Wat Is TISAX en Waarom OEM's Het Eisen
TISAX — Trusted Information Security Assessment Exchange — werd gecreëerd door de VDA (Verband der Automobilindustrie, de Duitse automobielbrancheorganisatie) om een specifiek probleem op te lossen: elke grote OEM voerde zijn eigen beveiligingsbeoordelingsprogramma voor leveranciers uit, en elke leverancier voltooide tientallen overlappende vragenlijsten in enigszins verschillende formaten.
TISAX loste dit op door een gestandaardiseerd raamwerk te creëren op basis van de VDA Information Security Assessment (VDA ISA) en een gedeeld uitwisselingsplatform beheerd door de ENX Association. Een leverancier voltooit één TISAX-beoordeling en deelt het resultaat met elke OEM die het vereist — eenmalig, op het ENX-platform, onder gecontroleerde toegang.
Wat begon als een Duits automotivestandaard is de de facto beveiligingscertificeringsvereiste geworden voor automotive toeleveringsketens in heel Europa. In Nederland heeft dit direct invloed op Nederlandse leveranciers aan OEM's en aan Tier 1-integratoren zoals VDL, DAF en ASML-onderaannemers.
Het TISAX-resultaat is geen publiek certificaat — het is een gecontroleerde uitwisseling.
Anders dan ISO 27001 zijn TISAX-beoordelingsresultaten niet openbaar. Ze worden vertrouwelijk gedeeld op het ENX-platform, alleen toegankelijk voor OEM's die u expliciet autoriseert. Het missen van een TISAX-vereiste kan een contracttoewijzing vertragen of diskwalificeren — zelfs als uw productkwaliteit en prijs ideaal zijn.
De Drie TISAX Beoordelingsniveaus
Uw vereiste beoordelingsniveau wordt vastgesteld door uw OEM-klant op basis van de gevoeligheid van de informatie die u verwerkt en uw toegang tot hun omgevingen. Dit vooraf begrijpen bepaalt of uw budget- en tijdlijninschattingen realistisch zijn.
Zelfbeoordeling
4–8 wekenTarget
Leveranciers die standaard bedrijfsinformatie verwerken met beperkte gevoeligheid
Process
Voltooi de VDA ISA-vragenlijst intern en publiceer resultaten op het ENX-platform — geen externe auditor vereist
Zelden verplicht door grote OEM's voor directe leveranciers — BMW, VW Group en Mercedes eisen doorgaans AL2 of AL3.
Plausibiliteitscontrole
2–4 maandenTarget
Leveranciers die gevoelige informatie verwerken: prototypedata, persoonsgegevens, vertrouwelijke technische specificaties
Process
Gedetailleerde zelfbeoordeling plus externe verificatiesessies met een geaccrediteerde ENX-auditor
De meest voorkomende vereiste voor Tier 2- en de meeste Tier 1-leveranciers met toegang tot OEM-data.
Locatie-inspectie
3–6 maandenTarget
Leveranciers die zeer gevoelige data verwerken: prototypeonderdelen, geheime productiesystemen, directe toegang tot OEM-engineeringomgevingen
Process
Volledige locatie-inspectie door geaccrediteerde auditors met uitgebreide documentatiereview en fysieke controles
Vereist voor prototypebehandeling, O&O-partners en leveranciers met directe systeemtoegang tot OEM-productie of engineeringplatforms.
De Zes Stappen van een TISAX-beoordeling
TISAX volgt een gedefinieerd proces beheerd via de ENX Association. Elk stap begrijpen voordat u begint, voorkomt de meest voorkomende oorzaak van tijdlijnoverschrijdingen: het ontdekken van grote remediëringsvereisten midden in de beoordeling die vooraf hadden moeten worden aangepakt.
Scopedefinitie
Bepaal welke organisatieonderdelen, fysieke locaties en gegevenstypen in scope zijn. Uw OEM-contract specificeert de vereiste scope — onjuiste scoping leidt tot beoordelingsmislukking of gedeeltelijke resultaten die niet voldoen aan de vereisten van uw klant.
ENX-registratie
Registreer bij de ENX Association en specificeer uw beoordelingsscope, vereist niveau en toepasselijke modules. Registratiekosten zijn van toepassing. Uw registratie legt de scope vast die formeel wordt beoordeeld.
Gap-beoordeling
Evalueer uw huidige beheersmaatregelen aan de hand van VDA ISA-vereisten voor uw niveau en toepasselijke modules: Informatiebeveiliging (altijd vereist), Prototypebescherming (indien van toepassing) en Gegevensbescherming. Voltooi dit vóór het inschakelen van uw auditor.
