TISAX (Trusted Information Security Assessment Exchange) is een standaard voor de beoordeling van informatiebeveiliging, ontwikkeld door de VDA (Verband der Automobilindustrie) voor de automotive toeleveringsketen. Het is gebaseerd op ISO/IEC 27001 en de VDA ISA-vragenlijst, en stelt automotive toeleveranciers in staat hun informatiebeveiligingsniveau aan te tonen aan OEM's en rang-1-klanten via een gestandaardiseerd beoordelingsproces dat wordt beheerd via het ENX-portaal.

TISAX is geen wettelijke verplichting, maar is een contractuele eis geworden van de grote automotive OEM's en rang-1-leveranciers — Volkswagen Group, BMW Group, Mercedes-Benz, Stellantis, Bosch, Continental en ZF Friedrichshafen. Als uw klant een TISAX-label vereist, is dit feitelijk verplicht om die zakelijke relatie te behouden of te winnen. Sinds april 2024 is de VDA ISA 6.0-vragenlijst verplicht.

Wat zijn de TISAX-beoordelingsniveaus?

TISAX kent drie beoordelingsniveaus: AL1 is een zelfbeoordeling (plausibiliteitscontrole — geen TISAX-label), AL2 omvat een externe audit op afstand door een geaccrediteerde dienstverlener en resulteert in een TISAX-label, en AL3 omvat een audit ter plaatse voor de hoogste beveiligingseisen (bijv. prototypevoertuigen, geclassificeerde voertuigdata) en resulteert eveneens in een TISAX-label. De meeste toeleveranciers moeten ten minste AL2 bereiken.

Hoe lang duurt TISAX-certificering?

Van de eerste lacune-analyse tot ontvangst van het TISAX-label duurt het proces doorgaans 6 tot 12 maanden. Dit omvat voorbereiding (3 tot 6 maanden voor implementatie of herstel van maatregelen), ENX-registratie, inplannen van de audit (beschikbaarheid van auditors: 4 tot 8 weken), de audit zelf (1 tot 3 dagen ter plaatse voor AL3) en een eventuele correctieve actieperiode (tot 9 maanden na de audit).

Wat kost een TISAX-beoordeling?

De totale kosten variëren afhankelijk van bedrijfsomvang en volwassenheid. De ENX-registratievergoeding bedraagt ongeveer € 400 per beoordelingsomvang. Honoraria van geaccrediteerde auditdienstverleners variëren van € 5.000 tot € 20.000+ afhankelijk van het AL-niveau, bedrijfsomvang en het aantal locaties. Interne voorbereidingskosten (advies, tools, personeelstijd) bedragen doorgaans € 10.000–50.000. Bedrijven met een bestaande ISO 27001-certificering kunnen de voorbereidingskosten met 20–50% verlagen dankzij 80–90% overlap in maatregelen.

Wat is de relatie tussen TISAX en ISO 27001?

TISAX is gebouwd op dezelfde basis als ISO 27001 — beide richten zich op informatiebeveiligingsbeheer via risicogebaseerde maatregelen. Er is een overlap van ongeveer 80–90% tussen TISAX-maatregelen (VDA ISA) en ISO 27001-vereisten. Bedrijven met een bestaand ISO 27001-ISMS kunnen hun bestaande documentatie, beleid en bewijs gebruiken als basis voor TISAX. TISAX bevat echter automotive-specifieke eisen (prototypebescherming, voertuigdata) die ISO 27001 alleen niet dekt.

Wat is het ENX-portaal en hoe werkt het?

Het ENX Association-portaal (enx.com) is het centrale platform voor het TISAX-ecosysteem. Toeleveranciers registreren hun bedrijf, definiëren beoordelingsomvangen, mandateren geaccrediteerde auditdienstverleners en wisselen beoordelingsresultaten uit met geautoriseerde klanten — alles via ENX. TISAX-resultaten worden gedeeld op need-to-know-basis: alleen klanten die u expliciet autoriseert, kunnen uw labelstatus inzien.

TISAX-compliance: Volledige gids voor automotive toeleveranciers (2026)

2026-03-25

By Orbiq Team

TISAX-compliance: Volledige gids voor automotive toeleveranciers (2026)

Complete TISAX-gids 2026 — beoordelingsniveaus AL1/AL2/AL3, VDA ISA 6.0, ENX-portaal, kosten, tijdlijn, ISO 27001-overlap en stapsgewijs proces voor automotive toeleveranciers.

tisax

automotive

informatiebeveiliging

eu-compliance

iso27001

TISAX-compliance: Volledige gids voor automotive toeleveranciers (2026)

Als u componenten, software, ingenieursdiensten of gegevensverwerkingsdiensten levert aan automotive OEM's of rang-1-fabrikanten, heeft u vrijwel zeker al een TISAX-beoordelingsverzoek ontvangen. Naarmate de automotive toeleveringsketen digitaliseert — verbonden voertuigen, over-the-air-updates, gedeelde ontwerpdata, prototypevoertuigprogramma's — hebben OEM's informatiebeveiligingseisen geformaliseerd voor elke schakel in de keten.

