TISAX

    TISAX - Implementacija i Sertifikacija TISAX-a

    Neprestano unapređujte Vaše poslovanje uz pomoć TISAX-a

    Trusted Information Security Assessment Exchange – TISAX

    Automobilska industrija prolazi kroz period radikalne transformacije. Elektrifikacija, autonomna vožnja, connected vehicles i digitalizacija menjaju ne samo sama vozila već i čitav ekosistem koji ih okružuje. Sa ovom digitalnom transformacijom dolaze i novi, značajni rizici vezani za bezbednost informacija. Krađu tehničkih crteža za novi model vozila, kompromitovanje softvera za autonomnu vožnju, ili curenje podataka o milijardama povezanih vozila mogu imati katastrofalne posledice – od gubitka konkurentske prednosti i finansijskih šteta do ugrožavanja ljudskih života.

    TISAX (Trusted Information Security Assessment Exchange) standard predstavlja specijalizovani standard za procenu i sertifikaciju informacione bezbednosti specifično dizajniran za automobilsku industriju. Razvijen od strane VDA (Verband der Automobilindustrie – German Association of the Automotive Industry), TISAX je postao de facto standard za sve organizacije koje žele da posluju sa vodećim automobilskim proizvođačima i njihovim dobavljačima.

    Za srpske kompanije – bilo da se radi o proizvođačima auto delova, IT provajderima koji razvijaju automotive software, inžinjerinškim kućama koje pružaju R&D usluge, ili bilo kom drugom učesniku u automobilskom lancu snabdevanja – TISAX sertifikacija postaje ključni uslov za ulazak i opstanak na ovom tržištu. Velike automobilske kuće kao što su Volkswagen, BMW, Daimler, Audi i mnogi drugi zahtevaju TISAX sertifikaciju od svojih partnera i više ne prihvataju alternative ili custom provere bezbednosti.

    Ovaj vodič pruža sveobuhvatan pregled TISAX standarda – od osnovnih principa specifičnih za automobilsku industriju do praktične implementacije i sertifikacije u kontekstu srpskog tržišta.

    Šta je TISAX standard?

    TISAX (Trusted Information Security Assessment Exchange) je standard za procenu informacione bezbednosti razvijen specifično za automobilsku industriju. Kreiran je od strane VDA (Verband der Automobilindustrie), asocijacije nemačke automobilske industrije, i upravlja ga ENX Association (European Network Exchange).

    Ključne karakteristike TISAX-a:

    Zasnovan na ISO 27001, ali specijalizovan – TISAX je zasnovan na ISO 27001 kontrolama ali ih proširuje i prilagođava specifičnim potrebama i rizicima automobilske industrije, dodajući dodatne zahteve vezane za:

    • Zaštitu prototipova
    • Bezbednost u razvoju automobila
    • Specifične podatke industrije
    • Fizičku bezbednost visoko osetljivih informacija

    Nije sertifikacioni standard u tradicionalnom smislu – TISAX nije ISO standard koji organizacija “poseduje” sa sertifikatom. Umesto toga, to je assessment (procena) koji se deli između učesnika kroz zajedničku platformu. Organizacija prolazi assessment, dobija TISAX label, i rezultati su dostupni svim učesnicima koji su članovi ENX.

    Exchange mehanizam – Ključna vrednost TISAX-a je “Exchange” – jednom kada organizacija prođe TISAX assessment, rezultati se mogu deliti sa svim automobilskim OEM-ovima (Original Equipment Manufacturers) i tier-1 dobavljačima koji su članovi ENX. Ovo eliminiše potrebu za višestrukim proverama od strane različitih kupaca.

    Assessment Levels (Nivoi procene) – TISAX ima različite nivoe procene:

    • Assessment Level (AL) 1: Samoprocena bez eksterne validacije
    • Assessment Level (AL) 2: Assessment sa validacijom od strane sertifikovanog proverioca, bez dodatnih provera na licu mesta
    • Assessment Level (AL) 3: Najrigorozniji nivo sa detaljnim assessment-om na licu mesta

    Većina automobilskih OEM-ova zahteva minimum AL2, a za visoko osetljive informacije (prototipovi, novi dizajni) često AL3.

    Maturity Levels (Nivoi zrelosti) – Za svaki kontrolni cilj, organizacija može postići različite nivoe zrelosti:

    • Level 0: Nepotpuno implementirano
    • Level 1: Izvršeno
    • Level 2: Upravljano
    • Level 3: Uspostavljeno
    • Level 4: Predvidljivo
    • Level 5: Optimizovano

    VDA ISA katalog – TISAX assessment zasniva se na VDA ISA (Information Security Assessment) katalogu koji sadrži kontrolne ciljeve organizovane u:

    • Informaciona bezbednost (bazirana na ISO 27001)
    • Zaštita prototipova (fizička bezbednost specifična za automotive)
    • Zaštita podataka (GDPR usklađenost)

    TISAX Portal – ENX održava portal (portal.enx.com) gde se:

    • Objavljuju assessment rezultati
    • Upravljaju assessment scope-ovi
    • Deli informacija između učesnika
    • Vrši razmena

    Važi 3 godine – TISAX label važi 3 godine, nakon čega je potreban re-assessment.

