Die NIS-2-Richtlinie der Europäischen Union bereitet derzeit vielen Unternehmen Kopfzerbrechen. Wer ist betroffen und was wird gefordert? Mit dem CyberRisk Rating erfüllen Sie wesentliche Anforderungen des NIS-Gesetzes für Lieferantenrisiken. Unkompliziert und in drei Schritten abgeschlossen ist es auch.
Text: Ava Novidi
Die EU-NIS-2-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors innerhalb der EU verbessern. Betroffene Einrichtungen müssen daher Risikomanagementmaßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten. Der Anwendungsbereich der Richtlinie umfasst 18 Sektoren, diese sind bekannt als die „kritische Infrastruktur“. Aber durch die EU-NIS-2-Richtlinie rückt nun auch die Lieferkette in den Fokus. Das Gesetz sieht vor, dass nicht nur Unternehmen der kritischen Infrastruktur ihre NIS-Konformität nachweislich belegen müssen, sondern auch ihre Lieferanten.
Erster Stopp, die Website
Das Rating bewertet Cyberrisiken von Dienstleistern, Lieferanten und Dritten. Dahinter steht ein standardisiertes, mehrstufiges Verfahren, in dem der sogenannte WebRisk Indicator und ein validiertes Selbst-Assessment – das CyberRisk Rating – wichtige Aufgaben übernehmen. Der Indicator bewertet öffentlich sichtbare IT-Sicherheitsrisiken und die Compliance des Webauftritts von bis zu tausenden Lieferanten, und ist bereits jetzt in den KSV1870 Bonitätsauskünften integriert. Natürlich bedeutet eine sichere Website noch nicht, dass das Unternehmen auch im internen Netzwerk gut aufgestellt ist. Eine schlecht abgesicherte Website ist aber jedenfalls ein Hinweis darauf, dass IT-Sicherheit nicht vollumfänglich umgesetzt wurde.
CyberRisk Ratings für jeden Bedarf
Doch der WebRisk Indicator allein reicht noch nicht aus, um NIS-Konformität zu bewerten. Wer dieses Ziel verfolgt, benötigt ein B- oder ein A- (bzw. A+)-Rating. Diese Varianten basieren auf dem Cyber-Risk-Schema (25 Anforderungen) des KSÖ (Kompetenzzentrum Sicheres Österreich) und werden jährlich von führenden IT-Sicherheitsverantwortlichen österreichischer Großunternehmen entsprechend dem Stand der Technik aktualisiert. Ein perfektes B-Rating bedeutet, dass ein Basis-Cyber-Schutzniveau (14 erfüllte Anforderungen) vorhanden ist. Das A-Rating bedeutet, dass alle 25 Anforderungen des KSÖ bewertet werden – auch jene, die oft mit hohen Kosten verbunden sind. Bei „A+“ erstellt zusätzlich ein Audit-Partner einen Bericht über die bewertete Organisation und erhöht so die Zuverlässigkeit noch weiter.
Alle Vorteile in der Übersicht
Ein CyberRisk Rating by KSV1870 zeigt Ihren Geschäftspartnern, dass Ihr Unternehmen hinsichtlich Cybersicherheit ein verlässlicher Partner ist. Doch es kann noch einiges mehr:
1. behördlich anerkannt
Die Anforderungen des KSÖ Cyber Risk Schemas wurden von führenden Cyber-Risk-Managern aus allen Sektoren der kritischen Infrastruktur, sowie Vertretern namhafter österreichischer Unternehmen definiert. Somit ist das Rating für jede Branche und jeden Wirtschaftssektor geeignet. Es erfüllt laut der österreichischen operativen NIS-Behörde (BMI) die Anforderungen des NIS-Gesetzes für Lieferantenrisiken.
2. fünfundzwanzig Fragen
Das CyberRisk Rating basiert auf 25 praxisnahen Fragen, die für Sie mit wenig Aufwand zu beantworten sind. Das Assessment benötigt einen Werktag und besteht aus zwei Teilbereichen: Es muss für jede Anforderung des Cyber-Risk-Schemas angegeben werden, ob die Anforderung erfüllt wird (Ja/Nein). Wenn Ja, müssen die Organisationen zu jeder Frage eine Beschreibung abgeben, wie die Anforderung erfüllt ist und welche Evidenzen im Bedarfsfall vorgelegt werden können.
3. einfach interpretierbar
Jedes CyberRisk Rating wird auf einer Skala von 100 bis 700 dargestellt.
Rating von 000: keine Einstufung möglich
Im Ergebnis wird ein B, A (bzw. A+)-Rating vergeben. Im Zweifel fragen Sie Ihren IT-Sicherheitsverantwortlichen, ob ein A-Rating für den jeweiligen Lieferanten notwendig ist.
4. schnell erledigt
Sobald ein CyberRisk Rating für Ihr Unternehmen beauftragt wird (von Ihnen oder Ihrem Geschäftspartner), erhalten Sie eine E-Mail mit einem Einladungslink zum Online-Assessment. Es besteht aus jenen 25 Fragen, die mit Ja oder Nein zu beantworten sind. Im Falle einer Ja-Antwort muss diese, wie bereits erwähnt, begründet werden. Nachdem Sie Ihr Assessment abgeschlossen haben, werden Ihre Antworten professionell überprüft, eventuelle Rückfragen geklärt und das Rating berechnet.
5. transparent und sicher
Die im CyberRisk Rating gestellten Anforderungen sind jederzeit öffentlich einsehbar. Somit können Sie sich bereits informieren, bevor Sie mit dem Assessment beginnen. Ihren Kunden wird ausschließlich das Rating weitergegeben. Sie behalten die Kontrolle über Ihre Daten, denn Ihre Antworten werden zwei Wochen nach Abschluss des Ratings wieder aus dem System gelöscht.
6. international einsetzbar
Mit dem Cyber-Risk-Schema des KSÖ können Einzelratings für beliebige Lieferanten weltweit erstellt werden. Der Ratingprozess sowie auch die Anforderungen sind auf Deutsch und Englisch verfügbar, um all Ihre Lieferanten weltweit bei der Bewertung abzudecken.
7. stets up to date
Die Anforderungen des CyberRisk Ratings werden jedes Jahr vom Cyber Risk Advisory Board gepflegt und optimiert, um einen immer aktuellen Sicherheitsstandard zu gewährleisten. Dadurch stellen wir fortlaufend die Anpassung an behördliche Erfordernisse sicher. Aus diesem Grund ist das Rating jeweils ein Jahr gültig.
8. dem Wettbewerb voraus
Seien Sie proaktiv und zeigen Sie Ihr Rating potenziellen Kunden. Damit belegen Sie, dass Sie ein sicherer Geschäftspartner sind und NIS-konform agieren. Falls bei Ausschreibungen im Zuge der EU-weiten NIS2-Einführung ab Oktober 2024 ein IT-Sicherheitsnachweis von Ihnen verlangt wird, sind Sie bereits vorbereitet und stechen positiv aus der Masse hervor.
Mehr Informationen unter:
Das CyberRisk Rating by KSV1870 (cyberrisk-rating.at)
Kontaktieren Sie uns gerne für ein Info-Paket zum CyberRisk Rating.
