IT SYSTEMS 6/2026 , Automobilový průmysl , IT Security

TISAX: etalon informační bezpečnosti v automotive

Kyberbezpečnost se stává podmínkou pro spolupráci s OEM lídry v automobilovém průmyslu

Jakub Radiměřský


„Nasdílejte nám váš TISAX label”. Tenhle požadavek přistává na stole čím dál víc firmám, které chtějí zakázky s OEM lídry a Tier dodavateli v automotive. V tomto článku si ukážeme, proč to tak je, o čem je TISAX, jak řeší dodavatelská rizika a jak se připravit na získání labelu.


Slabý dodavatel – drahý problém

Moderní auto nevzniká v jedné továrně, ale v síti firem, systémů, služeb, lidí a dat. Jedno je silně navázané na druhé. Slabý článek v této síti proto může stát mnohem víc než jeden ztracený soubor. Pokud se zastaví byť jen jedna výrobní linka, vozidlo nemusí být kompletní. A doplatí na to nejen zákazník, ale i celý dodavatelský řetězec.
Výrobní kontinuita je v automotive obrovské téma. I proto někdy můžeme sledovat bizarní případy, kdy se při nedostatku dílů vyplatí poslat pro komponenty helikoptéru. Třeba ve chvíli, kdy by odstávka výroby způsobila mnohonásobně větší ztráty než samotná expresní doprava.

Incident Jaguar Land Rover světu ukázal cenu výpadku

Možná si také pamatujete rok 2025. Jaguar Land Rover (JLR) zasáhl rozsáhlý kyberincident s dopadem na provoz i některá data. Výroba stála od září zhruba šest týdnů a mnoho z 33 000 zaměstnanců nemohlo pracovat. Podle odhadů přicházela automobilka kvůli zastavení výroby v přepočtu přibližně o 1,42 miliardy Kč týdně.
Produkce se na běžnou úroveň vracela až v listopadu. Dopady na důvěryhodnost značky i dodavatelský řetězec se přitom řeší dodnes. Cyber Monitoring Centre odhadlo celkový finanční dopad incidentu v přepočtu na cca 53,2 miliardy Kč, tedy 1,9 miliardy liber. Podle CMC šla velká část škod za ztrátou výrobního výstupu u JLR a jeho dodavatelů.
Média zároveň uváděla dopad na tisíce navázaných organizací v dodavatelském řetězci JLR. Některé z nich kvůli výpadku dokonce čelily riziku bankrotu.
 

Riziko třetí strany může ohrozit víc než interní zaměstnanec

Dříve se dodavatel posuzoval hlavně podle ceny, termínu a kvality. Jenže to ještě kyberútoky nebyly tak běžné. Dnes je potřeba hodnotit i bezpečnostní aspekt. Pokud dodavatel pracuje s vašimi daty, má přístup do systémů nebo zajišťuje kritickou službu, je součástí vašeho rizika.
Někdy může firmu ohrozit víc než lidé uvnitř. Ne proto, že by byl automaticky špatný, ale protože stojí mimo to, co má firma běžně pod kontrolou. Nákup řeší cenu. IT přístupy. Právník smlouvu. Kvalita audity a jakost. Výroba termín. Každý má kus skládačky. Riziko je ale v celém obrázku.
Právě TISAX firmám pomáhá ten obrázek složit. Vede je k pojmenování kritických dat, dodavatelů, přístupů, povinností, hodnocení i toho, jak se udržet v chodu navzdory krizové situaci. A co víc, poskytuje důkazy, díky kterým mohou být důvěryhodným partnerem pro OEM lídry.

TISAX jako odpověď na bezpečnostní potřeby v automotive

TISAX znamená Trusted Information Security Assessment Exchange. Vyslovujte ho ale vždy německy [tisax], ne anglicky [taisex], protože během rozhovoru by druhá strana mohla být zmatená.
Standard vytvořila německá asociace ENX s cílem sjednotit pro velké automobilky způsob, jakým ověřují informační bezpečnost u svých dodavatelů.
Dříve firmy v mnohem větší míře absolvovaly různé audity pro různé klienty. Jeden chtěl dotazník, druhý vlastní kontrolu, třetí balík důkazů. TISAX tenhle chaos alespoň částečně eliminuje. Jednou za tři roky projdete jedním hodnocením a výsledek sdílíte přes platformu ENX s vybranými partnery.
TISAX vychází z principů norem ISO/IEC 27001 a ISA/IEC 62443, ale rozšiřuje je o automotive realitu. Řeší specificky ochranu prototypů, důvěrných informací, osobních údajů, výkresů, přístupů i dodavatelů.
TISAX® (Trusted Information Security Assessment Exchange) je registrovaná ochranná známka sdružení ENX Association. Tato známka označuje standardizovaný proces hodnocení a sdílení výsledků informační bezpečnosti v automobilovém průmyslu. Slouží jako důkaz, že dodavatelé a partneři automobilek splňují přísné požadavky na ochranu dat a citlivých informací.