    Ključne koristi TISAX standarda

    Implementacija TISAX standarda donosi specifične koristi za automobilsku industriju:

    Pristup automobilskom tržištu – Za mnoge dobavljače, TISAX nije opcija već neophodnost. Vodeći OEM-ovi kao što su:

    • Volkswagen Group (VW, Audi, Porsche, SEAT, Škoda)
    • BMW Group
    • Daimler (Mercedes-Benz)
    • Continental
    • Bosch
    • I mnogi drugi

    …zahtevaju TISAX od svojih dobavljača i partnera.

    Jedan assessment umesto stotine provera – Pre TISAX-a, dobavljači su morali da prolaze kroz custom security assessments od strane svakog OEM-a i tier-1 dobavljača. Sa TISAX-om, jedan assessment se može deliti sa svim učesnicima, štederći vreme i resurse.

    Zaštita kritičnih automotive informacija – Specifični zahtevi za zaštitu:

    • Prototipova i novih dizajna
    • Tehničkih crteža i CAD modela
    • Software koda za vozila
    • Podataka o vozačima i vozilima (connected cars)
    • Poslovnih tajni i R&D podataka

    Smanjenje rizika od IP krađe – Automobilska industrija je meta industrijske špijunaže. TISAX kontrole specifično adresiraju ove rizike.

    Unapređenje konkurentnosti – Demonstracija visoke zrelosti informacione bezbednosti može biti diferencijator pri osvojavanju novih projekata.

    Globalno priznanje – Iako razvijen u Nemačkoj, TISAX je postao globalno prihvaćen standard i u Evropi, Americi i Aziji.

    Zaštita od finansijskih gubitaka – Data breach u automotive industriji može koštati desetine miliona evra u troškovima oporavka, kazni i izgubljenih poslova.

    GDPR usklađenost – TISAX uključuje procenu zaštite podataka što pomaže u GDPR usklađenosti, posebno važnoj za connected vehicle podatke.

    Zašto je TISAX standard važan

    Važnost TISAX-a proističe iz specifičnih karakteristika automobilske industrije:

    Visoka vrednost IP-a – Razvoj novog modela vozila može koštati milijarde evra i trajati godinama. Kraža dizajna ili tehničkih specifikacija pre lansiranja može uništiti ROI.

    Kompleksni lanci snabdevanja – Moderno vozilo sadrži 30.000+ delova od stotina dobavljača. Bezbednost mora biti osigurana kroz čitav lanac.

    Digitalizacija i povezana vozila – Connected cars generišu ogromne količine podataka. Volkswagen je procenio da njihova flota generiše 250 petabytes podataka godišnje. Zaštita ovih podataka je kritična.

    Autonomna vozila – Software za autonomnu vožnju je izuzetno vredan i osetljiv. Kompromitovanje može ugroziti ljudske živote.

    Cyber bezbednost vozila – Moderna vozila su “računari na točkovima”. Cyber napadi na vozila mogu imati katastrofalne posledice. UNECE WP.29 regulativa zahteva cyber bezbednost.

    Industrijska špijunaža – Automobilska industrija je jedna od najciljanijih industrija za ekonomsku špijunažu. Kineski hakeri, na primer, često ciljaju automotive IP.

    Konkurencija i vreme do tržišta – U visoko kompetitivnoj industriji, curenje informacija konkurenciji može eliminirati godinu ili više prednosti.

    Regulatorni pritisak – Pored GDPR-a, automobilska industrija suočava se sa:

    • UNECE WP.29 (cyber bezbednost vozila)
    • Type approval zahtevima
    • Nacionalnim propisima o bezbednosti vozila

    Consolidation pressure – OEM-ovi konsoliduju svoje bezbednosne zahteve kroz TISAX umesto maintaining multiple proprietary assessments.

    Multi-tier lanac – Tier-2 i tier-3 dobavljači sada takođe moraju ispunjavati TISAX zahteve jer tier-1 dobavljači to zahtevaju od njih.

    Ključni principi TISAX standarda

    TISAX počiva na nekoliko ključnih principa:

    Standardizacija kroz industriju – Jedinstveni assessment kriterijumi za sve učesnike u automobilskoj industriji, eliminiš ući fragmentaciju.

    Reciprocitet i poverenje – “Exchange” princip – poverenje u rezultate assessment-a od strane nezavisnih, akreditovanih proverivaša, omogućavajući deljenje rezultata.

    Pristup zasnovan na riziku – Procena se fokusira na rizike specifične za automobilsku industriju, a ne na generičku kontrolnu listu.

    Zaštita specifičnih automotive informacija – Posebna pažnja na:

    • Veoma visoka“ potreba za zaštitom: Prototipovi, novi dizajni, kritične poslovne tajne
    • Visoka“ potreba za zaštitom: Standardni tehnički podaci, CAD datoteke
    • Normalna“ potreba za zaštitom: Opšti poslovni podaci

    Fizička i logička bezbednost – Jednaka pažnja na fizičku bezbednost (posebno za prototipove) i IT bezbednost.

    Zrelost, ne samo usklađenost – Procena se odnosi na zrelost procesa (da li su ad hok ili optimizovani), a ne samo na to da li postoje.

    Procena, a ne sertifikacija – TISAX je procena i objavljivanje rezultata, a ne tradicionalna sertifikacija „prošao/pao“.

    Poverljivost kroz ENX – Rezultati su dostupni samo učesnicima ENX, ne javno.

    Kontinuirano poboljšanje – Očekivanje kontinuiranog unapređenja maturity levels između assessments.

    Fleksibilnost obima – Organizacije mogu definisati različite scope-ove za različite delove poslovanja (npr. R&D odeljenje može imati viši scope od proizvodnje).