TISAX (Trusted Information Security Assessment Exchange) is die formalisering. Ontwikkeld door de VDA (Verband der Automobilindustrie) en beheerd door de ENX Association, is TISAX de de facto informatiebeveiligingsstandaard geworden voor automotive toeleveranciers in Duitsland en door de hele Europese toeleveringsketen.

Wat is TISAX?

TISAX staat voor Trusted Information Security Assessment Exchange. Het is een sectorbreed mechanisme voor de beoordeling van informatiebeveiliging en het uitwisselen van resultaten in de automotive toeleveringsketen, ontwikkeld door de VDA en beheerd door de ENX Association.

Het kerndoel van TISAX is om automotive toeleveranciers in staat te stellen één gestandaardiseerde informatiebeveiligingsbeoordeling uit te voeren en de resultaten met meerdere klanten te delen — in plaats van dat elke OEM zijn eigen leveranciersauditprogramma uitvoert.

VDA ISA: De beoordelingsvragenlijst

De beoordeling is gebaseerd op de VDA ISA (Information Security Assessment)-vragenlijst, nu in versie 6.0. VDA ISA 6.0 werd geïntroduceerd in 2022 en is verplicht gesteld voor alle nieuwe TISAX-beoordelingen vanaf 1 april 2024. De vragenlijst omvat:

Informatiebeveiligingsbeheer (beleid, rollen, risicobeheer)
Personeelsbeveiliging (onboarding, bewustwording, uitdiensttreding)
Fysieke en omgevingsbeveiliging (toegangscontrole locatie, clean desk, serverruimtebeheersing)
Identiteits- en toegangsbeheer (gebruikersprovisioning, geprivilegieerde toegang, MFA)
Cryptografie (versleuteling van data in rust en transit)
Operationele beveiliging (patchbeheer, malwarebescherming, logging)
Communicatiebeveiliging (netwerksegmentatie, externe toegang)
Leveranciersrelaties (beveiligingsbeoordelingen van derden)
Incidentenbeheer (detectie, respons, melding)
Bedrijfscontinuïteit (DRP/BCP, herstelstests)
Prototypebescherming (fysieke en logische bescherming van voorproductie-voertuigdata)
Verbonden voertuigen / hoge beveiligingseisen (van toepassing op AL3-omvangen)

VDA ISA 6.0 gebruikt een volwassenheidsbeoordelingsmodel (schaal 0–5, afgestemd op CMMI) voor elke maatregel. TISAX vereist het bereiken van een minimaal volwassenheidsniveau over alle van toepassing zijnde maatregelen.

TISAX-beoordelingsniveaus uitgelegd

Beoordelingsniveau	Methode	TISAX-label afgegeven?	Typische toepassing
AL1	Zelfbeoordeling (plausibiliteitscontrole)	Nee	Toeleveranciers met uitsluitend laaggerisico data
AL2	Externe audit op afstand door geaccrediteerde dienstverlener	Ja	Standaardvereiste voor de meeste rang-1/2-toeleveranciers
AL3	Audit ter plaatse door geaccrediteerde dienstverlener	Ja	Prototypevoertuigen, geclassificeerde data, hoge bescherming

AL1 — Zelfbeoordeling

AL1 is een plausibiliteitscontrole: de toeleverancier vult de VDA ISA-vragenlijst in en bevestigt zijn antwoorden zonder onafhankelijke audit. Er wordt geen TISAX-label afgegeven bij AL1. Klanten accepteren AL1 zelden voor meer dan de laagste datagevoeligheid.

AL2 — Externe audit op afstand

AL2 is het standaard TISAX-beoordelingsniveau. Een geaccrediteerde auditdienstverlener (vermeld op enx.com) voert een externe beoordeling uit van uw VDA ISA-antwoorden, documentatie en bewijs. Bij succesvolle afronding (met correctieve acties gesloten binnen de termijn van 9 maanden) wordt een TISAX-label afgegeven en geregistreerd in het ENX-portaal.

AL3 — Audit ter plaatse

AL3 is van toepassing op de meest gevoelige datacategorieën: voorproductie-voertuigen (prototypes), geclassificeerde voertuiginformatie en data van verbonden voertuigen. De audit wordt ter plaatse uitgevoerd door een geaccrediteerde dienstverlener.

