Aprile 2025
TISAX LABEL – COSA COMPORTA?
Uno dei vostri partner vi ha chiesto di dimostrare che la gestione della sicurezza delle informazioni della vostra azienda e conforme a un determinato livello secondo i requisiti del documento “Information Security Assessment “ (ISA) relativo a TISAX, il Trusted Information Security Assessment Exchange ?
COSA OCCORRE FARE?
FASE 1 – Registrazione al portale
Raccolta delle informazioni sull’ azienda e su quali elementi devono essere inclusi nella valutazione.
FASE 2 – Valutazione
L’ azienda completa la valutazione (o le valutazioni) condotta da parte di uno dei fornitori accreditati per gli audit TISAX.
FASE 3 – Scambio
L’ azienda condivide il risultato della valutazione con il partner in questione.
Ciascuna fase è composta da sottofasi:
Basi giuridiche
L’azienda sigla i contratti con le parti coinvolte nel processo.
Tipicamente: contratto stipulato con ENX Association, per le condizioni generali di partecipazione, contratto stipulato con il fornitore accreditato di audit TISAX ed eventuale contratto con la società di consulenza, nel caso in cui l’azienda si avvalga di consulenti esterni per l’implementazione del sistema TISAX, il quale non sarà però inserito all’interno del portale ENX.
Definizione dell’ambito di valutazione
L’ambito di valutazione è importante per due motivi:
- Il risultato della valutazione soddisferà i requisiti del vostro partner solo se il relativo ambito di valutazione copre tutte le aree della vostra azienda coinvolte nella gestione delle informazioni di tale partner.
- Un ambito di valutazione definito con precisione è un prerequisito essenziale per permettere agli auditor TISAX di calcolare correttamente i costi.
Ambito standard
La descrizione dell’ ambito standard è alla base della valutazione TISAX. Gli altri partecipanti TISAX accettano solo i risultati di valutazioni basati sulla descrizione dell’ ambito standard. La descrizione dell’ ambito standard è predefinita e non può essere modificata.
Si consiglia quasi sempre di adottare un ambito standard, perché direttamente accettato da tutti i partecipanti TISAX.
Gli svantaggi sono legati al fatto che di conseguenza tutte le sedi poi dovranno adeguarsi agli stessi obiettivi di valutazione indipendentemente dal livello di effettiva criticità delle info gestite e dovranno tutte ottenere la valutazione con esito positivo, prima che l’azienda possa ottenere l’etichetta.
Ambito personalizzato
Permette di personalizzare gli obiettivi a seconda delle sedi/stabilimenti produttivi
Pubblicazione e condivisione
L’azienda potrà decidere se pubblicare e condividere il risultato della valutazione durante la procedura di registrazione o in qualsiasi momento successivo. Nel primo caso, la condivisione si sostanzia nella condivisione dello stato della valutazione e non del risultato, in quanto l’audit ancora non è stato eseguito.
Obiettivi di valutazione
L’ obiettivo (o gli obiettivi) di valutazione devono essere definiti durante la procedura di registrazione. L’ obiettivo di valutazione (assessment objective) determina i requisiti applicabili che il sistema di gestione della sicurezza delle informazioni (ISMS) dell’ azienda deve soddisfare. L’ obiettivo di valutazione si basa interamente sul tipo di dati che l’azienda gestisce per conto del partner.
Alcuni partner potrebbero chiedere all’azienda di sottoporsi a una valutazione TISAX con un determinato “livello di valutazione” (assessment level, AL) invece di specificare un obiettivo di valutazione. Esistono comunque le tabelle di corrispondenza tra obiettivo e livello di assessment.
Gli obiettivi di valutazione TISAX sono i seguenti, che di fatto coincidono con le etiche TISAX:
Confidential -esigenze di protezione elevate in termini di riservatezza
Strictly confidential – esigenze di protezione molto elevate in termini di riservatezza
High availability – esigenze di protezione elevate in termini di disponibilità
Very high availability – esigenze di protezione molto elevate in termini di disponibilità
Proto parts – Protezione di parti e componenti di prototipi
Proto vehicles – Protezione di prototipi di veicoli
Proto events – Protezione dei prototipi durante eventi e riprese cinematografiche o fotografiche
Data – Protezione dei dati ai sensi dell’ articolo 28 (“Responsabile del trattamento”) del Regolamento generale europeo sulla protezione dei dati (GDPR)
Special data – Protezione dei dati relativamente a categorie particolari di dati personali ai sensi dell’ articolo 28 (“Responsabile del trattamento”) e come specificato nell’ articolo 9 del Regolamento generale europeo sulla protezione dei dati (GDPR)
Se l’azienda ha ricevuto requisiti precisi dal partner, solitamente non è necessario discutere degli obiettivi di valutazione con quest’ ultimo. Se invece non sono stati forniti requisiti precisi dal partner, consigliamo sempre un confronto con quest’ ultimo prima di avviare il processo di valutazione.
