Label beantragenGespräch buchen
ENMENU
Label BeantragenGespräch buchen
Gradient

Lieferantenrisikomanagement

Gemäß §17 NIS-Gesetz (BGBL I Nr. 111/2018) müssen Betreiber wesentlicher Dienste geeignete technische und organisatorische Sicherheitsvorkehrungen auch bei ihren Lieferanten sicherstellen können. Zukünftig wird dies auf Basis der im Mai 2022 beschlossenen europaweiten NIS 2-Directive auch für viele weitere Unternehmen (sogenannte „Betreiber wichtiger Dienste“) mit mehr als 50 Mitarbeitern gelten. 

Die österreichische NIS-Behörde (Behörde für Cybersicherheit) rechnet mit mehreren tausend betroffenen Unternehmen aus den Sektoren (Auszug):

  • Energie
  • Bankwesen & Finanzmarktinfrastrukturen
  • Gesundheitswesen Digitale Infrastruktur
  • IT Services & Management
  • Öffentliche Verwaltung
  • Straßen- und Schienenverkehr
  • Post- und Kurierdienste
  • Luft- und Weltraumfahrt
  • Wasserwirtschaft
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Forschungsorganisationen
  • Fertigung (medizinische Geräte, Computer, elektronische und optische Produkte, elektrische Geräte, Maschinen, Kraftfahrzeuge, Anhänger und andere Transportmittel)
  • Digitale Anbieter (Marktplätze, Suchmaschinen, Social-Networking-Plattformen)

Diese Regelung reicht bis weit in den KMU-Bereich hinein und trifft viele Unternehmen, die bisher kein strukturiertes Lieferanten-Risikomanagement durchgeführt haben. Um diese Unternehmen zu unterstützen, hat Cyber Trust Services gemeinsam mit dem KSV1870 ein umfassendes Paket für Betreiber wesentlicher und wichtiger Dienste zusammengestellt, um ihnen den Einstieg ins Lieferanten-(Risiko)-Management so einfach wie möglich zu gestalten.

Der KSV1870 stellt dafür für alle Betreiber wesentlicher Dienste einen kostenfreien Zugang zu seiner bewährten Lieferantenmanagement-Plattform zur Verfügung. Ihr Nutzen:

  • Upload aller Lieferanten auf die Plattform
  • Erstellung eines Web-Risk-Ratings für alle Lieferanten
  • Anzeige welche der Lieferanten bereits über ein Cyber Trust Gütesiegel verfügen
  • Anzeige welche der Lieferanten über eine ISO 27001 Zertifizierung verfügen
  • Möglichkeit für Lieferanten ohne Gütesiegel bzw. Zertifizierung ein (kostenpflichtiges) Cyber Risk Rating anzufordern
  • Nutzung der Plattform für beliebig viele Nutzer im Unternehmen (zB. Einkaufsabteilung, Sicherheitsabteilung, etc.)

Prozess zum Lieferantenrisikomanagement

Zusätzlich zur technischen Umsetzung des Lieferantenmanagements ist es auch wesentlich, einen effizienten Prozess zum Lieferantenrisikomanagement aufzusetzen, denn nicht jeder Lieferant ist gleich kritisch und nicht jeder Lieferant benötigt die gleichen Anforderungen hinsichtlich Cybersicherheit.

In Zusammenarbeit mit der FH Oberösterreich haben wir eine wegweisende Methode und ein innovatives Tool zur Kategorisierung und Klassifizierung von Supply Chain Partnern im Bereich Cybersicherheit erarbeitet. Dieses stellen wir ihnen gerne zur unentgeltlichen Nutzung ("as is") im eigenen Unternehmen zur Verfügung. Das Tool ist zur Verwendung unter Office 365 gedacht. Zu den Nutzungsbedingungen siehe Disclaimer im Tool.

LieferantenrisikomanagementLieferantenrisikomanagement