TISAX assessment: Krok za krokem pro automotive dodavatele

Co je TISAX a proč ho automotive dodavatelé potřebují

TISAX (Trusted Information Security Assessment Exchange) je oborový standard pro hodnocení bezpečnosti informací vyvinutý sdružením ENX Association ve spolupráci s německým Svazem automobilového průmyslu (VDA). Vznikl jako odpověď na potřebu automobilových výrobců (OEM) mít jistotu, že jejich dodavatelé – od vývojářů komponentů přes lisovny až po poskytovatele IT služeb – adekvátně chrání citlivé informace, výrobní know-how a prototypová data.

Na rozdíl od obecné certifikace ISO 27001, která je využitelná napříč všemi odvětvími, TISAX cílí výhradně na specifika automobilového průmyslu. Hlavním katalogem požadavků je VDA ISA (Information Security Assessment), který vychází z ISO 27001/27002, ale přidává konkrétní kontrolní mechanismy pro ochranu prototypů, bezpečnost při zpracování osobních údajů a požadavky na propojení s třetími stranami v dodavatelském řetězci.

Pro dodavatele automobilového průmyslu se TISAX rychle stává vstupní podmínkou spolupráce. Výrobci jako Volkswagen, BMW, Mercedes-Benz nebo Škoda Auto od svých dodavatelů pravidelně vyžadují platný TISAX label jako podmínku uzavření smlouvy nebo prodloužení spolupráce. Bez něj se firma prakticky nemůže účastnit výběrových řízení u většiny evropských OEM.

TISAX vs. ISO 27001 – společný základ, odlišné zaměření

Vztah mezi TISAX a ISO 27001 je komplementární, nikoli konkurenční. Obě normy staví na principu systému řízení bezpečnosti informací (ISMS) a sdílejí většinu organizačních a technických opatření. Klíčové rozdíly však existují a je důležité jim rozumět, abyste nepodcenili přípravu na assessment.

Společný základ: Oba systémy vyžadují systematické řízení rizik, definování bezpečnostních politik, řízení přístupu, kryptografii, fyzickou bezpečnost, školení zaměstnanců a pravidelné interní audity. Firma s funkčním ISMS podle ISO 27001 má proto výrazný náskok při přípravě na TISAX.

Kde TISAX přidává navíc:

• Ochrana prototypů: VDA ISA obsahuje dedikovanou sekci pro fyzickou a digitální ochranu prototypových vozidel, komponentů a designových dat. ISO 27001 tuto oblast specificky neřeší.
• Zpracování osobních údajů: TISAX zahrnuje podrobné požadavky na ochranu osobních dat v kontextu automotive (zákaznická data, data z vozidel), které jdou nad rámec obecných kontrol ISO.
• Propojení s třetími stranami: Katalog VDA ISA klade mimořádný důraz na bezpečnost při sdílení dat s partnery v dodavatelském řetězci, včetně specifických požadavků na šifrování, segmentaci sítí a přístupová práva.
• Assessment místo certifikace: TISAX používá pojem „assessment“ prováděný schváleným audit providerem (nikoli certifikačním orgánem). Výsledky se sdílejí přes platformu ENX, což eliminuje potřebu opakovaných auditů pro různé OEM partnery.

Kde ISO 27001 přidává navíc: ISO nabízí robustnější rámec pro kontinuální zlepšování (PDCA cyklus), formální Prohlášení o aplikovatelnosti (SoA) a mezinárodně uznávanou certifikaci. Pro firmy působící i mimo automotive může být ISO 27001 strategicky hodnotnější jako výchozí bod.

Assessment levels AL1–AL3: Která úroveň je pro vás

TISAX definuje tři úrovně assessmentu (Assessment Levels), které se liší hloubkou prověřování a způsobem provedení. Úroveň, kterou potřebujete, závisí na citlivosti informací, se kterými ve vztahu k OEM pracujete.

AL1 – Self-assessment: Nejnižší úroveň, při které firma provádí sebehodnocení podle VDA ISA katalogu bez zapojení externího auditora. AL1 je typicky akceptováno pouze pro interní účely nebo pro dodavatele s minimálním přístupem k citlivým informacím. Většina OEM tuto úroveň pro smluvní účely nepřijímá.

AL2 – Plausibility check (vzdálený assessment): Audit provider prověří vaše sebehodnocení na dálku – analyzuje předloženou dokumentaci, provede rozhovory s klíčovými osobami a ověří věrohodnost deklarovaných opatření. AL2 je nejčastěji vyžadovaná úroveň pro dodavatele, kteří zpracovávají důvěrné informace bez přístupu k prototypům.

