Qué es TISAX y por qué es obligatorio para proveedores de la industria automotriz.

Qué es TISAX (Trusted Information Security Assessment Exchange)

TISAX (Trusted Information Security Assessment Exchange) es el estándar de seguridad de la información específico para la industria automotriz. Fue creado para responder a una necesidad muy concreta: los fabricantes de vehículos (OEMs) y sus proveedores manejan información extremadamente sensible —datos de prototipos, especificaciones técnicas confidenciales, datos personales de empleados y clientes, accesos a sistemas de producción— y necesitaban un mecanismo común y reconocido para verificar que toda la cadena de suministro protege adecuadamente esa información.

TISAX no es una certificación en el sentido tradicional del término. Es un assessment (evaluación) cuyo resultado se registra en una plataforma centralizada —el ENX Portal— y puede compartirse con múltiples participantes (fabricantes, Tier 1, Tier 2) sin necesidad de repetir el proceso para cada cliente. Esta característica de "intercambio" es la que lo hace especialmente eficiente para una cadena de suministro tan compleja y multinivel como la del automóvil.

El catálogo de requisitos sobre el que se basa TISAX es el VDA ISA (Verband der Automobilindustrie Information Security Assessment), publicado y mantenido por la asociación alemana de la industria automotriz VDA. Actualmente se encuentra en su versión 6.0, que introduce mejoras significativas en los módulos de protección de datos y seguridad de prototipos.

Por qué surgió TISAX y quién lo gestiona (ENX Association + VDA ISA)

Antes de TISAX, cada fabricante de automóviles realizaba sus propias auditorías de seguridad a sus proveedores. El resultado era un sistema ineficiente y costoso: un proveedor que suministraba a tres OEMs diferentes podía recibir tres auditorías distintas en el mismo año, con diferentes metodologías, criterios y auditores. El coste administrativo y operativo era enorme, y la comparabilidad entre resultados era prácticamente nula.

En 2017, la ENX Association —una organización sin ánimo de lucro que agrupa a los principales OEMs y proveedores europeos del sector automotriz— lanzó TISAX como solución a este problema. La ENX Association gestiona la acreditación de los proveedores de assessment, administra el ENX Portal donde se registran y comparten los resultados, y supervisa la evolución del estándar en coordinación con la VDA.

Hoy, TISAX es el estándar de facto para la seguridad de la información en la cadena de suministro automotriz europea, con más de 7.000 organizaciones registradas en el ENX Portal y presencia en más de 30 países. Su adopción ha crecido especialmente entre proveedores españoles tras el impulso de las plantas de Volkswagen en Navarra, Mercedes en Vitoria, Stellantis en Vigo y Zaragoza, y Ford en Valencia.

¿Quién necesita TISAX? Los OEMs que lo exigen

La pregunta más frecuente que recibimos de empresas españolas es: "¿Me afecta TISAX a mí?" La respuesta depende de si tu empresa es o aspira a ser proveedora de fabricantes de automóviles que exigen el estándar. Los principales OEMs que ya lo exigen o están en proceso de hacerlo obligatorio en toda su cadena de suministro incluyen:

• Volkswagen Group (VW, Audi, SEAT/CUPRA, Porsche, Skoda): exige TISAX a todos los proveedores que manejan datos confidenciales del grupo.
• BMW Group (BMW, MINI, Rolls-Royce): requiere TISAX para acceder a determinados sistemas de intercambio de datos y para proyectos de desarrollo conjunto.
• Mercedes-Benz: exige TISAX para proveedores con acceso a información de prototipos y datos de clientes.
• Stellantis (Peugeot, Citroën, Opel, Fiat, Alfa Romeo, Jeep): en proceso de implementación progresiva en su cadena de suministro.
• Renault Group y Continental, Bosch, ZF (Tier 1): también exigen TISAX a sus propios proveedores (Tier 2 y Tier 3).

En España, esto tiene un impacto directo en el ecosistema de proveedores en Navarra, País Vasco, Cataluña, Galicia, Castilla-La Mancha y Valencia, donde se concentran la mayoría de los suministradores de componentes para estas plantas.

Diferencia entre TISAX y ISO 27001

La relación entre ambos estándares es de complementariedad, no de sustitución. Muchas empresas del sector automotriz tienen ISO 27001 y TISAX simultáneamente, ya que cada uno responde a necesidades distintas: ISO 27001 para el mercado general y licitaciones, TISAX para la cadena de suministro automotriz.

