Gradient

Anleitung für Lieferantenrisikomanagement

Gemäß §17 NIS-Gesetz (BGBL I Nr. 111/2018) müssen Betreiber wesentlicher Dienste geeignete technische und organisatorische Sicherheitsvorkehrungen auch bei ihren Lieferanten sicherstellen können. Zukünftig wird dies auf Basis der im Mai 2022 beschlossenen europaweiten NIS 2-Directive auch für viele weitere Unternehmen (sogenannte „Betreiber wichtiger Dienste“) mit mehr als 50 Mitarbeitern gelten. 

Die österreichische NIS-Behörde (Behörde für Cybersicherheit) rechnet mit mehreren tausend betroffenen Unternehmen aus den Sektoren (Auszug):

  • Energie
  • Bankwesen & Finanzmarktinfrastrukturen
  • Gesundheitswesen Digitale Infrastruktur
  • IT Services & Management
  • Öffentliche Verwaltung
  • Straßen- und Schienenverkehr
  • Post- und Kurierdienste
  • Luft- und Weltraumfahrt
  • Wasserwirtschaft
  • Abfallwirtschaft
  • Herstellung, Produktion und Vertrieb von Chemikalien
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Forschungsorganisationen
  • Fertigung (medizinische Geräte, Computer, elektronische und optische Produkte, elektrische Geräte, Maschinen, Kraftfahrzeuge, Anhänger und andere Transportmittel)
  • Digitale Anbieter (Marktplätze, Suchmaschinen, Social-Networking-Plattformen)

Diese Regelung reicht bis weit in den KMU-Bereich hinein und trifft viele Unternehmen, die bisher kein strukturiertes Lieferanten-Risikomanagement durchgeführt haben. Um diese Unternehmen zu unterstützen, hat Cyber Trust Services gemeinsam mit dem KSV1870 ein umfassendes Paket für Betreiber wesentlicher und wichtiger Dienste zusammengestellt, um ihnen den Einstieg ins Lieferanten-(Risiko)-Management so einfach wie möglich zu gestalten.

Der KSV1870 stellt dafür für alle BwD einen kostenfreien Zugang zu seiner bewährten Lieferantenmanagement-Plattform zur Verfügung, welcher folgende Funktionen zur Verfügung stellt:

  • Upload aller Lieferanten auf die Plattform
  • Erstellung eines Web-Risk-Ratings für alle Lieferanten
  • Anzeige welche der Lieferanten bereits über ein Cyber Trust Gütesiegel verfügen
  • Anzeige welche der Lieferanten über eine ISO 27001 Zertifizierung verfügen
  • Möglichkeit für Lieferanten ohne Gütesiegel bzw. Zertifizierung ein (kostenpflichtiges) Cyber Risk Rating anzufordern
  • Nutzung der Plattform für beliebig viele Nutzer im Unternehmen (zB. Einkaufsabteilung, Sicherheitsabteilung, etc.)

Weitere Informationen zur kostenfreien Nutzung der KSV1870 Lieferanten-Managementplattform finden sie hier.

Zusätzlich zur technischen Umsetzung des Lieferantenmanagements ist es auch wesentlich, einen effizienten Prozess zum Lieferantenrisikomanagement aufzusetzen, denn nicht jeder Lieferant ist gleich kritisch und nicht jeder Lieferant benötigt die gleichen Anforderungen hinsichtlich Cybersicherheit.
Hier finden sie einen Blueprint, nach welchen Eckpunkten sie einen solchen Lieferantenrisikomanagement-Prozess gestalten und aufsetzen können: