paleta na samochód pół zautomatyzowana w zakładzie Strumet

Industrial cooperation

TISAX certificate – what is it, what are its requirements and why is it important in the automotive industry?

July 15, 2026

W branży motoryzacyjnej dane techniczne, projekty i informacje o prototypach mają wartość porównywalną z samym produktem. Producenci samochodów oczekują więc od swoich dostawców udokumentowanego poziomu ochrony informacji. Standardem, który tę oczekiwaną poufność porządkuje i czyni porównywalną w całym łańcuchu dostaw, jest TISAX. Poniżej wyjaśniamy z praktycznej perspektywy, czym jest ten certyfikat, jakie wymagania stawia przed partnerami i dlaczego bez niego coraz trudniej wejść do grona dostawców automotive.

Certyfikat TISAX – co to jest? Najważniejsze informacje

Certyfikat TISAX® (Trusted Information Security Assessment Exchange) to mechanizm oceny i wzajemnej wymiany wyników audytów bezpieczeństwa informacji w branży motoryzacyjnej. Standard opracowało niemieckie stowarzyszenie przemysłu motoryzacyjnego VDA, a systemem zarządza ENX Association – niezależna organizacja nadzorująca jakość ocen.

Zanim powstał TISAX, każdy koncern samochodowy weryfikował dostawców według własnych ankiet i procedur. Oznaczało to, że firma współpracująca z kilkoma odbiorcami przechodziła kilka odrębnych, powielających się audytów. VDA (Verband der Automobilindustrie) uporządkował ten chaos, tworząc jednolity katalog wymagań VDA-ISA – wspólny język, w którym cała branża opisuje i ocenia bezpieczeństwo informacji w automotive. Na tej podstawie zbudowano dwie uzupełniające się warstwy standardu.

➤ Polecamy również artykuł: Galwanizacja w motoryzacji: 5 niesamowitych zastosowań

Katalog VDA-ISA – fundament wymagań bezpieczeństwa

VDA Information Security Assessment (ISA) to katalog wymagań bezpieczeństwa informacji oparty na uznanej normie ISO/IEC 27001, tworzony i systematycznie aktualizowany przez Komitet ds. Bezpieczeństwa Informacji VDA. To on definiuje pytania, na które odpowiada audytowana firma. Od 1 kwietnia 2024 obowiązuje wersja ISA 6.0, o której informuje VDA – rozszerzyła ona ocenę o nowy obszar „dostępności” (availability) obok dotychczasowego obszaru poufności danych. Katalog stanowi też punkt odniesienia dla zgodności z unijną dyrektywą NIS 2.

ENX Association – jak działa wymiana wyników TISAX?

O ile VDA odpowiada za treść wymagań, o tyle ENX Association pełni rolę operatora całego systemu: zatwierdza dostawców audytów, monitoruje ich jakość i zarządza platformą wymiany wyników między uczestnikami. Największa korzyść tego modelu jest czysto praktyczna – wynik pojedynczego audytu TISAX jest ważny przez 3 lata i uznawany przez wszystkich uczestników systemu. W efekcie jeden audyt wystarcza dla wielu klientów jednocześnie, bez potrzeby wielokrotnego powtarzania tej samej oceny na życzenie kolejnych kontrahentów.

duży rozkładany specjalistyczny pojemnik z elementami karoserii w środku niebieski w zakładzie Strumet

Wymagania TISAX – co obejmuje audyt?

Wymagania nie są jednolitą listą. Audyt TISAX audit dzieli się na poziomy oceny (Assessment Levels), dobierane do wrażliwości przetwarzanych danych, oraz na tematyczne obszary sprawdzane w firmie. To właśnie ten podział decyduje o tym, jak głęboko idzie weryfikacja i jak rygorystycznie egzekwowane są wymagania OEM (producenta oryginalnego wyposażenia) wobec dostawcy.

Poziomy oceny TISAX: AL1, AL2 i AL3

System przewiduje trzy poziomy oceny, różniące się formą weryfikacji i przeznaczeniem:

PoziomForma ocenyTypical use
AL1Samoocena (self-assessment)Dane o niskiej wrażliwości, weryfikacja wewnętrzna
AL2Audyt zdalny / na miejscu przez niezależnego, zatwierdzonego audytoraStandard wymagany przez większość OEM-ów
AL3Pogłębiony audyt na miejscu, rozszerzona weryfikacja dowodówDane szczególnie wrażliwe (tajemnice obronne, informacje niejawne)

W praktyce projektów automotive domyślnym progiem jest AL2 – to on daje odbiorcy niezależne potwierdzenie, a nie jedynie deklarację dostawcy.

Obszary oceny – co audytor sprawdza w praktyce?

Katalog ISA obejmuje kilka bloków tematycznych. Podczas audytu weryfikowane są m.in.:

  • bezpieczeństwo systemów IT i sieci (kontrola dostępu, ochrona przed złośliwym oprogramowaniem),
  • bezpieczeństwo fizyczne obiektów i stref produkcyjnych,
  • ochrona danych osobowych zgodnie z obowiązującymi przepisami,
  • zarządzanie bezpieczeństwem u własnych dostawców i podwykonawców,
  • ciągłość działania (business continuity) i reagowanie na incydenty,
  • ochrona prototypów oraz danych projektowych powierzonych przez klienta.

Ten ostatni punkt jest kluczowy z perspektywy egzekwowania wymagań OEM wobec dostawcy – to właśnie wokół ochrony prototypów i dokumentacji konstrukcyjnej koncentruje się większość oczekiwań producentów.

