2026年，TISAX（可信信息安全评估交换机制）正经历一系列重要变化。从评估框架的迭代升级到全球覆盖范围的里程碑突破，这些变化对汽车行业供应商的信息安全合规提出了新要求。以下从四个维度梳理最新动态。

一、框架升级：全面进入VDA ISA 6.0时代

当前版本为6.0.3，所有新评估均基于此版本

自2024年4月1日起，VDA ISA（信息安全评估检查表）6.0版本已成为所有新TISAX评估的强制性标准。截至2025年，所有TISAX评估已全面在6.0框架下开展。2025年底至2026年初，最新迭代版本6.0.3已正式发布并投入使用。

与5.x版本的核心差异：

二、全球规模突破20,000个评估地点

2025年12月，TISAX首次突破20,000个有效标签地点

这是一个重要的市场信号：TISAX已从“差异化优势”进化为汽车供应链的入场门槛（table stakes）。

全球布局前10国家：

1. 德国

2. 中国

3. 美国

4. 捷克

5. 印度

6. 西班牙

7. 墨西哥

8. 意大利

9. 波兰

10. 巴西

中国位列全球第二，反映出中国汽车供应链在全球信息安全合规体系中的深度参与。多家在华企业如昆山恩斯克（NSK）、立中车轮集团等已相继完成或正在推进最新版TISAX认证。

三、评估要求趋严：实操证据成关键

随着版本升级和规模扩大，评估的实操性要求显著提高：

• 从“策略存在”到“可重复证据”：审核方和主机厂（OEM）关注的不再是制度文档本身，而是跨部门、跨厂区是否有统一且持续执行的证据，包括访问控制记录、供应商审计证明、事件响应演练记录等。

• OT安全成为独立审核点：对于拥有智能工厂或联网设备的供应商，需按IEC 62443建立专门的生产系统安全控制。

• AL3现场审核仍为最高等级：涉及原型车、高度机密数据或网联汽车数据的供应商，仍需进行严格的现场审核。

四、合规生态：与ISO 27001协同及监管联动

与ISO 27001的重叠与互补

TISAX基于ISO/IEC 27001框架，约80%-90%的控制项相互映射。主要差异在于TISAX特有的汽车行业要求（如原型保护、网联汽车安全）。因此，已通过ISO 27001认证的企业通常能在3-6个月内完成TISAX AL2补充认证。

与NIS2指令的叠加影响（欧盟）

2026年，欧盟NIS2指令对关键基础设施的网络安全要求正式落地。对于同时服务于汽车行业和政府基础设施的供应商，需同时满足TISAX和NIS2的双重合规义务。

证书有效期

TISAX标签有效期为3年，审核中发现的不符合项有最长9个月的纠正期。

对供应商的行动建议

1. 确认客户要求：明确合作主机厂对TISAX评估等级（AL2或AL3）及保护类别（PC1/PC2/PC3）的具体要求

2. 完成差距分析：对照VDA ISA 6.0.3进行自评，重点关注OT安全、数据保护、事件管理三大新增领域

3. 优化证据管理：改变“文档堆砌”模式，建立跨部门、可追溯的执行证据体系

4. 提前预约审核机构：认可审核机构排期紧张，建议提前8-12周预定

总结：2026年的TISAX已不再是一个简单的“复选框”合规项，而是全面嵌入汽车供应链合作契约的硬性要求。2万+评估地点的里程碑、6.0.3版本的技术细化、以及全球主要汽车工业国的深度参与，共同指向一个结论——信息安全管理能力已成为汽车供应商的生存底线。

颐卓咨询管理集团-广州总部
总部地址：广州市海珠区琶洲数字科技产业园A15-2栋
联系方式：13622221264（张小姐）或13433933194（廖经理）
邮     箱：eyzo@chinakec.com
公司官网：www.chinakec.com
集团分支机构：深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等