Wenn nein, dann brennt jetzt der Hut. Ab Oktober 2024 müssen viele Unternehmen nachweisen, dass ihre IT-Systeme „safe“ sind. Wie sie das machen, lesen Sie in diesem Beitrag.
Alexander Mitter, Geschäftsführer KSV1870 Nimbusec GmbH
Seit vielen Jahren steht die kritische Infrastruktur im Zentrum sicherheitstechnischer Überlegungen der EU. Die sogenannten NIS-Richtlinien fokussieren insbesondere auf die Absicherung der Cybersicherheit. Doch Vorsicht: Nicht nur Unternehmen der kritischen Infrastruktur sind betroffen, auch ihre Lieferanten und Geschäftspartner stehen unter Zugzwang. Warum? Weil sie schon durch die Geschäftsbeziehung per se und ganz besonders durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko darstellen. Schließlich werden über digitale Verbindungen Viren, Malware oder Ähnliches rasch übertragen. Dabei regiert nicht immer böse Absicht. Es kommt vor, dass Unternehmen laut dem CyberRisk Report 2023 der KSV1870 Nimbusec GmbH selbst nicht wissen, dass Sie infiziert sind und damit eine Gefahr für Andere darstellen. Nun steigt der Druck, die eigenen IT-Systeme prüfen zu lassen. Nur so können Unternehmen die kritische Infrastruktur auch in Zukunft beliefern und sich als sicherer Partner ausweisen.
Geschäfte sichern durch Nachweis
Der Nachweis der eigenen Cybersicherheit sollte heuer auf der unternehmerischen Agenda also ganz oben stehen. Der Grund dafür heißt NIS2. Ziel dieser Richtlinie ist es, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu schaffen. Zwar ist die NIS-2-Richtlinie bereits seit Jänner 2023 in Kraft, bis zum 17. Oktober 2024 soll sie von den Mitgliedsstaaten umgesetzt werden. Ab diesem Zeitpunkt gelten für viele Unternehmen konkrete Mindeststandards für Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen. Wer also mit der kritischen Infrastruktur weiterhin Geschäfte machen möchte, sollte besser einen Beleg für die eigene Cybersicherheit in Händen halten. Unternehmen, die die Vorgaben leichtfertig abtun, können unter Umständen keine Geschäfte mehr mit ihren bisherigen Partnern machen. Es drohen Umsatzeinbußen und der Verlust von Kundenbeziehungen.
Jetzt cybersicher werden
Was Unternehmen letztendlich benötigen, ist ein Nachweis ihrer Cybersicherheit von externer Seite. Es gibt eine Reihe von Lösungen auf dem Markt, unter anderem eine ISO-Zertifizierung. Das CyberRisk Rating by KSV1870 ist vergleichsweise günstig und hat den Vorteil, dass es auf die Erfordernisse der österreichischen Aufsichtsbehörden abgestimmt ist. Es orientiert sich an den Vorgaben der österreichischen Aufsichtsbehörden und basiert auf dem CyberRisk Schema des Kompetenzzentrum Sicheres Österreich. Dessen Kern ist ein Katalog mit 25 Fragen, die auch bei der Erstellung eines CyberRisk Ratings zur Anwendung kommen. Hinter diesem Rating steht ein standardisiertes System, um Anforderungen des NIS-Gesetzes und der DSGVO für Lieferanten zu erfüllen. Nach der Beschreibung der Systeme und Validierung mit Experten wird das Rating berechnet.
Das richtige Cyber-Rating finden
Je nachdem wie viele Fragen positiv beantwortet werden oder aufgrund der Geschäftsbeziehung relevant sind, gibt es die Wahl zwischen A+, A und B. Unternehmen mit einem B-Rating müssen nur 14 der 25 Anforderungen bzw. Fragen erfüllen, um einen Sicherheitsnachweis für weniger risikoreiche Tätigkeiten oder KMU zu bestehen. Das bedeutet, dass eine Organisation ein grundlegendes Schutzniveau einhält. Für einen Caterer beispielsweise, der ein Unternehmen der kritischen Infrastruktur beliefert und Informationen (wie Rechnungen) ausschließlich per E-Mail austauscht, ist das ausreichend. Anders ist die Situation, wenn sich ein Lieferant an ein Unternehmen digital anbindet oder selbst Software liefert. In diesem Fall ist zumeist ein A-Rating erforderlich. Im Idealfall hält das Unternehmen alle 25 Anforderungen ein und weist ein außergewöhnlich hohes Schutzniveau auf. Das Rating A+ gilt als Königsklasse. Damit wird das hohe Sicherheitslevel sogar durch ein unabhängiges Audit bestätigt.
Zwei Wege, selbes Ergebnis
Lieferanten können sich aktiv um ein Label bemühen – es macht jedoch Sinn, zuvor mit dem Geschäftspartner Rücksprache zu halten, welches er akzeptiert. Für Unternehmen der kritischen Infrastruktur oder jene Betriebe, die sehr viele Lieferanten haben, lohnt sich die Einrichtung unseres CyberRisk Managers. Es handelt sich um eine Plattform, in der die eigenen Lieferanten geführt werden und alle aktuellen Nachweise (auch von anderen Anbietern) hinterlegt sind. Das Unternehmen kann seine Lieferanten direkt kontaktieren, um sie zur Beauftragung eines CyberRisk Ratings einzuladen. Optimalerweise wird dies im Vorfeld von den Vertragspartnern besprochen, damit der Prozess effizient und schnell abgeschlossen werden kann.
Was ist nun zu tun?
Unternehmen sind gut beraten, genügend Vorlauf einzuplanen. Denn vieles ist zu dokumentieren, eine Analyse der IT-Systeme ist zu bestehen und gegebenenfalls müssen Verbesserungen durchgeführt werden, um allen Anforderungen gerecht zu werden. Zudem geht es nicht darum, einfach nur ein weiteres Zertifikat zu sammeln, sondern das Thema birgt die Chance, dass sich Unternehmen weiterentwickeln, besser und sicherer werden. Proaktive Unternehmen nutzen die dokumentierte Cybersicherheit zur Eigenwerbung, deklarieren sich als sicherer Partner und nutzen den Beleg als Wettbewerbsvorteil. Eines ist klar: Die Betriebe sollten jetzt in die Gänge kommen, um rechtzeitig cyber-ready zu sein.
Mehr Informationen unter:
Blog: Die Vorteile des CyberRisk Ratings im Überblick
Das CyberRisk Rating by KSV1870 (cyberrisk-rating.at)
Tipp: Melden Sie sich zum Webinar an.
Kontaktieren Sie uns gerne für ein Info-Paket zum CyberRisk Rating.