Los 3 niveles de TISAX Assessment (AL1, AL2, AL3)

TISAX define tres niveles de assessment (Assessment Level) en función de la sensibilidad de la información que maneja el proveedor y del nivel de protección requerido por el fabricante cliente:

• AL1 (Assessment Level 1): Nivel básico para información de confidencialidad normal. El assessment se realiza mediante autoevaluación con plausibilidad check por parte del auditor. Es el nivel menos exigente y el más rápido de obtener.
• AL2 (Assessment Level 2): Nivel estándar para información de alta confidencialidad. Incluye una auditoría presencial (on-site) en las instalaciones del proveedor. Es el nivel más frecuentemente exigido por los OEMs y cubre la mayoría de los supuestos habituales de intercambio de información.
• AL3 (Assessment Level 3): Nivel máximo para información de muy alta confidencialidad, como datos de prototipos de vehículos pre-producción o datos de sistemas de conducción autónoma. Requiere dos auditorías presenciales realizadas por auditores independientes. Es el más exigente y costoso.

El OEM cliente es quien especifica qué nivel de assessment requiere a su proveedor. En la práctica, la mayoría de los proveedores españoles de componentes y servicios de ingeniería deben alcanzar AL2. El nivel AL3 se reserva generalmente para proveedores con acceso a prototipos físicos o datos de alta sensibilidad relacionados con tecnologías de vanguardia.

Qué información protege TISAX

El catálogo VDA ISA sobre el que se basa TISAX está diseñado para proteger tipos muy específicos de información crítica en el sector automotriz:

• Datos de prototipos: Especificaciones técnicas, diseños, fotografías e información de vehículos aún no presentados públicamente. Un filtrado de esta información puede tener un impacto enorme en la ventaja competitiva del fabricante.
• Datos de clientes y empleados: Datos personales de compradores, empleados de la planta y personal de proveedores. Especialmente relevante desde la entrada en vigor del RGPD.
• Propiedad intelectual e información de I+D: Patentes en desarrollo, algoritmos, software de control de vehículos, datos de simulaciones y pruebas.
• Información de producción: Capacidades, precios, acuerdos de subcontratación, vulnerabilidades de la cadena de producción.
• Datos de sistemas conectados: Con la creciente digitalización de los vehículos (ADAS, V2X, OTA updates), la seguridad de los datos de telemetría y las interfaces de conectividad es un área de creciente relevancia en las auditorías TISAX.

Cómo obtener TISAX: proceso de assessment

El proceso de obtención de TISAX sigue una secuencia definida por ENX Association:

1. Registro en ENX Portal: La empresa debe registrarse en el portal de ENX Association (enx.com) y crear una cuenta de participante. Aquí se define el alcance del assessment (qué sistemas, qué ubicaciones, qué tipo de información).
2. Selección del proveedor de assessment: La empresa elige uno de los proveedores de assessment acreditados por ENX. Es recomendable hacer una consultoría previa de preparación (gap analysis) con una empresa especializada como Avson antes de contratar el assessment.
3. Preparación (gap analysis y remediation): Se analiza la situación actual de la organización frente a los requisitos VDA ISA del nivel de assessment requerido. Se implementan los controles faltantes, se actualiza la documentación y se forma al personal. Esta fase suele durar entre 2 y 4 meses.
4. Assessment propiamente dicho: Para AL1: autoevaluación con plausibilidad check remoto. Para AL2 y AL3: auditoría presencial en las instalaciones. El auditor evalúa la implementación de los controles, entrevista al personal y verifica evidencias.
5. Publicación del resultado en ENX Portal: Una vez completado el assessment con resultado satisfactorio, el proveedor de assessment registra el resultado en el ENX Portal. El proveedor puede entonces compartir su resultado con los OEMs clientes autorizando su acceso.

Tiempo y coste del assessment TISAX

El tiempo total desde el inicio de la preparación hasta la obtención del resultado depende principalmente del nivel de madurez de seguridad de la organización y del nivel de assessment requerido. Para una empresa sin base previa de seguridad:

• AL1: Entre 1 y 2 meses de preparación + semanas para el assessment. Coste total de consultoría + assessment: entre 8.000 y 15.000 euros.
• AL2: Entre 2 y 4 meses de preparación + auditoría presencial. Coste total de consultoría + assessment: entre 15.000 y 35.000 euros dependiendo del tamaño de la organización y el número de ubicaciones.
• AL3: Entre 3 y 6 meses de preparación + dos auditorías presenciales. Coste más elevado por la doble auditoría y los controles adicionales requeridos.

Si la empresa ya dispone de certificación ISO 27001, los tiempos y costes se reducen significativamente: ISO 27001 cubre entre el 60% y el 70% de los controles VDA ISA, dejando un gap manejable que puede cerrarse en pocas semanas de trabajo adicional.

Preguntas frecuentes sobre TISAX