Seit vielen Jahren steht die kritische Infrastruktur im Zentrum sicherheitstechnischer Überlegungen der EU. Die sogenannten NIS-Richtlinien fokussieren insbesondere auf die Absicherung der Cybersicherheit. Doch nicht nur Unternehmen der kritischen Infrastruktur sind betroffen, auch ihre Lieferanten und Geschäftspartner stehen unter Zugzwang. Warum? Weil sie schon durch die Geschäftsbeziehung per se und ganz besonders durch IT-Schnittstellen und Anbindungen ein potenzielles IT-Sicherheitsrisiko darstellen. Der Nachweis der eigenen Cybersicherheit sollte heuer auf der unternehmerischen Agenda also ganz oben stehen.
Der Grund dafür heißt NIS2. Ziel dieser Richtlinie ist es, ein höheres Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu schaffen – bis zum 17. Oktober 2024 soll sie umgesetzt werden. Ab diesem Zeitpunkt gelten für viele Unternehmen konkrete Mindeststandards für Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen. Wer also mit der kritischen Infrastruktur weiterhin Geschäfte machen möchte, sollte einen Nachweis für die eigene Cybersicherheit in Händen halten. Ist das nicht der Fall, drohen Umsatzeinbußen und der Verlust von Kundenbeziehungen.
All-in-one mit dem CyberRisk Manager
Für Unternehmen mit vielen Lieferanten scheint das Cyberrisiko-Management auf den ersten Blick eine administrative Herkulesaufgabe zu sein. Denn es ist schon aufwendig, sich einen Überblick über die Cybersicherheit der eigenen Lieferanten zu verschaffen. Ganz zu schweigen davon, die Nachweise einzusammeln, die säumigen Lieferanten zu kontaktieren oder gar Maßnahmen zu setzen, wenn die Unternehmen den Anforderungen nicht gerecht werden. Genau dabei soll der CyberRisk Manager helfen. Dieser wurde für Unternehmen der kritischen Infrastruktur oder Betriebe mit einer großen Anzahl von Lieferanten entwickelt, um wichtige Prozesse rund um das Thema Cyberrisiko-Management für Lieferanten nach NIS2 in einer Plattform zu bündeln.
Das alles kann der CyberRisk Manager:
1. Nachweise der Lieferkette verwalten
Die NIS-Verordnungen machen es meist notwendig, die eigene Cybersicherheit gegenüber Kunden mithilfe eines Nachweises zu belegen. Umgekehrt müssen die Kunden alle Sicherheitsnachweise ihrer Lieferanten dokumentieren. Im CyberRisk Manager können alle Cybersicherheitsnachweise hochgeladen werden. Sie sind nach Prüfung durch das KSV1870 Team kostenlos für Kunden einsehbar. Falls ein CyberRisk Rating oder ein Cyber Trust Gütesiegel öffentlich verfügbar sind, wird auch dieses sofort angezeigt.
2. Risiken intern bewerten
Die Plattformnutzer können ihre Lieferanten anlegen, priorisieren und klassifizieren. Denn nicht jeder Lieferant hat für das Unternehmen die gleiche Wichtigkeit. Es gilt, ein Lieferantenverzeichnis anzulegen, im Rahmen dessen die Unternehmen zu Gruppen zusammengefasst werden. Der nächste Schritt: Welche Gruppe muss ich wie intensiv prüfen? Zwei relevante Parameter sind die Wichtigkeit für das eigene Unternehmen und die Eintrittswahrscheinlichkeit des Cyberrisikos. Daraus ergeben sich in der Folge die Sicherheitsanforderungen, die an die jeweiligen Geschäftspartner gestellt werden.
3. Maßnahmen definieren
Sind die Lieferanten priorisiert, dann gilt es, Maßnahmen entsprechend den selbst festgelegten Risikoklassen zu definieren. Sprich, den einzelnen Klassen werden Maßnahmen zugeordnet. Reicht die Cybersicherheit nicht aus, ist es sinnvoll, die Unternehmen zu kontaktieren, damit sie an den konkreten Erfordernissen arbeiten. In der Folge können aber auch die Zugriffe einzelner Lieferanten auf das Netzwerk beschränkt werden, Schnittstellen können gekappt oder Datenflüsse reglementiert werden. Diese Maßnahmen können individuell hinterlegt und den Risikoklassen zugeordnet werden.
4. To-Do-Listen erstellen
Im entsprechenden Bereich können Aufgaben zur Cyberrisiko-Minimierung für die User definiert werden. Beispiel: Besonders risikobehaftete Lieferanten benötigen ein CyberRisk Rating, Anpassungen in Verträgen, regelmäßige Penetrationstests usw. Am effizientesten ist es, pro eigens definierter Risikoklassen (und nicht pro Unternehmen) ein Set an Maßnahmen zuzuteilen. Daraus ergibt sich die To-Do-Liste automatisch. Im CyberRisk Manager wird diese Liste erstellt und es wird dokumentiert, welche Maßnahmen bereits erledigt sind.
5. Website-Risiko erkennen
Auch der WebRisk Indicator ist Teil des Managers. Der Indicator beschreibt öffentlich sichtbare IT-Sicherheitsrisiken und die Compliance von Unternehmenswebseiten. Damit hat man nicht nur eine Hilfestellung zur Risikoklassifizierung, sondern das Third Party Risk Management umfasst vom Start weg alle Lieferanten – ohne Zusatzkosten. Er wird von der KSV1870 Nimbusec GmbH erstellt und ist bereits jetzt Teil der Bonitätsauskünfte des KSV1870.
6. Lieferanten auffordern
Unternehmen können in dieser Plattform Lieferanten direkt zum Hinterlegen von Cybersicherheitsnachweisen auffordern. Das System schlägt die entsprechende Textvorlage vor und der User kann sie per E-Mail (persönlicher Firmenaccount) versenden. Damit ist für Lieferanten auch sofort ersichtlich, dass die Aufforderung von einem echten Kunden kommt und Nachweise tatsächlich benötigt werden.
7. Ratings beauftragen
Unternehmen, die über einen Lieferanten ein Rating beauftragen möchten, können das im Manager machen. Hier gibt es die Wahl zwischen zwei Produktvarianten, dem Cyber Trust Label (Kosten vom Lieferanten getragen) und dem CyberRisk Rating (Kosten vom Auftraggeber getragen). Beide basieren auf dem Cyber Risk Rating Schema des KSÖ und sind daher NIS-konform.
8. User anlegen
Entscheidet sich ein Unternehmen für den CyberRisk Manager, dann wird eine Komplettlösung ohne Wenn und Aber zur Verfügung gestellt. Das bedeutet auch: unbegrenzte User für die betroffenen Fachabteilungen. Für die Automatisierung der notwendigen Prozesse stellt der Manager sogar eine API (Programmierschnittstelle) zur Verfügung.
Mehr Informationen:
Kontaktieren Sie uns gerne für ein Info-Paket zum CyberRisk Manager.
Entgeltliche Einschaltung
