Lieferantenrisikomanagement
Gemäß §17 NIS-Gesetz (BGBL I Nr. 111/2018) müssen Betreiber wesentlicher Dienste geeignete technische und organisatorische Sicherheitsvorkehrungen auch bei ihren Lieferanten sicherstellen können. Zukünftig wird dies auf Basis der ab 17. Oktober 2024 europaweit gültigen NIS 2-Richtlinie auch für viele weitere Unternehmen (sogenannte „Betreiber wichtiger Dienste“) mit mehr als 50 Mitarbeitern gelten. Auch für alle Unternehmen aus der Finanzdienstleistungsbranche ist dies höchst relevant, denn die für sie ab 17. Januar 2025 geltende Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) fordert ebenfalls ein striktes Management von Drittdienstleistern.
Die österreichische NIS-Behörde (Behörde für Cybersicherheit) rechnet mit mehreren tausend betroffenen Unternehmen aus den Sektoren (Auszug):
- Energie
- Bankwesen & Finanzmarktinfrastrukturen
- Gesundheitswesen Digitale Infrastruktur
- IT Services & Management
- Öffentliche Verwaltung
- Straßen- und Schienenverkehr
- Post- und Kurierdienste
- Luft- und Weltraumfahrt
- Wasserwirtschaft
- Abfallwirtschaft
- Herstellung, Produktion und Vertrieb von Chemikalien
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Forschungsorganisationen
- Fertigung (medizinische Geräte, Computer, elektronische und optische Produkte, elektrische Geräte, Maschinen, Kraftfahrzeuge, Anhänger und andere Transportmittel)
- Digitale Anbieter (Marktplätze, Suchmaschinen, Social-Networking-Plattformen)
Diese Regelung reicht bis weit in den KMU-Bereich hinein und trifft viele Unternehmen, die bisher kein strukturiertes Lieferanten-Risikomanagement durchgeführt haben. Um diese Unternehmen zu unterstützen, hat Cyber Trust Services gemeinsam mit dem KSV1870 ein umfassendes Paket für Betreiber wesentlicher und wichtiger Dienste zusammengestellt, um ihnen den Einstieg ins Lieferanten-(Risiko)-Management so einfach wie möglich zu gestalten.
Der KSV1870 hat dafür eine umfassende Lieferantenmanagement-Plattform (CyberRisk Manager) entwickelt. Ihr Nutzen:
- Upload aller Lieferanten auf die Plattform
- Erstellung eines Web-Risk-Ratings für alle Lieferanten
- Anzeige welche der Lieferanten bereits über ein Cyber Trust Gütesiegel verfügen
- Anzeige welche der Lieferanten über eine ISO 27001 Zertifizierung verfügen
- Möglichkeit für Lieferanten ohne Gütesiegel bzw. Zertifizierung ein (kostenpflichtiges) Cyber Risk Rating anzufordern
- Nutzung der Plattform für beliebig viele Nutzer im Unternehmen (zB. Einkaufsabteilung, Sicherheitsabteilung, etc.)
Prozess zum Lieferantenrisikomanagement
Zusätzlich zur technischen Umsetzung des Lieferantenmanagements ist es auch wesentlich, einen effizienten Prozess zum Lieferantenrisikomanagement aufzusetzen, denn nicht jeder Lieferant ist gleich kritisch und nicht jeder Lieferant benötigt die gleichen Anforderungen hinsichtlich Cybersicherheit.
In Zusammenarbeit mit der FH Oberösterreich haben wir eine wegweisende Methode und ein innovatives Tool zur Kategorisierung und Klassifizierung von Supply Chain Partnern im Bereich Cybersicherheit erarbeitet. Dieses stellen wir ihnen gerne zur unentgeltlichen Nutzung ("as is") im eigenen Unternehmen zur Verfügung. Das Tool ist zur Verwendung unter Office 365 gedacht. Zu den Nutzungsbedingungen siehe Disclaimer im Tool.