TISAX-labels

Eigenschap	Detail
Geldigheid	3 jaar vanaf datum van beoordeling
Omvang	Gedefinieerd per beoordeling (locatie, bedrijfsonderdeel of bedrijfsbreed)
Delen	Vertrouwelijk — alleen gedeeld met geautoriseerde OEM/klantcontacten via ENX
Openbare weergave	Niet openbaar weergegeven; ENX-resultaten op need-to-know-basis
Herbeoordeling	Vereist elke 3 jaar
Correctieve acties	Tot 9 maanden na de audit om openstaande bevindingen te sluiten

TISAX vs. ISO 27001: Belangrijkste verschillen

Dimensie	TISAX	ISO 27001
Toepassingsgebied	Automotive toeleveringsketen	Alle sectoren
Standaard	VDA ISA 6.0 (gebaseerd op ISO 27001)	ISO/IEC 27001:2022
Certificeringsinstantie	ENX-geaccrediteerde auditdienstverleners	ISO/RvA-geaccrediteerde certificatie-instellingen
Resultaat	TISAX-label (AL2/AL3)	ISO 27001-certificaat
Geldigheid	3 jaar	3 jaar (jaarlijkse surveillance-audits)
Automotive-specifiek	Ja (prototypes, verbonden voertuigen)	Nee
Resultaten delen	Via ENX-portaal (vertrouwelijk)	Certificaat openbaar deelbaar

Met bestaande ISO 27001-certificering: Uw bestaande ISMS-documentatie, beleid, risicoregister en bewijs kunnen direct dienen als basis voor een TISAX-beoordeling. Lacunes bevinden zich doorgaans in automotive-specifieke gebieden. Veel toeleveranciers bereiken TISAX AL2 binnen 3 tot 6 maanden vanuit een ISO 27001-basis.

TISAX-proces: stap voor stap

Stap 1: Omvang en beoordelingsniveau bepalen

Definieer welke organisatorische eenheden, locaties en systemen in scope vallen. Uw klant specificeert de beschermingsklasse en het vereiste beoordelingsniveau.

Stap 2: Registreren op het ENX-portaal

Maak uw bedrijfsaccount aan op enx.com. De registratievergoeding bedraagt circa € 400 per beoordelingsomvang. U ontvangt een ENX-ID die gedurende het gehele beoordelingsproces wordt gebruikt.

Stap 3: Lacune-analyse uitvoeren

Vul de VDA ISA 6.0-zelfbeoordelingsvragenlijst eerlijk in. Identificeer lacunes tussen uw huidige maatregelen en de vereiste volwassenheidsniveaus. Voor AL2 dient u volwassenheidsniveau ≥3 ("gedefinieerd proces") te behalen voor de meeste maatregelen.

Stap 4: Herstelmaatregelen implementeren

Sluit de geïdentificeerde lacunes. Veelvoorkomende aandachtsgebieden:

Formeel informatiebeveiligingsbeleid en -procedures
Documentatie van risicobeoordelingen
Toegangscontrole- en IAM-beleid
Leveranciersbeoordelingsprocessen
Procedures voor incidentrespons
Registraties van bewustwordingstraining op het gebied van beveiliging
Documentatie van fysieke beveiliging

Stap 5: Geaccrediteerde auditdienstverlener selecteren

Kies uit de ENX-vermelde geaccrediteerde dienstverleners. Belangrijke dienstverleners zijn TÜV SÜD, TÜV Rheinland, DEKRA, DQS, Bureau Veritas en BSI Group. Vraag offertes aan bij 2 à 3 dienstverleners. Boek 8 tot 12 weken van tevoren.

Stap 6: Beoordeling ondergaan

Voor AL2: De auditor beoordeelt uw VDA ISA-antwoorden, documentatie en bewijs op afstand gedurende 1 tot 3 dagen. Voor AL3: Audit ter plaatse op uw relevante locaties (1 tot 3 dagen per locatie).

Stap 7: Correctieve acties sluiten

Voor geïdentificeerde afwijkingen heeft u tot 9 maanden om correctieve acties te implementeren en bewijs van afsluiting aan te leveren.

Stap 8: TISAX-label ontvangen

Zodra alle vereiste correctieve acties zijn gesloten, registreert de geaccrediteerde dienstverlener uw TISAX-label in het ENX-portaal. U kunt vervolgens uw klanten autoriseren om de labelstatus te bekijken.

