CyberRisk Rating
Alles, was sie über das CyberRisk Rating by KSV1870 wissen müssen.
Everything you need to know about the CyberRisk Rating by KSV1870.
- Allgemeine Informationen | General information
- Über uns | About us
- Häufig gestellte Fragen | Frequently asked questions
- Überprüfung der PDF-Integrität | Verification of PDF Integrity
- CyberRisk Rating
- CyberRisk Manager
- Risikominimierung | Risk management
- Auditor View
- Renew Assessment - Upload JSON File
Allgemeine Informationen | General information
Über uns | About us
English version down below
Inhaltsverzeichnis
- Allgemeines
- Für kritische Infrastrukturen & Unternehmen
- Für bewertete Unternehmen
Allgemeines
Das CyberRisk Rating von KSV1870 wurde im Jahr 2020 entwickelt. Das Konzept wurde vom Kompetenzzentrum Sicheres Österreich in Zusammenarbeit mit CISOs, DPOs und Managern aus kritischen Infrastrukturen, Regierung und Industrie entwickelt, um einen Standard für die Bewertung zu entwickeln. Die Anforderungen des Cyber-Risikoschemas wurden von führenden Cyber-Risikomanagern aus allen Bereichen der kritischen Infrastruktur sowie Vertretern bekannter österreichischer Unternehmen definiert - das Rating ist daher für jede Branche und jeden Wirtschaftsbereich geeignet. Ziel ist es, ein höheres Maß an IT-Sicherheit in der gesamten EU zu gewährleisten und digitale Risiken in Lieferketten zu identifizieren. Das öffentlich und frei zugängliche Schema wird vom Cyber Risk Advisory Board jährlich aktualisiert und überarbeitet, um schnell auf neue Anforderungen aus der Praxis oder der ausführenden NIS-Behörde (BMI) reagieren zu können. Diese Standards bilden die Grundlage des CyberRisk Ratings von KSV1870.
Die DSGVO und die EU-NIS-Richtlinie verlangen von allen Organisationen, insbesondere von Betreibern wesentlicher Dienste, ein Cyber-Risikomanagement für Lieferanten und Dritte. Das CyberRisk Rating von KSV1870 stellt einen standardisierten Prozess dar, um diese Anforderungen zu erfüllen. Cyber-Risiken in globalen Lieferketten werden transparent und können gezielt reduziert werden.
Das CyberRisk Rating von KSV1870 ist in zwei Bereiche unterteilt:
Einerseits eine Plattform für das Cyber-Risikomanagement für alle Lieferanten weltweit für kritische Infrastrukturen und Unternehmen und andererseits ein effizienter Bewertungsprozess für bewertete Unternehmen.
Für kritische Infrastrukturen & Unternehmen
Das CyberRisk Rating von KSV1870 bietet Ihnen ein einheitliches System, um die Anforderungen des EU-NIS-Gesetzes und der DSGVO für Lieferanten zu erfüllen.
Das CyberRisk Rating von KSV1870 verwendet drei grundlegende Prozesse zur Bewertung globaler Lieferantenbasen:
-
Die Bewertung öffentlicher IT-Sicherheitsdaten für alle Lieferanten Ihrer Organisation,
-
Die validierte CyberRisk Rating-Bewertung gemäß dem KSÖ Cyber Risk Schema auf der Grundlage direkter Informationen von Lieferanten und falls erforderlich:
-
Audits der CyberRisk-Bewertungen durch Drittauditoren.
Für bewertete Unternehmen
Unsere Lösung bietet zwei Bewertungstiefen: Zunächst erstellt der automatisierte Web Risk Indikator eine Basislinie für alle Ihre Lieferanten. Anschließend entscheiden Sie, welche Lieferanten für den Bewertungsprozess ausgewählt werden, der zu einer vollständigen A+- oder B-Bewertung führt.
Sobald eine CyberRisk-Bewertung für Ihr Unternehmen angefordert wird, erhalten Sie eine E-Mail mit dem Einladungslink zur Bewertung. Ihre Cyber-Risikobewertung besteht aus 25 Ja/Nein-Fragen. Wenn Sie mit "Ja" antworten, beschreiben Sie bitte die Umsetzung der Anforderung in Ihrer Organisation. Nach der Bewertung werden Ihre Antworten von einem IT-Sicherheitsexperten validiert.
