Mit dem CyberRisk Manager alle Lieferanten im Blick

Sie ist DIE Plattform für ein effizientes Cyberrisiko-Management von Lieferanten nach NIS. Ihre Nutzer können auf bestehende Informationen ihrer Lieferanten zugreifen, bei Bedarf Unternehmen auffordern, Nachweise zu hinterlegen oder direkt CyberRisk Ratings beauftragen. 
 

Autor: Alexander Mitter, Geschäftsführer KSV1870 Nimbusec GmbH

Der Manager wurde für Unternehmen der kritischen Infrastruktur oder Betriebe mit einer großen Anzahl von Lieferanten entwickelt. Ihnen allen gemein ist, dass sie spätestens durch die NIS-2-Verordnung einen verstärkten Fokus auf die Cybersicherheit ihrer Geschäftspartner haben (müssen). Aber auch den Lieferanten sollte es ein Anliegen sein, cybersicher zu werden. Denn ohne entsprechenden Nachweis können Unternehmen der kritischen Infrastruktur nach der anstehenden Umsetzung der NIS2-Richtlinie in Österreich voraussichtlich keine oder nur mehr eingeschränkt Geschäfte machen. 

Alles in einer Lösung

Für Unternehmen mit vielen Lieferanten scheint das Cyberrisiko-Management auf den ersten Blick eine administrative Herkulesaufgabe zu sein. Denn es ist schon aufwändig, sich einen Überblick über die Cybersicherheit der eigenen Lieferanten zu verschaffen. Ganz zu schweigen davon, die Nachweise einzusammeln, die säumigen Lieferanten zu kontaktieren oder gar Maßnahmen zu setzen, wenn die Unternehmen den Anforderungen nicht gerecht werden. Daher hat die KSV1870 Nimbusec GmbH eine Lösung entwickelt, die es ermöglicht, alle wichtigen Prozesse rund um das Thema Cyberrisiko-Management für Lieferanten nach NIS2 in einer Plattform zu bündeln. 

Dabei kann Ihnen der CyberRisk Manager helfen:
 

1. Nachweise der Lieferkette verwalten

Die NIS-Verordnungen machen es meist notwendig, die eigene Cybersicherheit gegenüber Kunden mithilfe eines Nachweises zu belegen. Umgekehrt müssen die Kunden alle Sicherheitsnachweise ihrer Lieferanten dokumentieren. Im CyberRisk Manager können alle Cybersicherheitsnachweise (auch von anderen Anbietern oder entsprechend internationalen Standards) hochgeladen werden. Sie sind nach Prüfung durch das KSV1870 Team kostenlos für Kunden einsehbar. Falls ein CyberRisk Rating oder ein Cyber Trust Gütesiegel öffentlich verfügbar ist, wird auch dieses sofort angezeigt. Der CyberRisk Manager ist dadurch Österreichs größte Datenbank für IT-Sicherheitsnachweise und allein deswegen unverzichtbar für NIS2.

2. Risiken intern bewerten

Die Plattformnutzer können ihre Lieferanten anlegen, priorisieren und klassifizieren. Denn nicht jeder Lieferant hat für das Unternehmen die gleiche Wichtigkeit. Es gilt ein Lieferantenverzeichnis anzulegen, im Rahmen dessen die Unternehmen zu Gruppen zusammengefasst werden. Der nächste Schritt: Welche Gruppe muss ich wie intensiv prüfen? Zwei relevante Parameter sind die Wichtigkeit für das eigene Unternehmen und die Eintrittswahrscheinlichkeit des Cyberrisikos. Daraus ergeben sich in der Folge die Sicherheitsanforderungen, die an die jeweiligen Geschäftspartner gestellt werden.

