Werbung

CyberRisk Manager hilft bei NIS-2-Umsetzung

NIS-2 bringt neue Pflichten für Unternehmen und Lieferanten. Der CyberRisk Manager von KSV1870 könnte helfen – wir zeigen, wie.
03.03.2026, 09:16

Hören Sie sich diesen Artikel an

Um diesen Artikel hören zu können, brauchen Sie ein KURIER Abo.

Merkliste

Hier können Sie interessante Artikel speichern, um sie später zu lesen und wiederzufinden.

Eine Frau tippt auf einem Laptop-Computer.

Dass die Einrichtungen der kritischen Infrastruktur von NIS-2 direkt betroffen sind, ist soweit keine Neuigkeit mehr. Schließlich gibt es die entsprechende EU-Richtlinie schon länger und mit einem Jahr Verzögerung ist im November 2025 in Österreich nun auch das nationale Gesetz verabschiedet worden. Aber auch große Unternehmen mit einer hohen Anzahl von Lieferanten sind gut beraten, das Sicherheitsniveau an die NIS-2-Anforderungen anzupassen. Vielen Betrieben und Einrichtungen stellt sich nun die Frage, wie sie die Informationen, ob ihre Lieferanten den Anforderungen entsprechen oder nicht, verwalten sollen. Hier setzt der CyberRisk Manager des KSV1870 an. Die Businesslösung ist eine praktische Möglichkeit, um jederzeit den Überblick zu bewahren. 

Lieferantenmanagement einfach gemacht

Beim CyberRisk Manager handelt es sich um eine Plattform, in der die eigenen Lieferanten geführt werden und Nachweise verschiedenster Anbieter hinterlegt sind. Das Unternehmen kann seine Lieferanten aber auch direkt kontaktieren, um sie zur Beauftragung eines CyberRisk Ratings einzuladen. Optimalerweise wird dies im Vorfeld von den Vertragspartnern besprochen, damit der Prozess effizient und schnell abgeschlossen werden kann. Kern der Lösung ist also die Darstellung der Nachweise, die ein wesentlicher Aspekt des NIS-2-Gesetzes sind. Denn für den Gesetzgeber zählt nicht nur die Umsetzung von Sicherheitsmaßnahmen, sondern auch ein entsprechender Beleg. Er dient der internen Sicherheit, schützt Geschäftsführer in Bezug auf persönliche Haftung und gilt als Dokumentation gegenüber Aufsichtsbehörden bzw. Geschäftspartnern.

Dashboard-Ansicht des CyberRisk Managers mit Übersicht zu Lieferantenbewertungen und Ratings.

Behalten Sie den Überblick: Der CyberRisk Manager zeigt auf einen Blick, welche Lieferanten die NIS-2-Anforderungen erfüllen.

CyberRisk Ratings für jeden Bedarf

Wer also in Zukunft mit den von NIS-2 unmittelbar betroffenen Unternehmen noch zusammenarbeiten möchte, ist gut beraten, seine Cybersicherheit prüfen zu lassen. Doch die Zeit läuft, denn nach Ablauf der neunmonatigen Übergangsfrist am 1. Oktober 2026 sollten die Anforderungen erfüllt sein. Zu bedenken gilt es auch, dass Auftraggeber die Sicherheitsstandards der gesamten Lieferkette festlegen können. Das CyberRisk Rating ist in drei Varianten verfügbar: ein A, ein B oder ein A+-Rating. Sie basieren auf dem Cyber-Risk-Schema (25 Anforderungen) des KSÖ (Kompetenzzentrum Sicheres Österreich) und werden jährlich von führenden IT-Sicherheitsverantwortlichen österreichischer Großunternehmen entsprechend dem Stand der Technik aktualisiert. Ein perfektes B-Rating bedeutet, dass ein Basis-Cyber-Schutzniveau (14 erfüllte Anforderungen) vorhanden ist. Das A-Rating bedeutet, dass alle 25 Anforderungen des KSÖ bewertet werden – auch jene, die oft mit hohen Kosten verbunden sind. Bei „A+“ erstellt zusätzlich ein Audit-Partner einen Bericht über die bewertete Organisation und erhöht so die Zuverlässigkeit noch weiter.

Vergleich der CyberRisk Ratingmodelle B, A und A+ mit jeweiligen Anforderungen und Merkmalen.