AL3 – Comprehensive assessment (on-site audit): Nejpřísnější úroveň zahrnující fyzickou návštěvu auditora ve vašich prostorách. Auditor prověřuje nejen dokumentaci, ale i reálné fungování bezpečnostních opatření na místě – kontroluje serverovny, přístupové systémy, zabezpečení prototypových prostor apod. AL3 je povinné pro firmy pracující s prototypy nebo vysoce citlivými vývojovými daty.

Úroveň assessmentu je obvykle specifikována v požadavcích OEM partnera. Pokud si nejste jisti, kontaktujte svého zákazníka a vyžádejte si přesnou specifikaci požadovaného TISAX scopu a úrovně.

6 kroků k úspěšnému TISAX assessmentu

Příprava na TISAX assessment není záležitostí dnů ani týdnů. U firmy bez předchozího ISMS počítejte s horizontem 6 až 12 měsíců. Postupujte systematicky podle následujících kroků.

Krok 1: Self-assessment podle VDA ISA katalogu

Stáhněte si aktuální verzi VDA ISA katalogu z portálu ENX Association. Projděte všechny kontrolní otázky a ohodnoťte současný stav vaší organizace. Pro každou otázku zaznamenejte úroveň zralosti na škále 0–5 (od „neimplementováno“ po „optimalizováno a měřeno“). Buďte brutálně upřímní – self-assessment slouží vám, ne auditorovi. Realistické hodnocení vám ušetří čas i peníze při implementaci.

Krok 2: Identifikace gapů a vytvoření akčního plánu

Na základě self-assessmentu identifikujte oblasti, kde nedosahujete požadované úrovně zralosti (většina OEM vyžaduje minimálně úroveň 3 – „zavedený proces“). Vytvořte prioritizovaný akční plán s konkrétními úkoly, odpovědnostmi a termíny. Nejčastější gapy se objevují v oblasti řízení přístupů, segmentace sítí, šifrování dat v klidu i při přenosu a formalizace bezpečnostních politik.

Krok 3: Implementace chybějících opatření

Toto je nejnáročnější a nejdelší fáze. Implementujte chybějící organizační a technická opatření podle akčního plánu. Zahrnuje to vytvoření nebo aktualizaci bezpečnostních politik, zavedení řízení přístupu a identity, nasazení technických nástrojů (SIEM, DLP, šifrování), úpravu fyzické bezpečnosti prostor a proškolení všech zaměstnanců. Pokud pracujete s prototypy, věnujte zvláštní pozornost fyzickému zabezpečení prostor – od maskování oken přes zákaz fotografování až po elektronické přístupové systémy s logováním.

Krok 4: Výběr schváleného audit providera

TISAX assessment smí provádět pouze audit provideři schválení ENX Association. Aktuální seznam najdete na portálu ENX. Při výběru zohledněte zkušenosti providera s vaším typem výroby, dostupné termíny a cenovou nabídku. Audit provider nesmí být stejná firma, která vám pomáhala s implementací – to by byl střet zájmů. Registraci k assessmentu provedete přímo na portálu ENX, kde zvolíte scope (bezpečnost informací, ochrana prototypů, připojení třetích stran) a požadovanou úroveň.

Krok 5: Absolvování assessmentu

Audit provider provede assessment podle zvolené úrovně (AL2 vzdáleně, AL3 na místě). Během assessmentu budete odpovídat na otázky z VDA ISA katalogu, předkládat dokumentaci a prokazovat funkčnost zavedených opatření. Pokud auditor identifikuje neshody, dostanete čas na jejich nápravu (tzv. corrective action plan). Až po úspěšném vyřešení všech neshod obdržíte TISAX label.

Krok 6: Sdílení výsledku přes ENX portál

Po úspěšném assessmentu je váš TISAX label zveřejněn na platformě ENX. Vaši OEM partneři a zákazníci si mohou výsledek ověřit bez nutnosti dalšího auditu – stačí zadat vaše firemní údaje na portálu. TISAX label je platný 3 roky, po jejichž uplynutí je nutné projít re-assessmentem. Průběžně udržujte systém v chodu a provádějte interní audity, aby vás re-assessment nezaskočil.

Vztah TISAX a NIS2 – jak řešit obě regulace současně

Pro firmy v automobilovém průmyslu, které zároveň spadají pod zákon č. 264/2025 Sb. (transpozice NIS2), vzniká přirozená otázka: jak efektivně řešit dvě regulace najednou? Zpráva je pozitivní – synergie mezi TISAX a NIS2 je výrazná, protože obě staví na stejném fundamentu ISO 27001.

