Cos’è TISAX e perché impatta gli stabilimenti produttivi italiani

TISAX (Trusted Information Security Assessment Exchange) non è un argomento per specialisti IT: è il framework che regola la sicurezza delle informazioni nell’intera catena di fornitura automotive. Nato dall’esigenza dei costruttori tedeschi di uniformare le verifiche sui fornitori, oggi viene richiesto a qualsiasi azienda che voglia collaborare con OEM come Volkswagen, BMW o Daimler – e di riflesso a tutti i subfornitori, inclusi quelli italiani. L’adesione al meccanismo di mutuo riconoscimento degli assessment è vincolante per accedere a dati sensibili, disegni tecnici e progetti.

La gestione dei visitatori rientra a pieno titolo nei controlli di sicurezza fisica previsti dal catalogo VDA ISA, la base normativa di TISAX. VDA ISA (Version 5.1) non è un semplice adattamento della ISO/IEC 27001: aggiunge requisiti settoriali stringenti, molti dei quali riguardano l’accesso fisico agli stabilimenti. Per RSPP, security manager e responsabili di stabilimento, comprendere questi requisiti significa tradurre le clausole contrattuali – spesso opache – in misure operative concrete.

I controlli di sicurezza fisica nel catalogo VDA ISA

Il catalogo VDA ISA dedica ampio spazio alla protezione delle aree produttive e di sviluppo. Il requisito 1.5 Physical Security e in particolare il controllo 1.5.3 Visitor Management indicano chiaramente che ogni visitatore deve essere registrato, identificato, dotato di badge temporaneo e accompagnato per tutta la permanenza, a meno che non sia stato pre-autorizzato per livelli di accesso specifici. Non basta un registro cartaceo firmato: serve un processo documentato, verificabile e coerente con il livello di assurance richiesto.

Ecco i punti chiave che il framework esige senza compromessi:

  • Registrazione preventiva con dati anagrafici, motivazione della visita, referente interno e data/ora di accesso.
  • Riconoscimento tramite documento d’identità valido e consegna di un badge temporaneo con indicazione delle zone autorizzate.
  • Escort obbligatorio in aree a rischio, con tracciamento dei movimenti.
  • Divieto di dispositivi di registrazione (smartphone, fotocamere) in aree di prototipazione, spesso imposto tramite armadietti schermati all’ingresso.
  • Blocco degli accessi fuori orario non pre-approvati e revoca immediata dei permessi al termine della visita.

La conformità TISAX non ammette routine approssimative: i revisori verificano la corrispondenza tra la policy dichiarata e la prassi quotidiana, incluso il comportamento di receptionist e guardiani.

Livelli di assurance e impatto sulla gestione accessi

TISAX definisce tre livelli di assurance, che condizionano direttamente la profondità dei controlli di sicurezza fisica. Chi opera con livello Assessment Level 3 (AL3) – richiesto quando si trattano informazioni con necessità di protezione molto elevata, come prototipi di nuovi veicoli o powertrain – si trova di fronte a misure aggiuntive obbligatorie.

Per AL3, la semplice registrazione e il badge non bastano più. Il datore di lavoro deve implementare un processo che includa la verifica dell’identità a distanza (pre-registrazione con anticipo minimo), la firma di accordi di riservatezza (NDA) vincolanti prima del varco, e la segregazione fisica delle aree con controllo accessi biometrico o a doppio fattore. Ogni visitatore non accompagnato in area prototipi rappresenta una non conformità maggiore durante l’assessment.

Anche i dati personali dei visitatori devono essere gestiti con garanzie proporzionate al livello di criticità. Il GDPR (Regolamento UE 2016/679) si sovrappone perfettamente: la registrazione di immagini tramite videosorveglianza, il trattamento di dati biometrici e la conservazione dei log di accesso vanno circoscritti, notificati e limitati temporalmente. Un sistema di visitor management digitale, che cancelli automaticamente i dati dopo il periodo stabilito e generi report per il revisore, diventa un alleato più che un costo.