Vom Basis- bis zum Premium-Schutz: Die CyberRisk Ratings B, A und A+ decken unterschiedliche Sicherheitsniveaus nach KSÖ-Standard ab.

Ein CyberRisk Rating by KSV1870 zeigt Geschäftspartnern, dass das eigene Unternehmen hinsichtlich Cybersicherheit ein verlässlicher Partner ist. Doch es kann noch einiges mehr:

1. behördlich anerkannt: Die Anforderungen des KSÖ Cyber Risk Schemas wurden von führenden Cyber-Risk-Managern aus allen Sektoren der kritischen Infrastruktur, sowie Vertretern namhafter österreichischer Unternehmen definiert. Somit ist das Rating für jede Branche und jeden Wirtschaftssektor geeignet. Es erfüllt laut der österreichischen operativen NIS-Behörde (BMI) die Anforderungen des NIS-Gesetzes für Lieferantenrisiken.

2. fünfundzwanzig Fragen: Das CyberRisk Rating basiert auf 25 praxisnahen Fragen, die für Sie mit wenig Aufwand zu beantworten sind. Das Assessment benötigt einen Werktag und besteht aus zwei Teilbereichen: Es muss für jede Anforderung des Cyber-Risk-Schemas angegeben werden, ob die Anforderung erfüllt wird (Ja/Nein). Wenn Ja, müssen die Organisationen zu jeder Frage eine Beschreibung abgeben, wie die Anforderung erfüllt ist und welche Evidenzen im Bedarfsfall vorgelegt werden können.

3. einfach interpretierbar: Jedes CyberRisk Rating wird auf einer Skala von 100 bis 700 dargestellt.

Einstufung:

  • Beste Einstufung: 100
  • Schlechteste Einstufung: 700
  • Keine Einstufung möglich: 000

Im Ergebnis wird ein B, A (bzw. A+)-Rating vergeben. Im Zweifel fragen Sie Ihren IT-Sicherheitsverantwortlichen, ob ein A-Rating für den jeweiligen Lieferanten notwendig ist.

4. schnell erledigt: Sobald ein CyberRisk Rating für Ihr Unternehmen beauftragt wird (von Ihnen oder Ihrem Geschäftspartner), erhalten Sie eine E-Mail mit einem Einladungslink zum Online-Assessment. Es besteht aus jenen 25 Fragen, die mit Ja oder Nein zu beantworten sind. Im Falle einer Ja-Antwort muss diese, wie bereits erwähnt, begründet werden. Nachdem Sie Ihr Assessment abgeschlossen haben, werden Ihre Antworten professionell überprüft, eventuelle Rückfragen geklärt und das Rating berechnet.

5. transparent und sicher: Die im CyberRisk Rating gestellten Anforderungen sind jederzeit öffentlich einsehbar. Somit können Sie sich bereits informieren, bevor Sie mit dem Assessment beginnen. Ihren Kunden wird ausschließlich das Rating weitergegeben. Sie behalten die Kontrolle über Ihre Daten, denn Ihre Antworten werden zwei Wochen nach Abschluss des Ratings wieder aus dem System gelöscht.

6. international einsetzbar: Mit dem Cyber-Risk-Schema des KSÖ können Einzelratings für beliebige Lieferanten weltweit erstellt werden. Der Ratingprozess sowie auch die Anforderungen sind auf Deutsch und Englisch verfügbar, um all Ihre Lieferanten weltweit bei der Bewertung abzudecken.

7. stets up to date: Die Anforderungen des CyberRisk Ratings werden jedes Jahr vom Cyber Risk Advisory Board gepflegt und optimiert, um einen immer aktuellen Sicherheitsstandard zu gewährleisten. Dadurch stellen wir fortlaufend die Anpassung an behördliche Erfordernisse sicher. Aus diesem Grund ist das Rating jeweils ein Jahr gültig.

8. dem Wettbewerb voraus: Seien Sie proaktiv und zeigen Sie Ihr Rating potenziellen Kunden. Damit belegen Sie, dass Sie ein sicherer Geschäftspartner sind und NIS-konform agieren. Falls bei Ausschreibungen im Zuge der EU-weiten NIS2-Einführung ab Oktober 2024 ein IT-Sicherheitsnachweis von Ihnen verlangt wird, sind Sie bereits vorbereitet und stechen positiv aus der Masse hervor.

Werbung, KSV1870  |