    Struktura TISAX standarda

    TISAX assessment zasniva se na VDA ISA katalogu koji je organizovan u tri glavna područja:

    Deo 1: Informaciona bezbednost (bazirana na ISO 27001/27002)

    Ovaj deo pokriva standardne ISO 27001 kontrole prilagođene automotive kontekstu:

    • Organizacija informacione bezbednosti
    • Bezbednost ljudskih resursa
    • Upravljanje resursima (asset management)
    • Kontrola pristupa
    • Kriptografija
    • Fizička bezbednost i bezbednost okruženja
    • Operativna bezbednost
    • Bezbednost komunikacija
    • Nabavka, razvoj i održavanje sistema
    • Odnosi sa dobavljačima
    • Upravljanje incidentima
    • Business continuity
    • Usklađenost

    Svaki od ovih domena ima specifične kontrolne ciljeve i pitanja prilagođena automotive industriji.

    Deo 2: Zaštita prototipova

    Ovo je poseban deo TISAX-a koji ne postoji u ISO 27001 i fokusira se na fizičku bezbednost za visoko osetljive informacije:

    • Perimetarska bezbednost: Ograde, barijere, kontrola pristupa na nivou lokacije
    • Bezbednost zgrada: Access control, video nadzor, alarmi
    • Bezbednost kancelarija, soba i objekata: Dodatne mere za oblasti sa prototipovima
    • Zaštita od neovlašćenog posmatranja: Window filming, zaštita od fotografisanja
    • Bezbednost prilikom transporta: Procedures za bezbedno kretanje prototipova
    • Uništavanje/brisanje: Secure disposal prototipova i povezanih informacija

    Deo 3: Zaštita podataka (GDPR)

    Ovaj deo fokusira se na zaštitu lično identifikujućih informacija (PII), što je posebno važno za:

    • Podatke vozača (connected cars)
    • Podatke o kretanju vozila
    • In-vehicle data
    • HR podatke

    Uključuje provere:

    • Zakonitost obrade
    • Data minimization
    • Storage limitation
    • Rights of data subjects
    • Data protection by design and by default
    • Data protection impact assessments (DPIA)
    • Data breach procedures

    Assessment Level specifičnosti:

    • AL1 (Self-assessment): Organizacija sama popunjava upitnik
    • AL2 (Third-party assessment): External assessor pregleda dokumentaciju, vrši intervjue (može biti remote)
    • AL3 (On-site assessment): External assessor dolazi na lokaciju, detaljno proverava implementaciju, posebno za fizičku bezbednost

    Ključni koncepti TISAX standarda

    ENX Association – Non-profit organizacija koja upravlja TISAX-om. Članstvo je obavezno za učešće u TISAX exchange mehanizmu.

    TISAX Participant – Organizacija koja je postala član ENX i ima pristup TISAX portal-u za deljenje/pregled assessment rezultata.

    Audit Provider – Akreditovana kompanija (kroz ENX) koja može sprovoditi TISAX assessments. Samo određene organizacije mogu biti Audit Providers.

    TISAX Auditor – Individua zaposlena kod Audit Provider-a, obučena i sertifikovana za sprovođenje TISAX assessments.

    Assessment Scope – Definiše šta je pokriveno assessment-om:

    • Koje lokacije
    • Koji poslovni procesi
    • Koji tipovi informacija
    • Nivo zaštite (Normal, High, Very High)

    Information Classification – TISAX koristi tri nivoa:

    • Normal: Standardni poslovni podaci
    • High: Tehničke informacije, business secrets
    • Very High: Prototipovi, cutting-edge R&D, pre-launch designs

    Protection Need – Zahtevani nivo zaštite za određene informacije. OEM određuje protection need za informacije koje deli sa dobavljačem.

    TISAX Label – “Sertifikat” koji pokazuje:

    • Assessment Level (AL1, AL2, AL3)
    • Scope (IS – Information Security, Prototype Protection, Data Protection)
    • Maturity levels postignute za različite oblasti
    • Važi 3 godine

    Assessment Report – Detaljan izveštaj koji pokazuje maturity level za svaki kontrolni cilj. Dostupan učesnicima kroz ENX portal.

    Exchange Process – Proces kroz koji organizacija deli svoje assessment rezultate sa OEM-om ili tier-1 dobavljačem kroz ENX portal.

    Re-assessment – Assessment se mora ponoviti posle 3 godine.

    Surveillance Audit – Neki scope-ovi (posebno Very High i Prototype Protection) mogu zahtevati intermedijarne surveillance audits.

    Oblasti primene TISAX standarda

    TISAX je primenljiv na širok spektar organizacija u automotive ekosistemu:

    Tier-1 dobavljači – Direktni dobavljači OEM-ovima:

    • Proizvođači auto delova (engine components, electronics, interior)
    • System integrators
    • Software providers

    Tier-2 i Tier-3 dobavljači – Dobavljači tier-1 dobavljača koji također rukuju osetljivim informacijama.

    Inžinjerinške i dizajn kuće – Kompanije koje pružaju R&D usluge:

    • Vehicle design
    • Engineering services
    • Testing and validation

    IT i software kompanije – Provajderi koji razvijaju:

    • Infotainment sisteme
    • ADAS (Advanced Driver Assistance Systems)
    • Autonomna vozna software
    • Connected car platforme
    • Backend cloud servise

    Proizvođači alata i opreme (tooling) – Kompanije koje prave kalupe, alate i opremu za proizvodnju.