Prototipazione e aree riservate: i rischi concreti

La protezione dei prototipi è il motivo per cui TISAX è nato. Un dettaglio tecnico fotografato con lo smartphone, un campione di materiale trafugato o anche solo una conversazione ascoltata in officina possono compromettere anni di investimenti. Ecco perché i controlli di prototipazione sono il cuore della gestione visitatori nel settore automotive.

I responsabili di stabilimento devono garantire che i visitatori – anche quelli autorizzati – non possano avvicinarsi a veicoli camuffati, banchi prova o locali tecnici senza supervisione. Il VDA ISA richiede un’area “security perimeter” dove l’accesso è fisicamente controllato e ogni movimento è loggato. Qui la gestione diventa granularmente personalizzata: un fornitore che deve visionare un componente non può accedere alla linea di assemblaggio del prototipo successivo. Solo un sistema che gestisca autorizzazioni temporanee per zona e per finestra oraria può rispondere a tale esigenza senza rallentare le attività produttive.

Integrare TISAX con gli obblighi normativi italiani

Un security manager italiano non può limitarsi a copiare un modello tedesco: deve far convivere i requisiti TISAX con gli obblighi inderogabili del D.Lgs. 81/2008 in materia di sicurezza sul lavoro. Un visitatore che entra in stabilimento è soggetto a tutte le misure di prevenzione: informazione sui rischi, procedure di emergenza, dotazione di DPI se necessari. Un sistema di accoglienza digitale che raccolga firme per presa visione del piano di emergenza e consegni automaticamente il badge con le zone consentite risolve insieme la compliance TISAX e quella giuslavoristica.

Analogamente, la gestione dei flussi di visitatori deve allinearsi al D.M. 2 settembre 2021 per la prevenzione incendi (controllo degli occupanti, vie d’uscita) e al DPR 151/2011 qualora l’attività rientri tra quelle soggette a controllo dei Vigili del Fuoco. L’intersezione è evidente: in caso di evacuazione, sapere esattamente quanti visitatori sono presenti e in quale area è un obbligo di sicurezza.

Infine, il GDPR impone che la raccolta di dati personali – compresa l’immagine fotografica per il badge – avvenga con consenso informato o per legittimo interesse, con informativa sintetica ma completa. Un gestionale che produce automaticamente l’informativa e registra il consenso semplifica l’eventuale audit dell’Autorità Garante.

Varcora nasce proprio per colmare questa distanza tra gli standard internazionali e la realtà operativa italiana: la piattaforma SaaS per la gestione visitatori traduce i controlli TISAX in flussi guidati, dal pre-registro online alla scorta obbligatoria, passando per la stampa badge con scadenza automatica e i report di accesso pronti per il revisore. Senza moduli cartacei, senza rischi di dimenticanze, con la certezza che ogni visita sia tracciata esattamente come richiesto dal catalogo VDA ISA.

Sul piano pratico, questi requisiti si traducono in una necessità: un flusso di registrazione che sia veloce per l’accoglienza e rigorosamente documentabile. Una piattaforma come Varcora consente di gestire pre-registrazioni, badge temporanei a scadenza programmata, tracciamento degli accompagnatori e produzione automatica di un registro digitale verificabile, sempre pronto per gli assessment.

La differenza tra averlo o non averlo emerge con chiarezza durante un audit TISAX: senza uno strumento strutturato, ricostruire le evidenze diventa un’attività manuale rischiosa. Con Varcora, invece, la reportistica è immediata e a prova di verifica. Per adeguare il tuo stabilimento senza stravolgere le procedure di accoglienza, parla con noi.

Accessi esterni ancora gestiti su carta?

Se nella tua azienda visitatori, fornitori e manutentori passano ancora da registri cartacei, Varcora può aiutarti a trasformarli in un processo digitale, ordinato e recuperabile quando serve.

Richiedi una demo →