Machen Sie Cybersicherheit zur Priorität

3. Maßnahmen definieren

Sind die Lieferanten priorisiert, dann gilt es, Maßnahmen entsprechend den selbst festgelegten Risikoklassen zu definieren. Sprich, den einzelnen Klassen werden Maßnahmen zugeordnet. Reicht die Cybersicherheit nicht aus, macht es Sinn, die Unternehmen zu kontaktieren, damit sie an den konkreten Erfordernissen arbeiten. In der Folge können aber auch die Zugriffe einzelner Lieferanten auf das Netzwerk beschränkt werden, Schnittstellen können gekappt oder Datenflüsse reglementiert werden. Diese Maßnahmen können individuell hinterlegt und den Risikoklassen zugeordnet werden.

4. To-Do-Listen erstellen

Im entsprechenden Bereich können Aufgaben zur Cyberrisiko-Minimierung für die User definiert werden. Beispiel: Besonders risikobehaftete Lieferanten benötigen ein CyberRisk Rating, Anpassungen in Verträgen, regelmäßige Penetrationstests usw. Am effizientesten ist es, pro eigens definierter Risikoklassen (und nicht pro Unternehmen) ein Set an Maßnahmen zuzuteilen. Daraus ergibt sich die To-Do-Liste automatisch. Im CyberRisk Manager wird diese Liste erstellt und es wird dokumentiert, welche Maßnahmen bereits erledigt sind.

5. Website-Risiko erkennen

Auch der WebRisk Indicator ist Teil des Managers. Der Indicator beschreibt öffentlich sichtbare IT-Sicherheitsrisiken und die Compliance von Unternehmenswebseiten. Damit hat man nicht nur eine Hilfestellung zur Risikoklassifizierung, sondern das Third Party Risk Management umfasst vom Start weg alle Lieferanten – ohne Zusatzkosten. Im CyberRisk Manager ist der WebRisk Indicator für alle Lieferanten als Zusatzinformation sofort verfügbar. Er wird von der KSV1870 Nimbusec GmbH erstellt und ist bereits jetzt Teil der Bonitätsauskünfte des KSV1870.

6. Lieferanten auffordern

Unternehmen können in dieser Plattform Lieferanten direkt zum Hinterlegen von Cybersicherheitsnachweisen auffordern. Das System schlägt die entsprechende Textvorlage vor und der User kann sie per E-Mail (persönlicher Firmenaccount) versenden. Damit ist für Lieferanten auch sofort ersichtlich, dass die Aufforderung von einem echten Kunden kommt und Nachweise tatsächlich benötigt werden.  

7. Ratings beauftragen

Unternehmen, die über einen Lieferanten ein Rating beauftragen möchten, können das im Manager machen. Hier gibt es die Wahl zwischen zwei Produktvarianten, dem Cyber Trust Label (Kosten vom Lieferanten getragen) und dem CyberRisk Rating (Kosten vom Auftraggeber getragen). Beide basieren auf dem Cyber Risk Rating Schema des KSÖ und sind daher NIS-konform.

8. User anlegen

Entscheidet sich ein Unternehmen für den CyberRisk Manager, dann wird eine Komplettlösung ohne Wenn und Aber zur Verfügung gestellt. Das bedeutet auch: unbegrenzte User für die betroffenen Fachabteilungen. Für die Automatisierung der notwendigen Prozesse stellt der Manager sogar eine API (Programmierschnittstelle) zur Verfügung. 

1

 

9. Ad-on: Das DORA-Modul

Zur Unterstützung der von DORA betroffenen Finanzwirtschaft bzw. IT-Dienstleistern wird es noch heuer (2024) ein eigenes Modul geben. Damit können die Unternehmen ihre Lieferanten weltweit nach DORA korrekt managen. Achtung: Ab 17.01.2025 ist die EU-Verordnung anzuwenden.

 

Mehr Informationen unter:

Blog: Die Vorteile des CyberRisk Ratings im Überblick

Das CyberRisk Rating by KSV1870 (cyberrisk-rating.at)

Tipp: Melden Sie sich zum Webinar an.

Kontaktieren Sie uns gerne für ein Info-Paket zum Cyber­Risk Manager.