit originale.

Le informazioni sulle principali modifiche apportate al nuovo ISA 6.0 sono disponibili nel nostro blog post "New ISA Catalog 6.0" (link a https://www.dqsglobal.com/de-de/wissen/blog/isa-katalog-6-0-ab-2024). 

Il nuovo catalogo ISA 6.0 rappresenta un'importante pietra miliare per TISAX®. Il catalogo di valutazione comporta l'adeguamento dei requisiti per i fornitori di servizi di revisione, che erano stati definiti nelle norme TISAX® ACAR 2.2. Il cambiamento della lingua principale in inglese sottolinea la prospettiva globale e gli sforzi congiunti per lo sviluppo mondiale. Sono previste ulteriori traduzioni di TISAX VDA 6.0.

I cambiamenti più importanti nel nuovo catalogo ISA 6.0 sono

Variazione delle etichette di sicurezza:

- L'etichetta Sicurezza delle informazioni è sostituita dalle etichette Disponibilità e Riservatezza. A seconda del ruolo che ricoprite nella catena di fornitura, potete essere interessati dalla disponibilità o dalla riservatezza o da entrambe.
- L'etichetta esistente "Sicurezza delle informazioni elevata" sarà sostituita dalle etichette combinate "Disponibilità elevata" e "Riservatezza elevata". Lo stesso vale per l'etichetta esistente "Sicurezza delle informazioni molto alta". Verrà sostituita da "Disponibilità molto elevata" e "Riservatezza rigorosa".
- Entrambe le etichette devono soddisfare la stessa serie di requisiti di base. Inoltre, ogni etichetta ha requisiti specifici per esigenze di protezione elevate e molto elevate. Il processo di valutazione è guidato dalle etichette, tenendo conto del vostro ruolo nella catena di fornitura. Vale quindi la pena di verificare con i vostri clienti quali etichette sono rilevanti per il vostro ruolo.

Maggiore attenzione alla sicurezza delle informazioni e ai sistemi OT nella catena di approvvigionamento:

- Le aziende rilevanti della catena di fornitura devono soddisfare i requisiti di "alta disponibilità" o "altissima disponibilità".
- Enfasi sui sistemi di tecnologia operativa (OT) nella produzione e in altre aree nella valutazione TISAX®.
- I riferimenti alla norma IEC 62443-2-1 e ai nuovi requisiti del catalogo ISA promuovono l'attenzione all'OT.
- Inclusione dei sistemi di comunicazione e controllo industriali (IACS).
- Le aziende di questa categoria devono dimostrare un'adeguata protezione dei dati sensibili nello sviluppo e nella produzione.
- Molti dei requisiti si sovrappongono a quelli di "Alta sensibilità" o "Altissima sensibilità".
- Le aziende della catena di fornitura che non hanno una rilevanza elevata, ma a cui sono affidate informazioni sensibili, devono dimostrare che tali informazioni possono essere adeguatamente protette. 
- Le etichette "Alta Riservatezza" o "Stretta Riservatezza" vengono utilizzate per selezionare i requisiti TISAX® che contribuiscono a questo obiettivo di protezione.
- Lo scopo principale della valutazione selettiva sopra descritta è quello di garantire che le aziende debbano soddisfare solo i requisiti del catalogo ISA che sono rilevanti per il loro ruolo.

Nuove sfide per le aziende di produzione:

- I sistemi OT devono essere sottoposti a una gestione simile a quella generalmente richiesta per i sistemi IT TISAX® .
- Di conseguenza, l'OT nella gestione degli asset viene identificato con i suoi rischi specifici, analizzato per le potenziali vulnerabilità, gestito da dipendenti competenti, sottoposto a processi conformi all'ISMS per la manutenzione remota e altre best practice di gestione.

Mostra di più
Mostra meno

Quali sono i vantaggi di un audit TISAX® per la vostra azienda?

In qualità di fornitori o fornitori di servizi automobilistici, dovete dimostrare ai vostri clienti di soddisfare i loro requisiti di sicurezza delle informazioni. Finora queste valutazioni venivano effettuate principalmente dai produttori stessi. I partecipanti registrati alla rete TISAX® possono scegliere un fornitore di servizi di valutazione tramite una piattaforma online comune e commissionare una valutazione. 

I vantaggi per le aziende sono superiori agli svantaggi:

- Si possono evitare duplicazioni e valutazioni multiple da parte di clienti diversi, risparmiando tempo e denaro.
- Riconoscimento trasversale delle valutazioni per i partecipanti a TISAX®.
- Risultati affidabili grazie al catalogo di valutazione armonizzato, che garantisce un processo di valutazione coerente
- Maggiore fiducia nell'azienda valutata grazie al marchio TISAX®.

Dopo una valutazione di successo, riceverete un'etichetta TISAX® sulla piattaforma online TISAX®. Questo marchio è paragonabile a un certificato e serve a rafforzare la fiducia nella vostra azienda e a confermare i vostri sforzi per garantire la sicurezza delle informazioni.
 

 

Mostra di più
Mostra meno

Come funziona TISAX®?

In TISAX®, i partecipanti possono assumere due ruoli diversi:

- il Consumatore di Informazioni o Information Consumer (passivo), è un produttore che vorrebbe ricevere informazioni su di un fornitore

- il Fornitore di Informazioni o Information Contributor (attivo), è un fornitore di parti o di servizi che vorrebbe essere sottoposto a verifica al fine di ricevere ordini dai produttori.