    Logistički provajderi – Kompanij e koje transportuju prototipove ili osetljive delove.

    Testing i validacija – Laboratorije koje vrše testiranje vozila i komponenti.

    Marketinške i PR agencije – Agencije koje rade na kampanjama za lansiranje novih modela pre javnog otkrivanja.

    Konsultantske kuće – Konsultanti koji savetuju o strategiji, procesima i imaju pristup osetljivim informacijama.

    Additive manufacturing / 3D printing – Kompanije koje proizvode prototip delove.

    IT outsourcing i managed services – MSP-ovi koji upravljaju IT infrastrukturom za automotive kompanije.

    Cloud provajderi – Cloud providers koji host-uju automotive aplikacije i podatke.

    U Srbiji, ovo posebno uključuje:

    • Proizvođače auto delova (cablings, plastics, metal parts)
    • IT kompanije koje razvijaju automotive software
    • Inžinjerinška biroa koja pružaju design i engineering usluge

    Koristi od implementacije TISAX standarda

    Obavezan uslov za poslovanje – Za mnoge srpske auto-part manufacturers i IT kompanije, TISAX je postao uslov bez kojeg ne mogu osvojiti ili zadržati poslove sa OEM-ovima.

    Jedan assessment umesto višestrukih provera – Pre TISAX-a, dobavljač koji radi sa Volkswagen, BMW i Daimler morao bi da prođe kroz tri odvojena security assessments. Sa TISAX-om, jedan assessment zadovoljava sve.

    Standardizovane zahteve – Jasno razumevanje šta se očekuje, bez custom zahteva koji variraju od kupca do kupca.

    Pristup novim projektima – TISAX label može otvoriti vrata novim projektima i OEM-ovima.

    Zaštita IP-a – Sistemski pristup zaštiti intellectual property-ja, što je kritično u automotive industriji.

    Unapređenje operativne bezbednosti – Proces implementacije dovodi do značajnih unapređenja u IT i fizičkoj bezbednosti.

    GDPR usklađenost – Deo 3 TISAX-a pomaže u GDPR compliance, što je obavezan zahtev u EU.

    Competitive advantage – Visoki maturity levels mogu biti diferencijator pri izb oru dobavljača.

    Smanjenje rizika od data breach – Robusne mere bezbednosti smanjuju verovatnoću skupih bezbednosnih incidenata.

    Povećanje poverenja kupaca – OEM-ovi imaju veće poverenje u dobavljače sa visokim TISAX maturity levels.

    Manji insurance premiums – Neki osiguravači nude povoljnije uslove za cyber insurance.

    Proces implementacije TISAX standarda

    Faza 1: Priprema i planiranje (1 mesec)

    • Obezbeđenje top management podrške
    • Formiranje TISAX projektnog tima
    • Imenovanje Information Security Officer-a
    • Analiza zahteva OEM-ova (koji scope, koji AL)
    • Kreiranje projektnog plana
    • Registracija ENX membership

    Faza 2: Gap analiza (1-2 meseca)

    • Detaljno poređenje trenutnog stanja sa VDA ISA katalogom
    • Identifikacija postojećih kontrola
    • Procena maturity levels
    • Prioritizacija areas for improvement
    • Identifikacija resursa potrebnih za zatvaranje gapova

    Faza 3: Klasifikacija informacija i definisanje scope-a (1 mesec)

    • Identifikacija svih tipova automotive informacija koje se obrađuju
    • Klasifikacija prema protection need (Normal, High, Very High)
    • Definisanje TISAX scope-a (lokacije, procesi)
    • Određivanje potrebnog AL (obično AL2 ili AL3)

    Faza 4: Razvoj/unapređenje ISMS-a (2-4 meseca)

    • Razvoj ili revizija Information Security politika
    • Kreiranje ili ažuriranje procedura i guidelines
    • Risk assessment specifičan za automotive podatke
    • Asset inventory sa klasifikacijom

    Faza 5: Implementacija tehničkih kontrola (3-6 meseci)

    • IT bezbednost:
      • Network segmentation
      • Firewalls i intrusion detection
      • Endpoint protection
      • Data Loss Prevention (DLP) za zaštitu CAD fajlova
      • Encrypted storage i komunikacije
      • Access controls i privileged access management
      • Backup i disaster recovery
    • Fizička bezbednost (posebno za Very High protection):
      • Perimetar security (ograde, barijere)
      • Access control sistemi (biometrija, smart cards)
      • CCTV sa recordingom
      • Alarmi
      • Secure storage za prototipove
      • Anti-photography measures (window films, policies)
      • Clean desk policies

    Faza 6: Zaštita podataka (GDPR) – ako je u scope-u (2-3 meseca)

    • Data inventory i mapping
    • Privacy policies
    • Data subject rights procedures
    • DPIA processes
    • Data breach response plan
    • Vendor agreements sa GDPR clauses

    Faza 7: Zaštita prototipova – ako je u scope-u (2-4 meseca)

    • Design secure areas za rukovanje prototipovima
    • Transport procedures
    • Visitor management enhanced controls
    • Destruction/disposal procedures
    • Photography restrictions

    Faza 8: Obuka i awareness (kontinuirano, 2-3 meseca)

    • Information security awareness za sve zaposlene
    • Specific training za IT tim
    • Training za osoblje koje rukuje prototipovima
    • GDPR training
    • Social engineering awareness
    • Phishing simulations