Es kann vorkommen, dass die Validierung eine oder mehrere Ihrer Antworten als unklar einstuft. In diesem Fall werden wir Ihnen Feedback geben und um weitere Details bitten. Sie erhalten dann eine Benachrichtigung von uns. Sie haben die Möglichkeit, Ihre Antworten einmal zu korrigieren. Anschließend wird Ihre Bewertung erneut validiert, was zur endgültigen Bewertung führt.
Als letzten Schritt können Sie auswählen, welche CyberRisk-Bewertung für Ihr Unternehmen veröffentlicht werden soll - A (erweiterte Anforderungen) oder B (Grundanforderungen)? Um Ihnen die Auswahl zu erleichtern, wird eine Empfehlung angezeigt. Nachdem Sie die gewünschte Bewertung ausgewählt haben, ist der Prozess abgeschlossen. Ihre CyberRisk-Bewertung ist ein Jahr lang gültig.
English version:
Table of contents
- General Information
- For Critical Infrastructures & Companies
- For Rated Companies
General Information
The CyberRisk Rating by KSV1870 was developed in 2020. The concept was created by the Secure Austria Competence Center in collaboration with CISOs, DPOs, and managers from critical infrastructures, government, and industry to develop a standard for assessment. The requirements of the cyber risk scheme were defined by leading cyber risk managers from all areas of critical infrastructure as well as representatives of well-known Austrian companies - the rating is therefore suitable for every industry and economic sector. The goal is to ensure a higher level of IT security throughout the EU and to identify digital risks in supply chains. The publicly and freely accessible scheme is updated and revised annually by the Cyber Risk Advisory Board to respond quickly to new requirements from practice or the executing NIS authority (BMI). These standards form the basis of the CyberRisk Rating by KSV1870.
The GDPR and the EU NIS Directive require all organizations, especially operators of essential services, to implement cyber risk management for suppliers and third parties. The CyberRisk Rating by KSV1870 provides a standardized process to meet these requirements. Cyber risks in global supply chains become transparent and can be specifically reduced.
The CyberRisk Rating by KSV1870 is divided into two areas:
On one hand, a platform for cyber risk management for all suppliers worldwide for critical infrastructures and companies, and on the other hand, an efficient assessment process for rated companies.
For Critical Infrastructures & Companies
The CyberRisk Rating by KSV1870 offers you a unified system to meet the requirements of the EU NIS Act and GDPR for suppliers.
The CyberRisk Rating by KSV1870 uses three fundamental processes to assess global supplier bases:
- The assessment of public IT security data for all suppliers of your organization,
- The validated CyberRisk Rating assessment according to the KSÖ Cyber Risk Scheme based on direct information from suppliers, and if necessary:
- Audits of CyberRisk assessments by third-party auditors.
For Rated Companies
Our solution offers two levels of assessment: Initially, the automated Web Risk Indicator creates a baseline for all your suppliers. Then, you decide which suppliers will be selected for the assessment process, leading to a full A+ or B rating.
Once a CyberRisk assessment for your company is requested, you will receive an E-Mail with the invitation link to the assessment. Your cyber risk assessment consists of 25 yes/no questions. If you answer "yes," please describe the implementation of the requirement in your organization. After the assessment, your answers will be validated by an IT security expert.
It may happen that the validation considers one or more of your answers as unclear. In this case, we will provide feedback and ask for further details. You will then receive a notification from us. You have the opportunity to correct your answers once. Your assessment will then be re-validated, leading to the final rating.
As the last step, you can choose which CyberRisk rating for your company should be published - A (advanced requirements) or B (basic requirements). To help you make the selection, a recommendation will be displayed. After you select the desired rating, the process is completed. Your CyberRisk rating is valid for one year.
Häufig gestellte Fragen | Frequently asked questions
English version down below
Kontaktdaten für Fragen: KSV1870 Nimbusec GmbH | office@nimbusec.com | +43 (732) / 860 626 | Kaisergasse 16b, 4020 Linz
Inhaltsverzeichnis
-
Welche Vorteile haben Kunden?
- Was kostet das CyberRisk Rating von KSV1870?
- Wo kann das CRR verwendet werden?
- Warum erhalte ich eine Anfrage für ein CyberRisk Rating?
- Wie funktioniert der CyberRisk Rating-Prozess?