TISAX-kosten: realistisch budget

Kostencomponent	Typische bandbreedte
ENX-registratievergoeding	~€ 400
Geaccrediteerde auditdienstverlener (AL2, mkb)	€ 5.000–12.000
Geaccrediteerde auditdienstverlener (AL2, enterprise)	€ 10.000–25.000+
AL3-toeslag boven AL2	+30–50%
Lacune-analyse / advies	€ 5.000–20.000
Interne voorbereiding (personeelstijd, tools)	€ 10.000–50.000+
ISO 27001-besparingen op voorbereiding	-20% tot -50%

Typische totale bandbreedtes:

Kleine toeleverancier (AL2, ISO 27001-basis): € 15.000–40.000
Middelgrote toeleverancier (AL2, van de grond af): € 30.000–80.000
Grote toeleverancier (AL3, meerdere locaties): € 80.000–200.000+

TISAX en het bredere EU-regelgevingskader

TISAX maakt deel uit van een breder EU-regelgevingskader dat automotive toeleveranciers moeten navigeren:

NIS2-richtlijn: Als uw organisatie kwalificeert als essentiële of belangrijke entiteit onder NIS2, gelden parallelle cyberbeveiligingseisen. TISAX-maatregelen sluiten goed aan op de vereisten van artikel 21 van NIS2.
AVG: Voertuigdata en data van verbonden diensten bevatten vaak persoonsgegevens. TISAX-gegevensbeschermingsmaatregelen vullen AVG-vereisten aan.
Cyber Resilience Act: Vanaf 2027 worden producten met digitale elementen (inclusief automotive componenten met embedded software) onderworpen aan verplichte beveiligingseisen.
UNECE WP.29 / ISO/SAE 21434: Voor cybersecurity van verbonden voertuigen werkt TISAX naast automotive-specifieke cyberbeveiligingsstandaarden.

Hoe Orbiq TISAX-compliance ondersteunt

Orbiq is gebouwd voor de documentatie-intensieve werklast van TISAX:

Continue monitoring. Continue monitoring verzamelt automatisch technisch bewijs uit uw systemen — toegangslogboeken, patchregistraties, configuratiebasislijnen.

Trust Center. Het Trust Center-platform biedt een beveiligd kanaal voor het delen van uw compliance-status met geautoriseerde OEM-contacten, als aanvulling op het ENX-portaal.

EU-dataresidentie. Orbiq is gevestigd in de EU en verwerkt alle data uitsluitend in Europese infrastructuur — zonder CLOUD Act-blootstelling voor uw compliance-data.

Bronnen & Referenties

ENX Association — TISAX-overzicht — Officiële TISAX-programma-documentatie, ENX-portaal, lijst van geaccrediteerde dienstverleners
VDA ISA 6.0 — Vragenlijst voor informatiebeveiligingsbeoordeling — Officiële VDA-documentatie; VDA ISA 6.0 verplicht vanaf 1 april 2024
ENX-prijslijst 2025 — ENX-registratievergoeding circa € 400 per beoordelingsomvang
ISO/IEC 27001:2022 — Informatiebeveiligingsbeheerssystemen — ISO 27001:2022, 93 maatregelen verdeeld over 4 thema's
TISAX-beoordelingsniveaus — ENX-documentatie — AL1, AL2, AL3 definities en vereisten
VDA Automotive ISAC — VDA automotive-industrie-standaarden en TISAX-governance
ENX Association — Geaccrediteerde auditdienstverleners — Register van geaccrediteerde TISAX-auditdienstverleners
ISO/SAE 21434:2021 — Wegvoertuigen: Cyberbeveiliging — Automotive cyberbeveiligingsstandaard als aanvulling op TISAX
UNECE WP.29 Cyberbeveiligingsverordening (UN R155) — VN-verordening inzake voertuigcyberbeveiliging
NIS2-richtlijn — Officiële tekst (EU) 2022/2555 — Artikel 21 beveiligingseisen; NIS2- en TISAX-overlap

Deze gids wordt bijgehouden door het Orbiq-team. Laatste update: maart 2026.

TISAX-compliance: Volledige gids voor automotive toeleveranciers (2026)

TISAX-compliance: Volledige gids voor automotive toeleveranciers (2026)

Wat is TISAX?

VDA ISA: De beoordelingsvragenlijst

TISAX-beoordelingsniveaus uitgelegd

AL1 — Zelfbeoordeling

AL2 — Externe audit op afstand

AL3 — Audit ter plaatse

TISAX-labels

TISAX vs. ISO 27001: Belangrijkste verschillen

TISAX-proces: stap voor stap

Stap 1: Omvang en beoordelingsniveau bepalen

Stap 2: Registreren op het ENX-portaal

Stap 3: Lacune-analyse uitvoeren

Stap 4: Herstelmaatregelen implementeren

Stap 5: Geaccrediteerde auditdienstverlener selecteren

Stap 6: Beoordeling ondergaan

Stap 7: Correctieve acties sluiten

Stap 8: TISAX-label ontvangen

TISAX-kosten: realistisch budget

TISAX en het bredere EU-regelgevingskader

Hoe Orbiq TISAX-compliance ondersteunt

Gerelateerde artikelen

Bronnen & Referenties