Frequently Asked Questions (FAQ)

Wer kann ein Cyber Trust Label erhalten?
Das Cyber Trust Label kann von jeder Organisation, die in Österreich tätig ist, angefordert werden. Voraussetzung für die Vergabe ist die Erfüllung der Mindestkriterien beim Cyber Risk Rating.
Wie werden die Angaben der Organisation sichergestellt?
Beim Cyber Trust Label Gold erfolgt ein Audit durch einen qualifizierten Auditor, der gemäß §18 NIS-Gesetz (BGBL Nr. 111/2018) als qualifizierte Stelle zugelassen ist. Beim Cyber Trust Standard Label erfolgt eine Validierung der Angaben in der Selbstdeklaration auf Vollständigkeit und Plausibilität durch die CTS Cyber Trust Services GmbH. Weiters verpflichtet sich die Label-werbende Organisation, die angegebenen Evidenzen vorzuhalten und auf Anfrage bereitzustellen (zB. bei einem Überprüfungsaudit). Vorsätzliche oder grob fahrlässige Falschangaben führen zum Entzug des Labels.
Erfolgen technische Tests im Rahmen der Bewertung?
Es wird ein automatisierter Websicherheits-Score erhoben. Dies erfolgt ausschließlich mit nicht intrusiven Methoden. Die Sicherheit und Stabilität der Systeme des bewerteten Unternehmens sind dadurch zu keiner Zeit gefährdet. Es findet kein Penetration Test im Rahmen der Labelvergabe statt. Die Durchführung von Penetration Tests sind jedoch Teil der Anforderungskriterien des B- und A-Ratings und werden somit durch das Schema eingefordert.
Mit welchem Arbeitsaufwand müssen Organisationen für das Cyber Trust Label rechnen?
Beim dem Standard Label zugrundeliegenden B-Rating ist mit einem Aufwand von 1-2 Stunden für die Beantwortung der Fragen zu rechnen. Beim dem Gold Label zugrundeliegenden A-Rating ist aufgrund des Audits mit etwa einem Tag Aufwand zu rechnen. Diese Angaben sind jedoch nur indikativ zu sehen und setzen voraus, dass die geforderten Anforderungen bereits erfüllt sind und notwendige Evidenzen vorliegen.
Wie sicher sind Organisationen mit dem Cyber Trust Label?
Das Cyber Risk Rating Schema orientiert sich an gängigen Sicherheitsstandards, die von führenden Sicherheitsexperten erarbeitet wurden. Dafür werden nach bester Sorgfalt die im Cyber Risk Rating Schema beschriebenen Prüfmechanismen eingesetzt. Eine Organisation, welche das Cyber Trust Label trägt, zeigt damit, dass sie Cybersicherheit ernst nimmt und wesentliche Sicherheitsmaßnahmen umgesetzt hat. Kein Bewertungsschema und keine Zertifizierung kann jedoch Cybersicherheit garantieren oder ausschließen, dass es zu möglichen Sicherheitsvorfällen kommen kann.
Was ist der Unterschied zwischen dem Cyber Trust Label und einer ISO 27000 Zertifizierung?
Das Cyber Trust Label ist ein Gütesiegel auf Basis eines definierten Schemas (der Cyber Risk Rating Schema Policy des KSÖ). Es handelt sich hierbei nicht um eine Zertifizierung. Ein weiterer Unterschied ist die Ausrichtung der Bewertung: ISO 27000 zielt auf das Vorhandensein eines Managementsystems für Informationssicherheit ab, das Cyber Risk Rating hingegen bewertet das konkrete Vorhandensein bestimmter Sicherheitsmaßnahmen.
Was passiert, wenn eine Organisation mit Label einen Sicherheitsvorfall hat?
Grundsätzlich verpflichtet sich jede Organisation, die sich einem KSV1870 Cyber Risk Rating unterzieht, einem allfälligen Überprüfungs-Audit zuzustimmen. Überprüfungs-Audits können notwendig werden, wenn es einen schwerwiegenden Sicherheitsvorfall bei einer gerateten Organisation gegeben hat oder wenn es Verdachtsmomente zu Missbrauch oder Falschinformationen gibt. Weiters können Überprüfungs-Audits stichprobenartig ohne Angabe von Gründen durchgeführt werden.
Wann kommt es zu einem Entzug des Cyber Trust Labels?
Wenn bei einem Überwachungsaudit eine starke Abweichung festgestellt wird, so wird das Rating zurückgezogen. Dabei erlischt auch das Nutzungsrecht des Cyber Trust Labels und dieses muss innerhalb von Monatsfrist von allen Unterlagen der Organisation entfernt werden. Erst nach erneuter (erfolgreicher) Durchlaufung der Ratings (frühestens nach 6 Monaten) kann das Label wieder verwendet werden.
Wie lange gilt das Cyber Trust Label?
Das Cyber Trust Label wird jeweils für ein Jahr vergeben und kann danach erneuert werden, sofern die Anforderungen weiterhin erfüllt sind.
Was passiert wenn sich eine Organisation nicht qualifiziert?
Wenn das Cyber Risk Rating des KSV1870 nicht ausreichend für eine Qualifizierung für das Cyber Trust Label ist, so muss die Organisation (nach Durchführung der notwendigen Verbesserungsmaßnahmen) einen erneuten Antrag stellen und den Cyber Risk Rating Prozess erneut durchlaufen. Wenn dies innerhalb von einem Jahr ab der ersten Antragstellung erfolgt, wird die Label-Vergabegebühr angerechnet.
Wer vergibt das Cyber Trust Label?
Das Cyber Trust Label wird von der CTS Cyber Trust Services GmbH in Zusammenarbeit mit dem Kuratorium Sicheres Österreich ausgegeben. Die Durchführung des zugrunde liegenden Cyber Risk Ratings – und somit die eigentliche Bewertung - erfolgt durch den KSV1870.
Ist das Cyber Trust Label urheberrechtlich geschützt?
Ja, das Cyber Trust Label ist ein geschütztes eingetragenes Markenzeichen. Missbrauch wird zivilrechtlich geahndet.
Wie werden Unstimmigkeiten zum Cyber Trust Label geklärt?
Bei Unstimmigkeiten fungiert das Cyber Risk Management Board als Eskalations- und Beschwerdeinstanz. ( Link Governance Modell)