- Gibt es eine Frist, bis zu der eine Bewertung eingereicht werden muss?
- Ist es möglich, dass mehr als eine Person an der Bewertung arbeitet?
- Muss die Bewertung auf einmal abgeschlossen werden?
- Erhalte ich meine Antworten, einschließlich einer Bewertung später?
- Wer bekommt sonst noch die Antworten?
- Müssen die Antworten für jeden Kunden bereitgestellt werden?
- Werden die Antworten vorübergehend gespeichert?
- Wie wird die Vertraulichkeit meiner eigenen Informationen gewährleistet?
Welche Vorteile haben Kunden?
Nutzer des CyberRisk Ratings von KSV1870 erhalten einen standardisierten Prozess zur Bewertung aller Dienstleister, Lieferanten und anderer Dritter in Bezug auf ihre Cyber-Sicherheit. Bewertete Unternehmen erhalten einen effizienten, objektiven Prozess, der nur einmal im Jahr durchgeführt werden muss, um ihr Cyber-Risiko allen interessierten Kunden offenzulegen. Durch den veröffentlichten Standard des "Kompetenzzentrums Sicheres Österreich" können bewertete Unternehmen ihr Cyber-Risikomanagement positiv beeinflussen. Alle Unternehmen erhalten kostenlos eine Richtlinie, um ihr eigenes Cyber-Risiko gezielt und strukturiert zu reduzieren. Diese Richtlinie wird kontinuierlich von Österreichs anerkanntesten Experten gepflegt und an neue technische Anforderungen angepasst. Die österreichische Wirtschaft wird widerstandsfähiger, indem das Cyber-Risiko ihrer Lieferketten reduziert wird. Dies bildet die Grundlage für die notwendige Digitalisierung, um unsere internationale Wettbewerbsfähigkeit zu erhalten.
Was kostet das CyberRisk Rating von KSV1870?
Unternehmen, die bewertet werden, müssen keine Kosten tragen. Derzeit wird das CyberRisk Rating nur für große Unternehmen und kritische Infrastrukturen angeboten. Wenn Sie an weiteren Informationen interessiert sind, beantworten wir gerne Ihre Fragen.
Wo kann das CRR verwendet werden?
Das CyberRisk Rating von KSV1870 basiert auf den Anforderungen des Cyber-Risiko-Schemas des "Kompetenzzentrums Sicheres Österreich". Diese Anforderungen wurden von führenden Cyber-Risiko-Managern österreichischer Unternehmen aus allen Bereichen der kritischen Infrastruktur sowie Vertretern des Bundesministeriums für Inneres definiert. Das CyberRisk Rating kann daher in jeder Branche und jedem Wirtschaftssektor verwendet werden, in denen eine Bewertung des Cyber-Risikos von Unternehmen - insbesondere von Lieferanten - erforderlich ist.
Vorwiegend sind Betreiber wesentlicher Dienste gemäß § 11 Abs. 1 (2) in Verbindung mit Anhang 1 NISV gesetzlich verpflichtet, angemessene Sicherheitsvorkehrungen im Umgang mit Dienstleistern, Lieferanten und anderen Dritten zu treffen. Das vorliegende CyberRisk Rating von KSV1870 zielt darauf ab, diese Anforderung zu erfüllen (Überwachung von Lieferanten einer Energiegruppe oder eines Flughafens), ersetzt jedoch nicht den notwendigen Nachweis eines Betreibers wesentlicher Dienste gemäß § 17 Abs. 3 NISG (= umfassende Prüfung eines Betreibers wesentlicher Dienste, wie z. B. einer Energiegruppe oder eines Flughafens selbst).
Warum erhalte ich eine Anfrage für ein CyberRisk Rating?
Cyber-Risiken wie IT-Sicherheit, Datenschutz und Geschäftskontinuität gewinnen aufgrund der Digitalisierung zunehmend an Bedeutung. Mit dem CyberRisk Rating bietet KSV1870 einen transparenten, zeitsparenden Prozess zur Bewertung von Unternehmen in diesen Dimensionen an. Diese Bewertung ist oft aufgrund der DSGVO oder des NIS-Gesetzes erforderlich.
Als bewertetes Unternehmen tragen Sie keine Kosten und erhalten ein objektives Bild Ihres eigenen Cyber-Risikos.
Wie funktioniert der CyberRisk Rating-Prozess?