Auditorbetrokkenheid
Selecteer een geaccrediteerde ENX-auditprovider en plan uw beoordeling in. Voor AL2 zijn dit externe verificatiesessies. Voor AL3, plan locatiebezoeken over één tot drie dagen. De auditor beoordeelt uw VDA ISA-zelfbeoordeling en test uw gedocumenteerde beheersmaatregelen.
Gap-remediëring
Los bevindingen op die tijdens of vóór de beoordeling zijn geïdentificeerd. Kleine afwijkingen kunnen vaak binnen het beoordelingsvenster worden verholpen. Grote lacunes vereisen een aparte herbeoordelingscyclus. Dit is waar de meeste tijdlijnen uitlopen.
Labelafgifte & Delen
Zodra de beoordeling is geaccepteerd, wordt uw TISAX-label gepubliceerd op het ENX-platform. U bepaalt welke OEM's het kunnen inzien. Labels zijn drie jaar geldig, waarna een volledige herbeoordeling vereist is.
TISAX vs. ISO 27001: Belangrijkste Verschillen
Veel automotive leveranciers hebben al ISO 27001 of zijn die aan het behalen. De twee kaders overlappen aanzienlijk in beheersmaatregelen — maar ze zijn niet equivalent, en geen enkele grote OEM accepteert ISO 27001 als vervanging voor TISAX.
| Kenmerk | TISAX | ISO 27001 |
|---|---|---|
| Sectorfocus | Automotive-specifiek (VDA ISA-raamwerk) | Sectoroverschrijdend generiek beheerskader |
| Mandaat | Contractuele OEM-vereiste — niet onderhandelbaar voor in-scope leveranciers | Vrijwillig — OEM's accepteren het niet als TISAX-vervanging |
| Resultaatuitwisseling | ENX-platform — één resultaat gedeeld met meerdere OEM's | Handmatige certificaatdeling per klantrelatie |
| Beoordelingsmodel | Rijpheidsgebaseerde scoring (1–5 per beheersgebied) | Binair: conform of niet-conform per clausule |
| Prototypebescherming | Toegewijd VDA ISA-module voor fysieke en logische prototypebeveiliging | Niet behandeld — fysieke prototypebeveiliging valt buiten ISO-scope |
| Geldigheid | 3-jarig label — volledige herbeoordeling bij verlenging | Jaarlijkse surveillanceaudits, hercertificering elke 3 jaar |
Is Uw TISAX Tijdlijn Realistisch?
We bieden een gratis TISAX-gereedheidsoproep: 30 minuten om uw huidige beveiligingspositie te beoordelen aan de hand van VDA ISA-vereisten voor uw doelbeoordelingsniveau en u eerlijk te vertellen of uw geplande tijdlijn haalbaar is.
Boek een Gratis TISAX GereedheidsoproepDe Drie Gebieden Waar Automotive Leveranciers Het Vaakst Falen
Deze drie beheersgebieden zijn verantwoordelijk voor de meerderheid van bevindingen bij TISAX-beoordelingen op AL2 en AL3. Ze proactief aanpakken vóór uw formele beoordeling is de meest betrouwbare manier om remediëringslussen te vermijden die de certificering met drie tot zes maanden verlengen.
Prototypebeveiliging
De VDA ISA Prototypebeschermingsmodule vereist gedocumenteerde fysieke en logische beheersmaatregelen voor het verwerken van pre-serieonderdelen, CAD-bestanden en ontwikkeldata. De meeste leveranciers verwerken prototypes onder informele regelingen — geen gedocumenteerd toegangscontroleproces, geen clean-desk-procedures, geen formeel bezoekermanagement voor prototypegebieden. Auditors markeren consequent de afwezigheid van gedocumenteerde protocollen.
Leveranciersdocumentatie
TISAX vereist bewijs dat u de beveiligingspositie van uw eigen sub-leveranciers met toegang tot OEM-data beoordeelt en beheert. De meeste mkb-leveranciers hebben geen formeel leveranciersbeveiligingsbeoordelingsproces. Ze ondertekenen contracten maar beoordelen de beveiligingspraktijken van hun leveranciers niet. Auditors markeren consequent ontbrekende sub-leveranciersregisters en afwezige due diligence-processen.