    Faza 9: Dokumentacija (2 meseca)

    • ISMS dokumentacija
    • Procedure i work instructions
    • Records i forms
    • Evidence za maturity levels

    Faza 10: Internal readiness assessment (1 mesec)

    • Mock TISAX assessment
    • Identifikacija remaining gaps
    • Finalna remediation

    Faza 11: Izbor Audit Provider-a i zakazivanje (1 mesec)

    • Izbor ENX akreditovanog Audit Provider-a
    • Scope agreement
    • Scheduling

    Faza 12: TISAX assessment (zavisi od AL)

    • AL2: može biti remote, trajanje zavisi od scope-a
    • AL3: on-site, obično 2-5 dana

    Ukupno vreme implementacije: 12-18 meseci za organizacije bez prethodnog ISMS-a, 6-12 meseci za one sa ISO 27001.

    Proces sertifikacije TISAX standard

    TISAX “sertifikacija” se razlikuje od tradicionalnih sertifikacija:

    ENX Membership – Prvo, organizacija mora postati član ENX Association (godišnja membership fee).

    Izbor Audit Provider-a – Organizacija bira ENX akreditovanog Audit Provider-a. Lista dostupna na ENX sajtu.

    Scope definition – Definisanje šta će biti pokriveno:

    • Koje lokacije
    • Koji procesi
    • Koji delovi VDA ISA (IS, Prototype Protection, Data Protection)
    • Assessment Level (AL2 ili AL3)
    • Protection need levels

    Pre-assessment priprema – Audit Provider može ponuditi pre-assessment ili readiness check (nije obavezan).

    Assessment – Zavisno od AL:

    AL2 Assessment:

    • Može biti remote (video calls, pregled dokumentacije)
    • Intervjui sa key personnel
    • Pregled evidencija i dokumenata
    • Trajanje: 1-3 dana zavisno od scope-a

    AL3 Assessment:

    • Obavezno on-site
    • Detaljan tour objekata
    • Fizička provera kontrola (CCTV, access controls, secure areas)
    • Intervjui
    • Technical testing (može uključivati vulnerability scans)
    • Trajanje: 2-5 dana zavisno od scope-a i broja lokacija

    Maturity rating – Za svaki kontrolni cilj, auditor određuje maturity level (0-5).

    Draft report – Auditor kreira draft report sa findings.

    Management response – Organizacija ima priliku da kreira action plan za identifikovane gaps.

    Final report – Finalni assessment report.

    Label issuance – TISAX label se generiše i objavljuje na ENX portal-u. Label pokazuje:

    • Achieved maturity levels
    • Scope
    • Assessment date
    • Expiry date (3 godine)

    Exchange – Rezultati su sada dostupni svim ENX participants-ima. Organizacija može share-ovati svoje rezultate sa specifičnim OEM-ovima ili dobavljačima.

    Validity – TISAX label važi 3 godine. Nakon toga potreban je re-assessment.

    Surveillance – Za Very High scope ili Prototype Protection, mogu biti zahtevane intermedijarne provere.

    TISAX sertifikat – karakteristike i značaj

    TISAX “sertifikat” (technički “label”) ima specifične karakteristike:

    Nije tradicionalni sertifikat – Ne dobijate fizički sertifikat za staviti na zid. Umesto toga, dobijate TISAX label u ENX portal-u.

    Assessment Report – Dobijate detaljan report koji pokazuje maturity level za svaki kontrolni cilj.

    Transparency – ENX participants mogu videti vaše assessment rezultate, što je fundamentalno drugačije od privatnih sertifikata.

    Važi 3 godine – Label expiration je jasno prikazan.

    Scope specific – Možete imati različite labels za različite scope-ove. Na primer:

    • Scope 1: IS (Information Security) AL2 za main office
    • Scope 2: IS + Prototype Protection AL3 za R&D centar

    Maturity levels shown – Za razliku od ISO 27001 “pass/fail”, TISAX pokazuje postignute maturity levels, što daje OEM-ovima granular view.

    Logo/Badge – Organizacije ne mogu staviti “TISAX certified” logo na marketing materijale (jer nije tradicionalna sertifikacija), ali mogu referencirati da imaju TISAX label.

    ENX Portal – Sva komunikacija i exchange se dešavaju kroz ENX portal.

    Važnost TISAX sertifikata

    Ulaznica u automotive lanac snabdevanja – Za srpske kompanije koje žele da rade sa nemačkim, francuskim, italijanskim OEM-ovima, TISAX je često obavezan.

    Eliminacija custom audits – Pre TISAX-a, svaki OEM je slao svoj tim za security audit. To je bilo skupo, disruptive i vremenski zahtevno. TISAX to eliminiše.

    Signalizacija zrelosti – Visoki maturity levels pokazuju OEM-ovima da niste samo “checked boxes” već da imate zrele, optimizovane procese.

    Zaštita IP tokom tender procesa – Demonstracija adekvatne zaštite informacija omogućava OEM-ovima da dele osetljive tehničke specifikacije tokom RFQ procesa.

    Dugoročna održivost poslovanja – Sa automotive industrija moving towards mandatory TISAX, bez njega dugoročno nećete moći da održite poslovanje sa OEM-ovima.

    Reputacija na tržištu – U automotive community, TISAX postaje indicator ozbiljnosti i profesionalizma.