Die Bewertung besteht aus einer Beurteilung basierend auf 25 Anforderungen des öffentlich zugänglichen KSÖ Cyber Risk Schema. Informationen zum KSÖ Cyber Risk Schema finden Sie unter https://www.kuratorium-sicheres-oesterreich.at. Nach Abschluss der Bewertung werden die positiv beantworteten Anforderungen von einem unabhängigen Experten überprüft. Dieser Experte weiß nicht, welches Unternehmen bewertet wird.
Gibt es eine Frist, bis zu der eine Bewertung eingereicht werden muss?
Ja, nach der Einladung müssen Sie die Bewertung innerhalb von 14 Tagen abschließen. Wenn Sie mehr Zeit benötigen, um die Fragen zu beantworten, kontaktieren Sie bitte das CyberRisk-Service-Team unter cr@nimbusec.com
Ist es möglich, dass mehr als eine Person an der Bewertung arbeitet?
Jeder, der über ein Benutzerkonto mit Berechtigungen für das CyberRisk-Portal unter dem Firmenkonto verfügt, kann die Bewertung durchführen. Allerdings gilt nur die erste Person, die mit dem Ausfüllen der Bewertung beginnt, als Ansprechpartner für die Bewertung.
Müssen Sie die Bewertung auf einmal abschließen?
Nein. Es ist wichtig, gut auf die Antworten auf die Anforderungen vorbereitet zu sein oder sie gut zu überdenken.
Dies erleichtert und beschleunigt auch den Überprüfungsprozess. Je genauer eine erfüllte Anforderung beschrieben ist, desto weniger Fragen wird der Prüfer stellen müssen.
Die Anforderungen und Fragen für die Bewertung werden vom Kuratorium Sicheres Österreich (KSÖ) veröffentlicht und können dort heruntergeladen / eingesehen werden: CRR-Schema-Policy-2020
Erhalte ich meine Antworten, einschließlich einer Bewertung später?
Ja. Nach Abschluss der Bewertung müssen Sie einen Report herunterladen und aufbewahren, das aus den Details der Bewertung besteht. Der Report wird folgende Informationen enthalten:
- CyberRisk Rating-Zertifikat + Signatur
- Vollständige Details zur CyberRisk Rating-Bewertung, einschließlich der Antworten des Prüfers + Signatur.
- Details zur CyberRisk Rating-Bewertung ohne Antworten des Prüfers + Signatur
Wer bekommt sonst noch die Antworten?
Die Bewertung selbst kann von allen Kunden erworben werden. Es wird nur die Bewertungsnote angezeigt. Der Kunde kann jedoch die Details der Bewertung anfordern. Hier können Sie individuell entscheiden, ob die angeforderten Daten freigegeben werden oder nicht.
Müssen die Antworten für jeden Kunden bereitgestellt werden?
Nein. Sie müssen die Bewertung nur für die erste Anfrage eines Kunden und maximal einmal im Jahr abschließen.
Werden die Antworten vorübergehend gespeichert?
Sie können sich die Zeit nehmen, die Sie benötigen, um die Bewertung zu beantworten. Klicken Sie auf "Speichern und fortfahren", um die Antwort vorübergehend zu speichern. Sie können dann das Browserfenster schließen oder sich ausloggen und zu einem späteren Zeitpunkt fortfahren.
Wie wird die Vertraulichkeit meiner eigenen Informationen gewährleistet?
Die Vertraulichkeit wird dadurch sichergestellt, dass Nimbusec Ihre Daten niemals an Dritte weitergibt. Im Rahmen des Bewertungsprozesses sind alle beauftragten Datenverarbeiter zur Wahrung der Vertraulichkeit verpflichtet. Im Gegensatz zu üblichen Fragebögen erhalten Nimbusec-Kunden nur das CyberRisk Rating ohne weitere Details. Im Falle einer externen Prüfung oder einer Anfrage von unserem Kunden entscheiden Sie, ob Sie Ihre Daten an den Prüfer oder unseren Kunden weitergeben möchten. Wenn ja, liefert das CyberRisk Rating ein standardisiertes, maschinenlesbares Datenset, das effizient verarbeitet werden kann. Wenn nicht, können Sie auf das validierte CyberRisk Rating verweisen.