Riportiamo in seguito la tabella di corrispondenza tra obiettivi e livello di assessment.
| Obiettivo di valutazione TISAX | Livello di
valutazione (AL) |
| Confidential | AL 2 |
| Strictly confidential | AL 3 |
| High availability | AL 2 |
| Very high availability | AL 3 |
| Proto parts | AL 3 |
| Proto vehicles | AL 3 |
| Test vehicles | AL 3 |
| Proto events | AL 3 |
| Data | AL 2 |
| Special data | AL 3 |
Livelli di valutazione (AL)
AL 2 – il fornitore di audit controlla l’ attendibilità della autovalutazione (per tutte le sedi che rientrano nell’ambito di valutazione). Verifica le prove e conduce un colloquio con il responsabile della sicurezza delle informazioni. Il fornitore di audit effettua il colloquio generalmente tramite videoconferenza; tuttavia, su richiesta dell’ azienda, il colloquio può essere svolto anche di persona.
Nel caso in cui vi siano prove che l’azienda non vuole inviare al fornitore di audit, potete richiedere un’ispezione in loco.
AL 3 – il fornitore di audit esegue una verifica completa della conformità dell’ azienda ai requisiti applicabili. Per preparare la valutazione, l’auditor si avvale dell’ autovalutazione e della documentazione presentata. Tuttavia, a differenza del livello di valutazione 2, l’ auditor verificherà tutto, eseguendo le seguenti operazioni:
▪ verifica di documenti e prove
▪ colloqui programmati con i responsabili dei processi
▪ analisi delle condizioni locali
▪ osservazione dello svolgimento dei processi
▪ colloqui non programmati con i soggetti coinvolti nei processi
In sintesi:
| Metodo di valutazione | AL 1 | AL 2 | AL 3 |
| Autovalutazione | Sì | Sì | Sì |
| Prove | No | Controllo di attendibilità | Verifica completa |
| Colloqui | No | Tramite videoconferenza | Di persona, in sede |
| Ispezione in loco | No | Su richiesta dell’azienda | Si |
Catena di fornitura – obiettivi di valutazione
Con TISAX non è necessario sottoporre tutti i fornitori dell’ azienda agli stessi requisiti.
Tuttavia, per tutti i fornitori, è necessario verificare se l’ utilizzo dei loro servizi aumenti i rischi o ne introduca di nuovi e di conseguenza, indipendentemente dall’ottenimento dell’etichetta TISAX da parte del fornitore, far si che tale fornitore si adegui, limitatamente ai processi da lui gestiti attinenti all’ambito TISAX, al vostro livello.
Costruzione del sistema di gestione per la sicurezza delle informazioni e autovalutazione
Per essere pronti ad affrontare una valutazione TISAX, è necessario disporre di un sistema di gestione della sicurezza delle informazioni (ISMS) pienamente efficiente.
Per scoprire se il ISMS corrisponde al livello di maturità previsto, si dovrà condurre un’ autovalutazione basata sull’ ISA. L’ “Information Security Assessment” (ISA) è un catalogo di criteri pubblicato dall’“Associazione tedesca dell’ industria automobilistica “ (Verband der Automobilindustrie e.V. – VDA).
In sostanza l’azienda, in autonomia o con supporto di consulenti specializzati, dovrà costruire un sistema di gestione e successivamente condurre l’autovalutazione. A seconda del risultato dell’autovalutazione e dell’obiettivo che vorrà raggiungere, implementerà le azioni correttive e successivamente si sottoporrà ad audit TISAX.
Valutazione TISAX da parte di fornitore qualificato
Una volta chiuso l’audit, il fornitore di audit prepara e invia all’ azienda la bozza della relazione della valutazione TISAX.
A questo punto il risultato complessivo della valutazione sarà:
▪ Conforme, oppure
▪ Non conforme di livello grave
La presenza di non conformità (minori) non risolte comporta sempre un risultato complessivo della valutazione corrispondente a “non conforme di livello grave”. Il risultato complessivo della valutazione può passare a “non conforme di livello minore” solo dopo che saranno definite le azioni attraverso cui implementare le misure finalizzate a risolvere le non conformità.
Un volta che sarà definito il piano d’azione correttivo, l’azienda riceverà un’ etichetta TISAX temporanea.
Le etichette TISAX temporanee sono esattamente uguali alle etichette TISAX definitive. L’ unica differenza e data dal periodo di validità più breve delle etichette TISAX temporanee.
Valutazione di follow-up
Lo scopo della “valutazione di follow-up” e quello di valutare se tutte le non conformità precedentemente identificate sono state risolte. Di solito si richiede la valutazione di follow-up quando si è certi che tutte le non conformità sono state risolte.
Il fornitore di audit può condurre la/e valutazione/i di follow-up entro un massimo di nove mesi dalla conclusione della valutazione iniziale.
Rinnovo delle etichette TISAX
L’etichetta TISAX ha un validità di tre anni e non prevede audit annuali come per le ISO. (registrare un ambito di valutazione, sottoporsi nuovamente alla valutazione TISAX, condividere il risultato della valutazione). La registrazione è un po’ più semplice, in quanto non è necessario re-inserire la propria azienda come partecipante TISAX. Inoltre sarà possibile anche riutilizzare tutti i contatti e le sedi della già memorizzati nel database TISAX.
Contattaci per una consulenza di supporto per tutte le fasi del processo di certificazione TISAX.