Un'azienda può anche assumere entrambe i ruoli di partecipante. Chiunque desideri partecipare a TISAX® come Fornitore di informazioni deve compiere i seguenti quattro passi principali:

  • 1. Registrarsi online su www.enx.com/TISAX
  • 2. Selezionare un fornitore di servizi di audit approvato da ENX come DQS
  • 3. Sottoporsi ad una valutazione TISAX®
  • 4. Scambiare i risultati dell'audit sulla piattaforma online TISAX®.

Se un'azienda è interessata ai vostri risultati TISAX, può registrarsi presso ENX come "Consumatore di informazioni". Per ogni Consumatore di informazioni potete decidere se volete condividere con loro il vostro stato TISAX attuale.

Mostra di più
Mostra meno
Business28.png

Come funziona una valutazione TISAX®?

Prima di iniziare la valutazione TISAX® , la vostra azienda deve definire un ambito chiaro. Questo include il livello di valutazione, che definisce i requisiti specifici della valutazione stessa. Questi requisiti possono includere la garanzia della "disponibilità" delle capacità produttive, la garanzia della "riservatezza" delle informazioni affidate o la protezione di "parti di prototipi" e "dati personali". Questi criteri di base si applicano a tutti i siti che rientrano nel campo di applicazione.

Una sfida fondamentale è quella di combinare siti con requisiti simili in un unico ambito. DQS può fornire preziose indicazioni per la progettazione, che si tratti di un unico campo di applicazione globale o di più campi di applicazione. In linea di principio, l'unione dei siti in un unico ambito presenta dei vantaggi, sotto forma di una possibile riduzione dell'impegno di audit se tutti i siti operano in base a un ISMS centralizzato.

Come partecipanti TISAX®, dovrete prima registrarvi online, dopodiché la ENX vi assegnerà il codice identificativo (ID) dello scopo. Si prega di notare che questo processo di registrazione comporta delle spese di servizio, calcolate per ogni sede all'interno dello scopo.

Nella prima fase, selezionerete un fornitore di servizi di audit approvato. Nella seconda fase, verrà svolto un un kick-off, una revisione dei documenti (autovalutazione, non in sede) ed una valutazione successiva (Livello 2: non in sede, Livello 3: in sede).

Nota bene: Esiste un metodo alternativo per condurre una valutazione nel Livello di valutazione 2. Invece di un controllo di plausibilità, il fornitore di servizi di audit effettua una valutazione completa a distanza. Questo metodo viene talvolta definito "Assessment Level 2.5". Il vantaggio di un Livello di valutazione 2.5 è che l'approccio è metodologicamente compatibile con il Livello di valutazione 3. È quindi possibile passare a un esame completo di "Assessment Level 3" in un secondo momento con uno sforzo gestibile.

I risultati dell'audit sono registrati in un report intermedio. In caso di non conformità, vengono concordate le misure da attuare. Qualora fosse necessario, l'attuazione delle misure viene determinata entro un periodo di tempo concordato. Questa procedura garantisce che tutti i problemi identificati siano affrontati in modo efficace e tempestivo.

Dopo aver chiuso le non conformità, viene effettuato un controllo di efficacia tramite un audit.

Il risultato finale sarà pubblicato online nel portale ENX®. La vostra azienda sarà quindi elencata come partecipante al processo TISAX® con la corrispondente etichetta di prova. A differenza di altre certificazioni, non esiste un certificato TISAX®.

Banking13.png

Quanto costa la valutazione TISAX®?

Due fattori importanti influenzano la portata dell'intera valutazione e quindi i costi. Le valutazioni sono possibili sulla base di un ambito esteso, di un ambito standard o di un ambito ristretto. La scelta dell'ambito deve essere ben preparata e determinata dagli obiettivi di protezione desiderati, ma anche dalle dimensioni dell'azienda.

Gli obiettivi di protezione, ad esempio, riguardano l'inclusione nella valutazione di argomenti quali la protezione dei prototipi o dei dati. Se volete partecipare alla procedura TISAX®, parlatene il prima possibile con DQS, il vostro fornitore di servizi di audit autorizzato. Solo così potremo determinare il calcolo corretto per l'ambito di valutazione e fornirvi un preventivo affidabile per il costo della vostra certificazione TISAX®.

Business2.png

Cosa potete aspettarvi da noi

  • DQS è un fornitore di servizi di audit approvato dall'associazione ENX
  • Approfondimenti di valore aggiunto sulla sicurezza delle informazioni nella vostra organizzazione
  • Accreditamenti per tutte le normative rilevanti nell'industria automobilistica
  • Auditor con esperienza nel settore specifico 
  • Più di 35 anni di esperienza nella certificazione di sistemi di gestione e di processi
  • Certificati con riconoscimento internazionale
  • Assistenza personale ed efficiente da parte dei nostri specialisti - a livello regionale, nazionale e internazionale
  • Offerte individuali con termini contrattuali flessibili senza costi nascosti
Mostra di più
Mostra meno
Contact-latin-america-man-shutterstock_738242395.jpg

Richiesta di offerta

Il vostro contatto locale

Saremo lieti di fornirvi un'offerta personalizzata per il processo TISAX.

La tua richiesta

Hai delle domande?

Siamo qui per te.
Contattaci