English version:
Contact information for questions: KSV1870 Nimbusec GmbH | office@nimbusec.com | +43 (732) / 860 626 | Kaisergasse 16b, 4020 Linz
Table of contents
- What are the benefits for customers?
- What does the CyberRisk Rating by KSV1870 cost?
- Where can the CRR be used?
- Why am I receiving a request for a CyberRisk Rating?
- How does the CyberRisk Rating process work?
- Is there a deadline for submitting an assessment?
- Is it possible for more than one person to work on the assessment?
- Does the assessment need to be completed in one session?
- Will I receive my answers, including a rating, later?
- Who else gets the answers?
- Do the answers need to be provided for each customer?
- Are the answers temporarily stored?
- How is the confidentiality of my information ensured?
What are the benefits for customers?
Users of the CyberRisk Rating by KSV1870 get a standardized process to assess all service providers, suppliers, and other third parties in terms of their cyber security. Rated companies receive an efficient, objective process that only needs to be conducted once a year to disclose their cyber risk to all interested customers. Through the published standard of the "Secure Austria Competence Center," rated companies can positively influence their cyber risk management. All companies receive a free guideline to reduce their own cyber risk in a targeted and structured way. This guideline is continuously maintained by Austria's most recognized experts and adapted to new technical requirements. The Austrian economy becomes more resilient by reducing the cyber risk of its supply chains, which forms the basis for the necessary digitization to maintain our international competitiveness.
What does the CyberRisk Rating by KSV1870 cost?
Companies being assessed do not incur any costs. Currently, the CyberRisk Rating is only offered for large companies and critical infrastructures. If you are interested in more information, we are happy to answer your questions.
Where can the CRR be used?
The CyberRisk Rating by KSV1870 is based on the requirements of the cyber risk scheme of the "Secure Austria Competence Center." These requirements were defined by leading cyber risk managers of Austrian companies from all areas of critical infrastructure, as well as representatives of the Federal Ministry of the Interior. The CyberRisk Rating can therefore be used in any industry and economic sector where an assessment of the cyber risk of companies - especially suppliers - is required.
Primarily, operators of essential services according to § 11 Abs. 1 (2) in conjunction with Annex 1 NISV are legally obliged to take appropriate security measures when dealing with service providers, suppliers, and other third parties. The CyberRisk Rating by KSV1870 aims to fulfill this requirement (monitoring suppliers of an energy group or an airport), but it does not replace the necessary proof of an operator of essential services according to § 17 Abs. 3 NISG (= comprehensive audit of an operator of essential services, such as an energy group or an airport itself).
Why am I receiving a request for a CyberRisk Rating?
Cyber risks such as IT security, data protection, and business continuity are becoming increasingly important due to digitization. The CyberRisk Rating by KSV1870 offers a transparent, time-saving process to assess companies in these dimensions. This assessment is often required due to GDPR or the NIS Act.
As a rated company, you incur no costs and receive an objective view of your own cyber risk.
How does the CyberRisk Rating process work?
The assessment consists of an evaluation based on 25 requirements of the publicly accessible KSÖ Cyber Risk Scheme. Information about the KSÖ Cyber Risk Scheme can be found at https://www.kuratorium-sicheres-oesterreich.at. After the assessment, the positively answered requirements are reviewed by an independent expert. This expert does not know which company is being assessed.
Is there a deadline for submitting an assessment?
Yes, after the invitation, you must complete the assessment within 14 days. If you need more time to answer the questions, please contact the CyberRisk Service Team at cr@nimbusec.com.
Is it possible for more than one person to work on the assessment?
Anyone with a user account with permissions for the CyberRisk portal under the company account can perform the assessment. However, only the first person who starts filling out the assessment is considered the contact person for the assessment.
Does the assessment need to be completed in one session?
No. It is important to be well-prepared for the answers to the requirements or to think them through carefully.
This also facilitates and speeds up the review process. The more precisely a fulfilled requirement is described, the fewer questions the reviewer will need to ask.
The requirements and questions for the assessment are published by the Secure Austria Competence Center (KSÖ) and can be downloaded/viewed there: CRR-Schema-Policy-2020
Will I receive my answers, including a rating, later?
Yes. After completing the assessment, you must download and keep a report consisting of the details of the assessment. The report will contain the following information:
- CyberRisk Rating certificate + signature
- Full details of the CyberRisk Rating assessment, including the reviewer's answers + signature
- Details of the CyberRisk Rating assessment without the reviewer's answers + signature
Who else gets the answers?