    Cena TISAX standarda

    Troškovi TISAX sertifikacije:

    ENX Membership:

    • Application fee:
    • Godišnji membership:

    Konsultantske usluge:

    • Male organizacije (do 50 zaposlenih):
    • Srednje (50-250):
    • Velike (250+):

    Zavisi od:

    • Početnog nivoa IS zrelosti
    • Broja lokacija
    • Kompleksnosti scope-a
    • Da li se implementira Prototype Protection

    Audit Provider fees:

    • AL2 assessment:
    • AL3 assessment: Zavisi od scope-a, broja lokacija, broja dana

    Tehnološke investicije:

    • DLP (Data Loss Prevention) software:
    • Enhanced access control:
    • CCTV upgrades:
    • Network security:
    • Biometric access (za Very High):

    Fizička bezbednost (za Prototype Protection):

    • Perimeter security:
    • Secure rooms/areas:
    • Window filming:

    Obuka:

    • IS awareness training:
    • Specialized training:

    Za prosečnu srednju organizacijuseeking AL2 IS assessment: total inicijalnih troškova.

    Godišnji troškovi održavanja:

    • ENX membership:
    • Internal IS resources
    • Tool licenses:
    • Training:

    ROI: Većina organizacija izveštava pozitivan ROI kroz:

    • Pristup novim projektima
    • Eliminaciju multiple audits
    • Smanjenje rizika od data breach

    Ukoliko Vas zanima cena TISAX standarda, popunite ZAHTEV ZA PONUDU i naš tim će vam u najkraćem roku dostaviti personalizovanu cenu TISAX standarda.

    Na osnovu vašeg upita, dobićete:

    • jasnu informaciju o ceni i trajanju procesa,
    • objašnjenje koraka za implementaciju standarda,
    • stručnu podršku tokom celokupnog procesa sertifikacije.

    Popunite formu i napravite prvi korak ka usaglašenosti sa TISAX standardom i unapređenjem poslovanja.

    Srpski sertifikat TISAX

    Za srpske kompanije:

    Dostupnost – TISAX assessment može biti sproveden u Srbiji.

    Jednaka validnost – TISAX label srpske kompanije ima istu važnost kao i nemačke ili bilo koje druge kompanije.

    Rastući trend – Sve više srpskih auto-part manufacturers i IT kompanija dobija TISAX:

    • Suppliers za FCA Srbija (Fiat)
    • IT kompanije koje razvijaju automotive software za nemačke OEM-ove
    • Engineering companies koje pružaju R&D usluge

    Konkurentska prednost za Srbiju – Srpske kompanije sa TISAX-om konkurišu na jednakim nogama sa zapadnoevropskim dobavljačima.

    Nearshoring potencijal – Za automotive software development, Srbija postaje atraktivna nearshoring destinacija. TISAX je key enabler.

    Lokalna podrška – Mobes Group pruža lokalnu podršku na srpskom jeziku za implementaciju.

    Networking – TISAX label omogućava srpskim kompanijama da budu vidljive OEM-ovima kroz ENX network.

    TISAX standard u Srbiji – zakonski okvir i podrška

    Zakon o zaštiti podataka o ličnosti – Usklađen sa GDPR-om. TISAX Deo 3 (Data Protection) direktno podržava usklađenost.

    Automotive industrija u Srbiji – Srbija ima značajnu auto industriju:

    • FCA Srbija (Fiat)
    • Više stotina auto-part suppliers
    • Rastući automotive IT sector

    Ministarstvo privrede – Podržava razvoj auto industrije kao strateškog sektora.

    Privredna komora Srbije – Kroz automotive cluster pruža podršku.

    EU integracije – Kao deo procesa pristupanja, Srbija harmonizuje propise što dodatno povećava važnost TISAX-a.

    Investment incentives – Vlada Srbije pruža incentive za automotive investments, što može uključivati podršku za quality/security sertifikacije.

    Održavanje TISAX sertifikata

    3-godišnji ciklus – TISAX label važi 3 godine, zatim re-assessment.

    Kontinuirano funkcionisanje kontrola – Sve implementirane mere moraju nastaviti.

    Surveillance audits – Za Very High i Prototype Protection scope-ove, mogu biti intermedijarni audits.

    Threat monitoring – Kontinuirano praćenje novih cyber pretnji relevantnih za automotive.

    Patch management – Redovno ažuriranje sistema.

    Access reviews – Periodične provere ko ima pristup čemu.

    Training refreshers – Redovna osvežavajuća obuka.

    Incident management – Sve IS incidents moraju biti properly handled i dokumentovani.

    Change management – Sve promene u IT infrastrukturi moraju biti properly managed.

    Internal audits – Godišnje interne provere.

    Management reviews – Redovni pregledi performansi ISMS-a.

    Continuous improvement – Aktivan rad na povećanju maturity levels.

    Re-assessment priprema – 6 meseci pre expiration, planiranje re-assessment-a.