Co pokrývá TISAX i NIS2 současně:

• Řízení rizik a hodnocení bezpečnostních hrozeb
• Bezpečnostní politiky a organizační struktura ISMS
• Řízení přístupu a správa identit
• Kryptografie a ochrana dat při přenosu i v klidu
• Fyzická bezpečnost prostor a infrastruktury
• Řízení dodavatelského řetězce
• Školení a povědomí zaměstnanců o bezpečnosti
• Interní audity a kontinuální zlepšování

Co TISAX neřeší a NIS2 vyžaduje:

• Povinné hlášení incidentů NÚKIB/CERT ve lhůtách 24/72 hodin a 30 dnů
• Registrace regulované služby na Portálu Úřadu do 60 dnů
• Osobní odpovědnost statutárních orgánů (§ 58 zákona)
• Komunikace se státní autoritou při kybernetických krizích

Doporučený postup pro automotive firmy: Vybudujte jednotný ISMS podle ISO 27001 jako společný základ. Na něj aplikujte specifické požadavky TISAX (ochrana prototypů, VDA ISA kontroly) i doplňkové požadavky NIS2 (ohlašovací procesy, registrace u NÚKIB). Tím minimalizujete duplicity a získáte efektivní systém pokrývající obě regulace bez zbytečného zdvojování dokumentace a procesů.

Nejčastější chyby při TISAX přípravě

Ze zkušeností s desítkami automotive dodavatelů se opakovaně objevují stejné chyby, které zbytečně prodlužují a prodražují celý proces:

1. Podcenění časové náročnosti: Firmy často začínají přípravu 2–3 měsíce před požadovaným termínem assessment, přitom realistický horizont je 6–12 měsíců. Nedostatek času vede k formální implementaci bez reálného fungování opatření.
2. Neupřímný self-assessment: Nadhodnocení úrovně zralosti při self-assessmentu vede k tomu, že organizace přehlédne kritické gapy a auditor je odhalí až během assessmentu – s následkem neshod a prodloužení celého procesu.
3. Ignorování ochrany prototypů: Firmy, které pracují s prototypovými díly nebo designovými daty, často podceňují fyzické zabezpečení prostor. TISAX v oblasti prototypové ochrany vyžaduje konkrétní opatření včetně maskování oken, zákazu fotografování, sledování návštěv a oddělení prototypových zón od běžné výroby.
4. Zaměření pouze na IT: TISAX hodnotí bezpečnost informací komplexně – zahrnuje organizační procesy, personální bezpečnost, fyzickou ochranu i technická opatření. Firmy, které delegují přípravu výlučně na IT oddělení, pravidelně selhávají v organizačních a personálních aspektech.
5. Chybějící řízení dodavatelů: Automotive dodavatelé mají často své vlastní subdodavatele, kteří přistupují k citlivým informacím. TISAX vyžaduje, abyste prokázali, že bezpečnostní požadavky přenášíte i na své dodavatele – formou smluvních ujednání, auditů a pravidelného přezkumu.
6. Nedostatečné školení zaměstnanců: Technická opatření jsou k ničemu, pokud zaměstnanci nerozumí bezpečnostním pravidlům. Investujte do pravidelných školení a awareness programů, které pokryjí jak obecnou kybernetickou bezpečnost, tak specifika TISAX (práce s prototypy, klasifikace informací, hlášení incidentů).

Jak začít – praktický checklist pro automotive dodavatele

Pokud vás OEM partner požádal o TISAX label nebo se na assessment chcete proaktivně připravit, postupujte takto:

1. Zjistěte požadovaný scope a úroveň: Kontaktujte OEM partnera a vyžádejte si přesnou specifikaci – jaký scope (informační bezpečnost, prototypy, třetí strany) a jakou úroveň (AL2/AL3) vyžaduje.
2. Proveďte self-assessment: Stáhněte VDA ISA katalog, poctivě ohodnoťte současný stav a identifikujte gapy.
3. Jmenujte odpovědnou osobu: Určete manažera bezpečnosti informací (CISO nebo ISB – Information Security Officer), který bude řídit celý proces přípravy.
4. Stanovte rozpočet a harmonogram: Počítejte s interními náklady na implementaci, externím poradenstvím a poplatkem za assessment (řádově desítky tisíc EUR).
5. Proškolte tým: Investujte do vzdělání klíčových osob – kurz TISAX pro pochopení specifických požadavků a kurz ISO 27001 pro solidní základ ISMS.
6. Ověřte vazbu na NIS2: Pokud zároveň spadáte pod zákon č. 264/2025 Sb., plánujte implementaci obou regulací koordinovaně – ušetříte čas i peníze.