TISAX w łańcuchu dostaw automotive – OEM, Tier 1 i Tier 2

TISAX nie działa w próżni – jego siła bierze się z konsekwentnego stosowania w całym łańcuchu dostaw. Producenci pojazdów, tacy jak BMW Group, Mercedes-Benz, Volkswagen Group czy Stellantis, wymagają certyfikacji od swoich bezpośrednich dostawców, czyli poziomu Tier 1. Ci z kolei przenoszą ten obowiązek umownie na własnych poddostawców na poziomie Tier 2, dbając o spójność ochrony informacji w każdym ogniwie. W ten sposób certyfikacja Tier 1 i Tier 2 tworzy zamknięty łańcuch zaufania.

Konsekwencje braku aktualnego certyfikatu są dotkliwe i mierzalne biznesowo. Firma bez ważnego wyniku TISAX bywa wykluczana z zapytań ofertowych już na etapie kwalifikacji, a w skrajnych przypadkach traci trwającą współpracę. Dla podmiotów świadczących kooperację przemysłową dla branży motoryzacyjnej certyfikat przestał być wyróżnikiem, a stał się warunkiem wejścia do przetargu.

Jak wygląda ścieżka do certyfikacji TISAX krok po kroku?

Droga do uzyskania wyniku TISAX audit przebiega według ustalonej sekwencji:

  1. Rejestracja firmy w portalu ENX i uzyskanie unikalnego Participant-ID identyfikującego uczestnika.
  2. Zlecenie oceny jednemu z zatwierdzonych dostawców audytu – ich aktualna lista dostępna jest w portalu ENX.
  3. Przeprowadzenie audytu według katalogu ISA; dla poziomu AL2 obowiązkowa jest weryfikacja z udziałem audytora, obejmująca ocenę na miejscu.
  4. Opublikowanie wyników na portalu TISAX Exchange – co istotne, wyniki nie są jawne publicznie, a dostęp do nich mają wyłącznie wskazani partnerzy.
  5. Udostępnienie Scope-ID lub Assessment-ID wybranym kontrahentom, którzy dzięki temu mogą zweryfikować status dostawcy.

Warto realnie zaplanować harmonogram – od przygotowania organizacji po zamknięcie oceny cały cykl w większych zakładach potrafi trwać kilka miesięcy, zwłaszcza gdy audyt obejmuje wiele lokalizacji i procesów.

duży pół zautomatyzowany pojemnik z częścią samochodową w środku przygotowaną do lakierowania w zakładzie Strumet

 

Strumet z certyfikatem TISAX – co to oznacza dla Twojego projektu?

Dla inżyniera lub kierownika zakupów posiadanie przez dostawcę ważnego certyfikatu TISAX przekłada się na konkretne, wymierne ułatwienia. Współpraca z partnerem, który przeszedł audyt, eliminuje konieczność przeprowadzania własnej, kosztownej weryfikacji bezpieczeństwa informacji u tego dostawcy. Potwierdza również, że spełnia on wymagania informacyjne stawiane przez OEM-y, i realnie skraca proces kwalifikacji w projektach, w których TISAX jest warunkiem koniecznym.

Strumet posiada certyfikat TISAX. Ma to znaczenie wszędzie tam, gdzie zostaje nam powierzona dokumentacja projektowa lub dane wrażliwe – na przykład przy produkcji certyfikowanych pojemników na airbagi czy dedykowanych palet na części samochodowe, gdzie kształt i specyfikacja opakowania wynikają wprost z danych konstrukcyjnych klienta.

Jeśli planujesz projekt wymagający dostawcy zgodnego z TISAX, sprawdź zakres kooperacji przemysłowej dla automotive i skontaktuj się z naszym zespołem – pomożemy dopasować rozwiązanie do wymagań Twojego OEM.

FAQ – najczęstsze pytania o certyfikat TISAX®

Czy certyfikat TISAX jest obowiązkowy dla wszystkich dostawców automotive?

Formalnie nie jest to wymóg prawny, lecz kontraktowy. W praktyce jednak większość OEM-ów i dostawców Tier 1 uzależnia współpracę od posiadania ważnego certyfikatu, więc dla firm przetwarzających dane branżowe staje się on faktycznym warunkiem wejścia.

Czy dostawca Tier 2 też musi posiadać certyfikat TISAX?

Bardzo często tak. Dostawcy Tier 1 zwykle przenoszą wymóg certyfikacji umownie na swoich poddostawców, aby zachować spójny poziom ochrony informacji w całym łańcuchu dostaw.

Jak długo jest ważny certyfikat TISAX i kiedy trzeba go odnawiać?

Wynik oceny TISAX jest ważny przez 3 lata. Aby zachować ciągłość statusu u kontrahentów, proces ponownego audytu warto rozpocząć z odpowiednim wyprzedzeniem przed upływem tego terminu.

Ile trwa audyt TISAX i jak wygląda jego przebieg?

Sam audyt zajmuje zwykle od jednego do kilku dni, w zależności od zakresu i liczby lokalizacji. Cały proces – od przygotowania organizacji, przez ocenę, po publikację wyników – w większych firmach może rozciągnąć się na kilka miesięcy.

Czym różni się TISAX od ISO 27001?

Katalog wymagań ISA bazuje na normie ISO/IEC 27001, ale rozszerza ją o specyficzne oczekiwania branży motoryzacyjnej, m.in. ochronę prototypów. Kluczowa różnica to mechanizm wzajemnego uznawania wyników między uczestnikami, którego sama norma ISO nie zapewnia.