    Integracija sa drugim sistemima menadžmenta

    ISO 27001 standard:

    • TISAX je baziran na ISO 27001
    • Ako već imate ISO 27001, implementation TISAX-a je mnogo lakša
    • Dodatni zahtevi TISAX-a (Prototype Protection, automotive-specific) se dodaju na postojeći ISMS

    IATF 16949 standard (Automotive Quality):

    • Mnogi automotive suppliers već imaju IATF 16949
    • Može se integrisati sa TISAX-om kroz unified management system

    ISO 9001 standard:

    • Quality i IS mogu biti integrisani
    • Shared processes (dokumentacija, internal audits, management review)

    ISO 22301 standard (Business Continuity):

    • Business Continuity je deo TISAX zahteva
    • Može biti integrisan

    GDPR Compliance:

    • TISAX Deo 3 is essentially GDPR assessment
    • Integracija je prirodna

    Prednosti integracije:

    • Smanjenje duplikacije
    • Jedinstvene interne provere
    • Integrisani management reviews
    • Holistički pristup upravljanju

    Mobes Group – vaš partner za TISAX sertifikaciju

    Mobes Group specijalizovana za TISAX:

    Automotive ekspertiza:

    • Duboko razumevanje automotive industrije
    • Specifičnost automotive IP zaštite
    • Poznavanje OEM zahteva i očekivanja

    TISAX iskustvo:

    • Implementacija TISAX-a za različite tipove organizacija
    • Auto-part manufacturers
    • Automotive software companies
    • Engineering services

    Celovit pristup:

    • Gap analiza sa VDA ISA katalogom
    • Information classification i scope definition
    • ISMS development/enhancement
    • Technical controls implementation (DLP, network segmentation)
    • Physical security design (za Prototype Protection)
    • GDPR compliance (Deo 3)
    • Training i awareness programs
    • Mock assessments
    • Sertifikaciona podrška

    Tehnološka ekspertiza:

    • Cyber security measures specifične za automotive
    • DLP za zaštitu CAD fajlova
    • Secure collaboration platforms
    • Access controls

    Fizička bezbednost:

    • Design secure areas
    • Prototype handling procedures
    • Anti-photography measures

    Podrška na srpskom – Sva komunikacija i dokumentacija.

    Povezivanje sa Audit Providers – Pomoć u izboru i koordinaciji.

    Zašto izabrati Mobes Group?

    Automotive DNA – Razumevanje automotive industrije, ne samo generic IS.

    Praktičan pristup – Balans security i operativne efikasnosti, što je kritično u manufacturing.

    ROI fokus – Pomoć u prioritizaciji investicija za maximum impact.

    Maturity growth – Ne samo dostizanje minimum, već growth roadmap ka višim maturity levels.

    Local + global – Lokalna podrška sa razumevanjem međunarodnih automotive OEM očekivanja.

    End-to-end – Od gap analize do successful label.

    Post-assessment support – Pomoć u maintenance i priprema za re-assessment.

    Najčešći izazovi i kako ih prevazići

    Troškovi fizičke bezbednosti – Prototype Protection zahteva značajne investicije. Rešenje: Fazna implementacija, separatni scope-ovi (prvo IS, kasnije Prototype Protection).

    DLP implementation – Data Loss Prevention može biti kompleksan. Rešenje: Početak sa file-based DLP, postupno ekspandovanje.

    CAD file protection – Zaštita velikih CAD fajlova. Rešenje: Specialized DLP solutions za CAD, watermarking, access controls.

    Supply chain complexity – Tier-2 i tier-3 suppliers možda nisu spremni. Rešenje: Supplier development programs, ugovorne klauzule.

    Prototype handling logistics – Složene procedure mogu usporiti development. Rešenje: Streamlined procedures, obuka, technology (smart locks, automatic logging).

    Remote work – Secure remote access za engineers koji rade na osetljivim projektima. Rešenje: VPN, virtual desktops, endpoint protection, clear BYOD policies.

    Legacy systems – Stari PLM (Product Lifecycle Management) sistemi. Rešenje: Network segmentation, dodatni access controls, plan za modernizaciju.

    Maturity level expectations – OEM-ovi očekuju Level 3+. Rešenje: Fokus na process maturity, dokumentovanje optimizacija.

    Budućnost i TISAX standard

    Autonomous vehicles – Još veći fokus na software security kako se autonomija povećava.

    Connected car data – Eksplozija podataka zahteva robusnije data protection.

    Cybersecurity regulation – UNECE WP.29 i slične regulative će povećati važnost cyber bezbednosti.

    AI i ML security – Zaštita AI modela korišćenih u vozilima.

    Over-the-air updates – Bezbednost OTA update mehanizama.

    Electric vehicles – Novi bezbednosni challenges oko battery technology IP.

    Blockchain za supply chain – Potencijalno korišćenje blockchain-a za parts authenticity.

    Quantum-safe cryptography – Priprema za post-quantum era.

    Integration sa UNECE WP.29 – TISAX će verovatno evolirati da se više align-uje sa regulatory requirements.

    Kako Započeti?

    Ako želite da uvedete TISAX standard u svoju kompaniju, proces je jednostavan:

    1. Kontaktirajte Mobes Group – Stranica kontakt ili pošaljite zahtev za ponudu
    2. Početna Konsultacija – Naš tim će analizirati vaše potrebe i trenutno stanje
    3. Prilagođen Plan – Dobićete detaljan plan implementacije prilagođen vašem preduzeću
    4. Implementacija – Uz našu podršku, sprovešćete sve potrebne promene
    5. Sertifikacija – Pomoći ćemo vam da uspešno prođete kroz proces sertifikacije

    TISAX standard

    U automotive industriji koja se transformiše brzinom bez presedana, gde vozila postaju softverni proizvodi na točkovima, i gde IP vrednost jednog modela može doseći milijarde evra, TISAX standard nije opcija – to je neophodnost za opstanak i rast.