Proč TISAX hraje svou roli v bezpečnosti dodavatelů

TISAX za firmy sice nezkontroluje dodavatele, nevyřeší smlouvu s cloud providerem ani nezruší starý účet externího správce. Poskytne ale kvalitní rámec pro řízení rizik třetích stran.
 
Tři oblasti, ve kterých TISAX pomáhá v bezpečnosti dodavatelů:
  1. Dodavatele pomáhá rozdělit podle rizika. Úklidová firma sice není konstrukční partner, ale pokud má přístup do citlivých prostor, pořád patří do rizikového obrazu firmy. I tohle TISAX pomáhá uchopit.
  2. Přístupy jsou řízené systémově. Externista dostane účet, projekt se natáhne, člověk odejde a účet zůstane. TISAX řeší i to, aby firma věděla, kdo má kam přístup, kdo ho schválil a kdy se má odebrat. Jinak vznikají zadní vrátka, která útočník rád využije.
  3. Smlouvy začnou být výhodou, ne rizikem. U rizikových dodavatelů má být jasná mlčenlivost, SLA, práce s daty, subdodávky, hlášení incidentů, auditní práva a podobně. Bez toho je bezpečnost jen přání. Standard dává smlouvám rámec podle reálných rizik.

TISAX přestává být výhoda, stává se požadavkem

Standard původně vznikl hlavně pro německý a evropský trh. Dnes je ale uznávaný celosvětově. ENX uvádí, že TISAX překročil 20 000 hodnocených lokalit s platným labelem po celém světě. Jen v Evropě je jich více než 10 000. Česká republika patří mezi země s nejvyšší koncentrací TISAX labelů v EU, spolu s Německem, Rakouskem, Francií, Itálií, Polskem, Rumunskem nebo Španělskem.
Když je standard tak rozšířený napříč evropským automotive trhem, stává se jeho společným jazykem. Proto nejde jen o štempl. Je to způsob, jak dokázat, že víte, kdo sahá na vaše data, kteří dodavatelé vás mohou položit a že o bezpečnost informací pečujete systematicky.

Pro koho je TISAX důležitý?

TISAX neřeší logo na fasádě, ale to, jestli jste součástí automotive řetězce a pracujete s citlivými informacemi. Může po vás být časem požadován, pokud jakkoli figurujete v automotive. Ať už jde o výrobu dílů, konstrukční kancelář, R&D, testovací centrum, logistiku, IT, marketing, účetnictví nebo dělání subdodávek firmě, která už TISAX řeší. 
Samostatný label firmě sice zakázku nezaručí, ale jeho absence může znamenat, že se do hry o ni vůbec nedostane.
 

Co si firmy často pletou, když jde o TISAX?

1. TISAX není certifikace

Často se říká „TISAX certifikace“. Přesněji jde ale o hodnocení a TISAX label. Ten vám poštou nepřijde, ale můžete si ho na ENX portálu stáhnout a pak i vytisknout.

2. Úroveň hodnocení: AL1, AL2, AL3? Kdo se v tom má vyznat

AL je Assessment Level, tedy úroveň hodnocení informační bezpečnosti a existence požadovaných opatření v provozu. Udává, do jaké hloubky vás auditor ověřuje:
  • AL1 je samohodnocení pro interní použití. Pro zákazníky má nulovou hodnotu. Dnes ho nikdo neuznává a prakticky se nepoužívá, protože chybí nezávislé ověření auditorem.
  • AL2 může stačit na základní výměnu dat. Jenže část věcí se ověřuje hlavně dokumentačně, ne přímo v provozu. Někteří OEM ho proto nemusí brát jako dostatečný.
  • AL3 je nejvyšší úroveň. ENX ji přímo doporučuje. Auditor jde hlouběji do procesů, důkazů a provozu. Přechod z AL2 na AL3 přitom není drobný upgrade. Často se pracností i cenou blíží novému auditu.
Jakou úroveň vybrat? Pracujete s prototypy, velmi citlivými daty nebo plánujete cílit na OEM zákazníky? Jděte po AL3. Ten vám nikdo nevrátí jako nedodělek. Zákazníci vás budou od začátku brát vážně. Stále ale platí, že AL a moduly vám většinou nařídí váš zákazník.

3. Assessment level vs Maturity Level

Není to totéž a často se to míchá:
  • AL odpovídá na otázku: Jak přísně nás budou hodnotit? Tedy jak důkladně se auditor podívá na dokumentaci, důkazy, procesy, opatření a jejich stav v provozu firmy.
  • ML odpovídá na otázku: Jak dobře to u nás skutečně funguje? Řeší, jak vyspělý je konkrétní proces. Třeba řízení přístupů, hodnocení dodavatelů, práce s incidenty nebo řízení rizik.
Proč na tom záleží? Můžete jít do přísného AL3, ale pokud třeba řízení dodavatelů existuje jen na papíře, přísnější audit to spíš rychleji odhalí. Nejde tedy jen o to, jaký audit si zvolíte, ale hlavně o to, jestli procesy fungují, jsou používané, dohledatelné a opakovatelné.

Proč se dodavatelská rizika řeší a budou řešit čím dál více?