Toegangsbeheerbewijzen
TISAX beoordeelt of toegangsrechten formeel worden beheerd: gebruikersprovisioning en -deprovisioning, beheer van geprivilegieerde toegang en periodieke toegangsbeoordelingen met gedocumenteerde uitkomsten. De meeste leveranciers hebben functionerende technische toegangscontroles — maar missen de gedocumenteerde processen en auditbewijssporen die TISAX vereist. Werkende beheersmaatregelen zonder documentatie voldoen niet voor AL2 of AL3.
Hoe New Paradigm Security Uw TISAX-certificering Versnelt
Automotive leveranciers zijn doorgaans geen informatiebeveiligingsspecialisten. Hun kernexpertise ligt in productie, engineering of logistiek — en TISAX vraagt hen om geavanceerde beveiligingsgovernance aan te tonen tegen een gedetailleerd automotive-specifiek raamwerk. De meeste leveranciers onderschatten de remediëringsinspanning met een factor twee tot drie.
Ons GRC-team heeft leveranciers begeleid door TISAX-beoordelingen op alle drie niveaus. We weten waar de lacunes zijn voordat de auditor aankomt — omdat we diezelfde lacunes consistent over beoordelingen heen hebben gezien.
VDA ISA Gap-beoordeling
Volledige beoordeling van uw beheersmaatregelen aan de hand van VDA ISA-vereisten voor uw specifieke niveau en toepasselijke modules. We leveren een geprioriteerd remediëringsplan met realistische tijdlijnen — geen generiek rijpheidsrapport dat uw team achterlaat met giswerk.
Remediëringsprogrammabeheer
End-to-end beheer van gap-remediëring: beleidsontwikkeling, procesontwerp, implementatie van beheersmaatregelen en verzameling van auditbewijs. We bouwen de documentatiearchitectuur die TISAX-auditors tevreden stelt en na labelafgifte onderhoudbaar blijft.
Prototypebeschermingsmodule
Toegewijde ondersteuning voor de VDA ISA Prototypebeschermingsmodule — beoordeling van fysieke beveiliging, toegangscontroleontwerp voor prototypegebieden, bezoekermanagementprocedures en controles voor CAD/engineering-dataverwerking. Gebouwd voor Tier 1- en Tier 2-leveranciers die pre-serieonderdelen verwerken.
Sub-leveranciersbeoordelingsprogramma
Ontwerp en implementatie van uw leveranciersbeveiligingsbeheerproces: vragenlijstontwikkeling, kritikaliteitsclassificatie en sub-leveranciersregister dat tegelijkertijd aan VDA ISA en AVG Art. 28 voldoet.
Herbeoordelingsvoorbereiding
TISAX-labels vervallen na drie jaar. Wij bieden doorlopende compliance-monitoring, jaarlijkse controle-tests en herbeoordelingsvoorbereiding zodat uw verlenging geen twaalfmaandse crisis wordt. Klanten die na certificering betrokken blijven, behalen consistent hogere rijpheidsscores.
TISAX Is een Toeleveringsketentoegang, Geen IT-project
De automotive toeleveringsketen trekt aan. OEM's reduceren hun leveranciersbasissen en concentreren contracten bij leveranciers die systematische beveiligingsgovernance kunnen aantonen. TISAX-certificering is een drempelvereiste geworden — geen onderscheidend kenmerk, maar een voorwaarde om op de shortlist te staan.
Leveranciers die TISAX efficiënt afronden zijn niet die met de grootste IT-teams. Het zijn de leveranciers die vroeg externe expertise inschakelden, prototypebeveiliging en leveranciersbeheer proactief aanpakten en de remediëringslussen vermeden die tijdlijnen van vier naar twaalf maanden verlengen.
Als u een TISAX-vereiste heeft ontvangen van een OEM of Tier 1-partner, is de beoordelingsklok gestart. De vraag is of u de lacunes sluit voordat de auditor ze vindt.
Enterprise GRC & Regulatory Compliance
TISAX gap-beoordelingen, ISO 27001-implementatie, NIS2 en DORA compliance, en doorlopend GRC-beheer voor Europese bedrijven en automotive toeleveringsketendeelnemers.
Bekijk GRC-dienstenvCISO (Fractioneel CISO)
Mkb automotive leveranciers hebben vaak geen interne beveiligingsfunctie. Een fractionele CISO biedt het governance-leiderschap — ISMS-ontwerp, beleidsraamwerk, auditgereedheid — dat TISAX-auditors verwachten bij AL2 en AL3.
Verken vCISO-diensten