    TISAX sertifikacija donosi:

    • Pristup automotive tržištu – bez njega, vrata su zatvorena
    • Zaštitu kritičnog IP-a – systematic defense against industrial espionage
    • Jedan assessment umesto stotina – drastično smanjenje audit opterećenja
    • Competitive advantage – signal zrelosti i profesionalizma

    Vaš put ka poslovnoj izvrsnosti počinje ovde. Kontaktirajte Mobes Group danas i otkrijte kako TISAX standard može unaprediti Vaše poslovanje.

    Mobes Group d.o.o.
     Konsultantske usluge za implementaciju i sertifikaciju ISO standarda

    Kancelarija Novi Sad:
     Karađorđeva 38, 21000 Novi Sad
    Tel: +381 21 2700 693, +381 63 8950 474

    Kancelarija Beograd:
     Petra Škundrića 27, 11000 Beograd
    Tel: +381 11 4022 745, +381 62 8224 227

    Email: office@mobes.rs

    Faze
    1
    1. Šta je TISAX

    Saznajte šta zapravo predstavlja TISAX i zbog čega je pogodan za Vaše poslovanje.

    Saznajte više
    2
    2. Uvođenje TISAX -a

    Otkrijte najbolji način da uvedete TISAX i na koji način naša kompanija može da Vam pomogne u tome.

    Saznajte više
    3
    3. Sertifikacija TISAX -a

    Napravite nezavisnu procenu uvedenog standarda i pribavite sertifikat za Vaš sistem menadžmenta.

    Saznajte više
    4
    4. Održavanje TISAX -a

    Proverite da li Vaš sistem konstantno raste i razvija se kako bi isporučio najbolja rešenja za Vaše poslovanje.

    Saznajte više

    1. Šta je TISAX

    TISAX je namenjen:

    • Proizvođačima automobila – Automobilske kompanije koriste TISAX kako bi osigurale da njihovi dobavljači ispunjavaju standarde bezbednosti informacija.
    • Dobavljačima i partnerima u automobilskoj industriji – Svi koji rade sa osetljivim informacijama ili tehnologijama koje su povezane sa automobilskim kompanijama (npr. dizajnerske firme, softverski inženjeri, proizvođači delova).
    • IT kompanijama koje pružaju usluge automobilskoj industriji – Softverske i IT firme koje razvijaju ili upravljaju digitalnim sistemima moraju pokazati da ispunjavaju visoke bezbednosne standarde.
    • Organizacijama koje rukuju osetljivim informacijama – TISAX sertifikat mogu tražiti i druge kompanije koje rukuju poverljivim podacima u industrijskom sektoru, posebno u Evropi.

    2. Uvođenje TISAX -a

    Implementacija

    Proces implementacije je sličan uvođenju drugih sistema za upravljanje bezbednošću informacija, poput standarda ISO/IEC 27001, ali sa fokusom na specifične potrebe automobilske industrije.

    Koraci prilikom implementacije:

    1. Utvrđivanje zahteva i obima – GAP analiza
    2. Procena rizika
    3. Uspostaavljanje ISMS
    4. Implementacija tehničkih i organizacionih mera
    5. Obuka zaposlenih
    6. Interni audit
    7. Eksterni audit
    8. Praćenje i kontinuirano unapređenje

     

    Implementacija TISAX se može obaviti u nekoliko nivoa bezbednosti u zavisnosti od zahteva klijenata. TISAX Nivo 1 podrazumeva samoocenjivanje i najniži nivo bezbednosti u pogledu zahteva. TISAX Nivo 2 podrazumeva proveru od strane TISAX akreditovanog sertifikacionog tela i ispunjenje zahteva sa visokim stupnjem jednom u 3 godine, dok Nivo 3 podrazumeva najviši nivo bezbednosti koji se proverava na godišnjem nivou.

    Implementacija TISAX-a zahteva vreme, posvećenost i resurse, ali je ključna radi obezbeđivanja poverenja klijenata i partnera u automobilskoj industriji.

    3. Sertifikacija TISAX -a

    Priprema: Pre nego što započnete proces sertifikacije, važno je razumeti zahteve i smernice TISAX standarda i implementirati ga u vašoj organizaciji.

    Unutrašnja revizija: Pre nego što se prijavite za sertifikaciju, preporučuje se da sprovedete internu reviziju vašeg menadžment sistema kako biste proverili usklađenost sa TISAX standardom i identifikovali mogućnosti za poboljšanje.

    Izbor sertifikacionog tela: Odaberite akreditovano sertifikaciono telo koje će sprovesti eksternu reviziju vašeg menadžment sistema. Sertifikaciono telo treba da bude priznato i akreditovano od strane relevantnih nacionalnih ili međunarodnih organizacija.

    Eksterna revizija: Sertifikaciono telo će sprovesti eksternu reviziju vašeg menadžment sistema kako bi potvrdilo usklađenost sa TISAX standardom. Ovo uključuje ocenjivanje dokumentacije, intervjue sa zaposlenima i proveru efikasnosti kontrola.

    Sertifikacija: Ako eksterna revizija pokaže da je vaš menadžment sistem usklađen sa TISAX standardom, sertifikaciono telo će vam izdati sertifikat.

    4. Održavanje TISAX -a

    Nakon dobijanja TISAX sertifikata, važno je kontinuirano pratiti sistem i unapređivati ga. Redovni auditi i revizije su potrebni da bi se osigurala dugoročna usklađenost i poboljšanja sistema upravljanja bezbednošću informacija.

    Standardi
    Želite kvalitetnu obuku i da napredujete sa nama? Prijavite se
    Želite da sarađujete sa nama? Zatražite ponudu