TISAX není jediný rámec, který tlačí na řízení třetích stran. Například regulace podle NIS2 řeší bezpečnost dodavatelského řetězce a vztahy s přímými dodavateli. Přicházející nařízení CRA zase posouvá kyberbezpečnost do celého životního cyklu produktů s digitálními prvky. A v automotive do toho vstupují ještě zákaznické audity, smluvní požadavky OEM a tlak na prokazatelnou odolnost dodavatelského řetězce.
Samozřejmě nejde jen o samotnou regulaci. Třetí strany patří mezi hlavní témata kontinuity a kyberbezpečnosti. Podle Verizon Data Breach Investigations Report 2026 už 48 % analyzovaných úniků dat zahrnovalo třetí stranu, což představuje další výrazný nárůst oproti 30 % v předchozím ročníku DBIR. Také IBM Cost of a Data Breach Report 2025 uvádí globální průměrnou cenu úniku dat na cca 4,44 milionu dolarů.
Proto jsou čím dál důležitější otázky typu: Víte, na kom závisíte? Víte, kdo má kam přístup? Co je fakticky ve smlouvě? Jak váš dodavatel řeší incident? A co uděláte, když vypadne?
To jsou zároveň otázky pro NIS2, CRA i zákaznické audity. A bezpečnost obecně. TISAX je jen jeden z mnoha nástrojů, který je pomáhá uchopit v jazyce, kterému automotive rozumí. Dobře nastavený systém tím pádem zvyšuje kyberbezpečnost, ne papírování. Pomáhá firmě systematicky řídit rizika, která by jinak zůstala schovaná mezi nákupem, IT, právem a výrobou. Udržuje v bezpečí data i pozici na trhu.

TISAX je švýcarský nůž i na poli IT compliance

Standard není právní stanovisko ani nálepka „NIS2 ready“. A není ani univerzální odpovědí na CRA. Poslouží však jako velmi dobrý základ. Otázky se totiž v ISMS, na kterém většina těch věcí stojí, opakují: co chráníte, kdo za to odpovídá, jak řídíte dodavatele, jak řešíte incidenty, jak sbíráte důkazy a jak to celé zlepšujete?
Například ENX vydal mapování požadavků NIS2 a TISAX, které ukazuje, jak lze TISAX využít při plnění požadavků směrnice NIS2. Dokument zároveň využijí i firmy, které chtějí standard použít pro řízení rizik ve svých dodavatelských a hodnotových sítích.
TISAX není odpověď na všechno. Ale může snížit chaos a dát vám rámec. Místo pěti izolovaných compliance projektů postavíte jeden systém řízení, který pomáhá u bezpečnosti, zákaznických auditů i regulatorních požadavků. Tím se firma dostává k užitku za hranice compliance. Nehoní každou zkratku zvlášť. Staví základ, který dává smysl pro audit, provoz i byznys.

4 kroky, které vás na TISAX label připraví chytře

  1. Ujasněte si požadavek zákazníka. Jaký chce assessment level, rozsah, lokality, data a termín? Vymezte scope. Moc úzký nemusí stačit. Moc široký vám přidá práci.
  2. Udělejte inventuru dodavatelů podle rizika. Kdo pracuje s citlivými daty? Kdo má přístup do systémů? Kdo zajišťuje kritickou službu? Kdo může ohrozit výrobu?
  3. Projděte GAP analýzu podle VDA ISA. Ukáže vám realitu, ne ideální prezentaci. Sledujte nejen potřebný AL, ale hlavně vyspělost procesů (ML). Pravidla pak přeneste do každodenní práce. Ticketingu, onboardingu, offboardingu, schvalování přístupů, smluv, incidentů i hodnocení dodavatelů. Jedině tak budou fungovat nejen na papíře.
  4. Sbírejte důkazy průběžně. Audit nemá být první chvíle, kdy firma zjišťuje, co se v bezpečnosti opravdu děje. Používáte třeba helpdesk? Přidejte sekci pro hlášení incidentů a máte důkazy pro ISO 27001 i TISAX.

Uchopte TISAX jako nástroj, nikoli břemeno

Kyberbezpečnost se posouvá z formálního compliance nebo čistě technologického přístupu. Už nejde jen o to mít antivir a splnit požadavek. Mnohem více jde o důvěryhodnost, konkurenceschopnost a dovednost prokázat, že jste bezpeční díky systematickému řízení rizik.
TISAX ani jiný standard či regulace nejsou katastrofa nebo důvod zaplavit firmu byrokracií bez hodnoty. Kdo vezme TISAX jako závod o razítko, dostane břemeno. Kdo ho vezme jako nástroj, dostane bezpečnost za hranice compliance. Získá lepší kontrolu nad daty, dodavateli, přístupy i incidenty. A hlavně systém, který chrání firmu nejen při auditu, ale i v reálném provozu.
A přesně tohle může být v automotive nakonec rozdíl mezi tím, jestli vás zákazník uvidí jako parťáka, nebo jako riziko.
 
Jakub Radiměřský
Autor článku je konzultant ISO systémů řízení a specialista na kyberbezpečnost a IT compliance ze společnosti Top Solution, s. r. o.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.