The assessment itself can be purchased by all customers. Only the rating grade is displayed. However, the customer can request the details of the assessment. Here you can decide individually whether to release the requested data or not.
Do the answers need to be provided for each customer?
No. You only need to complete the assessment for the first request from a customer and at most once a year.
Are the answers temporarily stored?
You can take the time you need to answer the assessment. Click "Save and continue" to temporarily save the answer. You can then close the browser window or log out and continue at a later time.
How is the confidentiality of my information ensured?
Confidentiality is ensured by Nimbusec never sharing your data with third parties. In the course of the assessment process, all commissioned data processors are obligated to maintain confidentiality. Unlike usual questionnaires, Nimbusec customers only receive the CyberRisk Rating without further details. In the case of an external review or a request from our customer, you decide whether to share your data with the reviewer or our customer. If so, the CyberRisk Rating provides a standardized, machine-readable data set that can be processed efficiently. If not, you can refer to the validated CyberRisk Rating.
Überprüfung der PDF-Integrität | Verification of PDF Integrity
English version down below
Inhaltsverzeichnis
- Integritätsprüfung über die Befehlszeile
- CyberRisk Rating Signature Public Key
Das Cyber Risk Rating Portal stellt am Ende des Bewertungsprozesses für jeden Lieferanten mehrere Dokumente aus. Dazu gehören unter anderem das Cyber Risk Rating-Zertifikat, das die Gesamtbewertungspunkte für den Lieferanten sowie den WebRisk-Score enthält, und der Cyber Risk Rating-Report, der die Antworten des Lieferanten zusammen mit den Validierungsergebnissen auflistet.
Um die Integrität der Dokumente zu gewährleisten und potenzielle Kompromisse durch Dritte während des Downloadvorgangs zu verhindern, wird für jedes Dokument eine Signatur hinzugefügt, die den signierten Digest pro Dokument enthält. Durch die Signatur des Digests wird die Integrität des Dokuments garantiert, da eine Änderung des Dokumenteninhalts zwangsläufig einen anderen Digest erzeugen würde, der nicht mit der bereitgestellten Signatur übereinstimmt. Darüber hinaus kann die Signatur nicht verändert werden, da sie mit unserem eigenen geheimen RSA Private Key signiert wurde. Die für den Prozess verwendeten Algorithmen sind SHA256 zur Erstellung des Digests des Dokuments und RSA PKCS#1 v1.5 für die Signatur.
Integrität über die Befehlszeile verifizieren
Es wird empfohlen, die Integrität jedes Dokuments nach dem Herunterladen als ZIP-Archiv zu überprüfen. Für jedes Dokument repräsentiert die entsprechende Signaturdatei .sig
den signierten Digest in Byte-Form. Darüber hinaus wird der Public Key benötigt, der auf unserer Seite verwendet wurde. Er kann hier heruntergeladen werden: Cyber Risk Rating Signature Public Key
Die Überprüfung kann mit OpenSSL Version v1.1.1f
oder höher durchgeführt werden.
$ openssl dgst -sha256 -verify crr-signature-key.pub -signature Cyber-Risk-Rating-Report-Valid.pdf.sha256.sig Cyber-Risk-Rating-Report-Valid.pdf
Verified OK
Wenn die Dokumente kompromittiert sind, schlägt die Überprüfung fehl. In diesem Fall kontaktieren Sie sofort support@nimbusec.com für weitere Unterstützung.
$ openssl dgst -sha256 -verify crr-signature-key.pub -signature Cyber-Risk-Rating-Report-Valid.pdf.sha256.sig Cyber-Risk-Rating-Report-Compromised.pdf
Verification Failure
CyberRisk Rating Signature Public Key
Sie können den Signaturschlüssel als Datei hier herunterladen: Cyber Risk Rating Signature Public Key
Oder Sie verwenden die untenstehende Klartextversion:
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----
English version:
Table of contents
- Integrity check via command line
- CyberRisk Rating Signature Public Key
The Cyber Risk Rating Portal issues several documents for each supplier at the end of the evaluation process. These include the Cyber Risk Rating Certificate, which contains the overall rating points for the supplier as well as the WebRisk score, and the Cyber Risk Rating Report, which lists the supplier's responses along with the validation results.
