Frequently Asked Questions (FAQ)
Das Cyber Trust Label kann von jeder Organisation angefordert werden. Voraussetzung für die Vergabe ist die Erfüllung der Mindestkriterien beim Cyber Risk Rating bzw. beim Platinum Label.
Beim Cyber Trust Label Gold erfolgt ein Audit durch einen qualifizierten Auditor, der gemäß §18 NIS-Gesetz (BGBL Nr. 111/2018) als qualifizierte Stelle zugelassen ist. Bei den anderen Labels erfolgt eine Validierung der Angaben in der Selbstdeklaration auf Vollständigkeit und Plausibilität durch die CTS Cyber Trust Services GmbH. Beim Platinum Label erfolgen zudem stichprobenartige Evidenzprüfungen. Weiters verpflichtet sich die Label-werbende Organisation, die angegebenen Evidenzen vorzuhalten und auf Anfrage bereitzustellen (zB. bei einem Überprüfungsaudit). Vorsätzliche oder grob fahrlässige Falschangaben führen zum Entzug des Labels.
Beim Standard Label ist mit einem Aufwand von 2-3 Stunden für die Beantwortung der Fragen zu rechnen, bei Silber und Gold etwa der doppelte Aufwand. Beim Gold Label ist aufgrund des Audits mit etwa ein bis zwei Tagen zusätzlicher Aufwand zu rechnen. Das Platinum Label erfordert ebenfalls mehr Zeit zum befüllen, da hier 50 Fragenbereiche ausführlich zu beantworten sind. Diese Angaben sind jedoch nur indikativ zu sehen und setzen voraus, dass die geforderten Anforderungen bereits erfüllt sind und notwendige Evidenzen vorliegen.
Das Cyber Risk Rating Schema orientiert sich an gängigen Sicherheitsstandards, die von führenden Sicherheitsexperten erarbeitet wurden. Dafür werden nach bester Sorgfalt die im Cyber Risk Rating Schema beschriebenen Prüfmechanismen eingesetzt. Eine Organisation, welche das Cyber Trust Label trägt, zeigt damit, dass sie Cybersicherheit ernst nimmt und wesentliche Sicherheitsmaßnahmen umgesetzt hat. Kein Bewertungsschema und keine Zertifizierung kann jedoch absolute Cybersicherheit garantieren oder ausschließen, dass es zu möglichen Sicherheitsvorfällen kommen kann.
Das Cyber Trust Label ist ein Gütesiegel auf Basis eines definierten Schemas (der Cyber Risk Rating Schema Policy des KSÖ). Es handelt sich hierbei nicht um eine Zertifizierung. Ein weiterer Unterschied ist die Ausrichtung der Bewertung: ISO 27001 zielt auf das Vorhandensein eines Managementsystems für Informationssicherheit ab, das Cyber Risk Rating hingegen bewertet das konkrete Vorhandensein bestimmter Sicherheitsmaßnahmen.
Die Durchführungs-VO (EU) 2024/2690 der Kommission vom 17. Oktober 2024 ist das erste und bisher einzige offizielle Dokument der Kommission, welches die die technischen und methodischen Anforderungen der Risikomanagementmaßnahmen für NIS 2 genau spezifiziert. Es ist unklar ob es weitere DVOs geben wird, aus heutiger Sicht sieht es nicht danach aus. Die Anforderungen sind jedoch in weiten Teilen sehr generisch auf alle betroffenen Branchen anwendbar und entsprechen in vielen Fällen Standard-Sicherheitsanforderungen wie sie beispielsweise auch von ISO27002 gefordert werden. Da es sich um das einizige offizielle Dokument mit konkreten Risikomanagementmaßnahmen handelt, werden auch die österreichischen Behörden sich bei ihren Prüfverfahren an diesem orientieren. Die Ergebnisse der CSP Arbeitsgruppe vom 1. Halbjahr 2024 sind ebenfalls von den österreichischen Behörden in die Erarbeitung der DVO eingebracht worden. Es ist daher davon auszugehen, dass die darin beschriebenen Kriterien sehr genau die Erwartungshaltung der zukünftigen NIS2-Prüfungen wiedergeben.
Cyber Trust gibt jedenfalls eine Aktualitäts- und Vollständigkeitsgarantie: sollten sich offizielle Kriterien und Anforderungen ändern, so wird dies zeitnahe in den Kriterien für das Platinum Label nachgezogen und aktualisiert.
Grundsätzlich verpflichtet sich jede Organisation, die sich einem KSV1870 Cyber Risk Rating oder einem Platinum Assessment unterzieht, einem allfälligen Überprüfungs-Audit zuzustimmen. Überprüfungs-Audits können notwendig werden, wenn es einen schwerwiegenden Sicherheitsvorfall bei einer gerateten Organisation gegeben hat oder wenn es Verdachtsmomente zu Missbrauch oder Falschinformationen gibt. Weiters können Überprüfungs-Audits stichprobenartig ohne Angabe von Gründen durchgeführt werden.
Wenn bei einem Überwachungsaudit eine starke Abweichung festgestellt wird, so wird das Rating zurückgezogen. Dabei erlischt auch das Nutzungsrecht des Cyber Trust Labels und dieses muss innerhalb von Monatsfrist von allen Unterlagen der Organisation entfernt werden. Erst nach erneutem (erfolgreichem) Durchlaufens der Ratings (frühestens nach 6 Monaten) kann das Label wieder verwendet werden.
Wenn das Cyber Risk Rating des KSV1870 bzw. der Erfüllungsgrad des Platinum Assessments nicht ausreichend für eine Qualifizierung für das Cyber Trust Label ist, so muss die Organisation (nach Durchführung der notwendigen Verbesserungsmaßnahmen) einen erneuten Antrag stellen und den Cyber Risk Rating Prozess erneut durchlaufen. Wenn dies innerhalb von 6 Monaten nach dem ersten Durchlauf passiert, wird dies vergünstigt angeboten.
Das Cyber Trust Label wird von der CTS Cyber Trust Services GmbH in Zusammenarbeit mit dem Kompetenzzentrum Sicheres Österreich ausgegeben. Die Durchführung des zugrunde liegenden Cyber Risk Ratings – und somit die eigentliche Bewertung - erfolgt durch den KSV1870 bzw. beim Platinum Label durch Cyber Trust Services selbst.
Ja, das Cyber Trust Label ist ein geschütztes eingetragenes Markenzeichen in Österreich und in der EU. Missbrauch wird zivilrechtlich geahndet.
Bei Unstimmigkeiten dient das Cyber Risk Advisory Board als Eskalations- und Beschwerdeinstanz.
Die Bestellung erfolgt mittels Online-Beantragung Die Bezahlung wird per Rechnung durchgeführt.