To ensure the integrity of the documents and prevent potential compromises by third parties during the download process, a signature containing the signed digest for each document is added. By signing the digest, the integrity of the document is guaranteed, as any alteration of the document's content would inevitably generate a different digest that would not match the provided signature. Furthermore, the signature cannot be altered because it is signed with our own secret RSA private key. The algorithms used for this process are SHA256 for creating the document digest and RSA PKCS#1 v1.5 for the signature.
Integrity check via command line
It is recommended to verify the integrity of each document after downloading as a ZIP archive. For each document, the corresponding signature file .sig
represents the signed digest in byte form. Additionally, the public key used on our side is required. It can be downloaded here: Cyber Risk Rating Signature Public Key
The verification can be performed using OpenSSL version v1.1.1f
or higher.
$ openssl dgst -sha256 -verify crr-signature-key.pub -signature Cyber-Risk-Rating-Report-Valid.pdf.sha256.sig Cyber-Risk-Rating-Report-Valid.pdf
Verified OK
If the documents are compromised, the verification will fail. In this case, please contact support@nimbusec.com immediately for further assistance.
$ openssl dgst -sha256 -verify crr-signature-key.pub -signature Cyber-Risk-Rating-Report-Valid.pdf.sha256.sig Cyber-Risk-Rating-Report-Compromised.pdf
Verification Failure
CyberRisk Rating Signature Public Key
You can download the signature key file here: Cyber Risk Rating Signature Public Key
Or, you can use the plaintext version provided below:
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----
CyberRisk Rating
Das Cyber Risk Rating ist ein Sicherheitsurteil, das auf einer gründlichen Bewertung des Cybersicherheitsstatus eines Unternehmens basiert. Es misst, wie gut ein Unternehmen in Bezug auf Cybersicherheit abschließt und ob es den angegebenen Anforderungen und Standards entspricht, die von der zuständigen Organisation (im Falle des gegebenen Kontextes das Kompetenzzentrum Sicheres Österreich, KSV1870) festgelegt wurden.
The Cyber Risk Rating is a security judgment based on a thorough assessment of a company's cybersecurity status. It measures how well a company performs in terms of cybersecurity and whether it complies with the specified requirements and standards set by the relevant organization (in the given context, the Competence Center Secure Austria, KSV1870).
B-Rating
English version down below
Die "B-Fragen" im Kontext des CyberRisk Ratings sind Teil eines umfassenden Fragebogens, der dazu dient, das Risikoprofil einer Organisation im Bereich der Cybersicherheit zu bewerten. Diese spezifischen B-Fragen sind für die Beurteilung von grundlegenden Aspekten des CyberRisiko-Managements und der Sicherheitspraktiken in einem Unternehmen vorgesehen. Sie decken verschiedene Kategorien ab, wie z.B.:
-
Risiko-Verstehen und Risikobewertung: Hierbei geht es darum, wie das Unternehmen identifiziert, quantifiziert und managt seine Cyberrisiken.
-
Politik und Strategie: Diese Fragen beziehen sich auf die Existenz und Umsetzung von Richtlinien für Cybersicherheit im Unternehmen, einschließlich der Zuteilung von Rollen und Verantwortlichkeiten.
-
Technische Maßnahmen: Hier werden technische Sicherheitsprotokolle und -lösungen erfasst, die das Unternehmen implementiert hat, um seine Daten und Systeme zu schützen.
-
Datenschutz: Fragen in dieser Kategorie abrunden, wie das Unternehmen den Datenschutz gewährleistet und datenschutzrechtliche Verpflichtungen erfüllt.
-
Zusammenarbeit und Kommunikation: Dieser Bereich befasst sich mit der Zusammenarbeit innerhalb des Unternehmens sowie mit externen Partnern im Falle eines Cyberangriffs oder einer Sicherheitsverletzung.
-
Inzidenreaktion und -bewertung: Hierbei geht es um die Vorbereitung und das Vorgehen bei dem Ausbruch einer Cyberinfrastruktur.
Die B-Fragen sind entscheidend, um einen Überblick über die Maßnahmen zu erhalten, die ein Unternehmen zur Abschreckung von Cyberangriffen ergriffen hat, und um festzustellen, wie gut das Unternehmen auf solche Ereignisse reagieren kann.
English version:
The "B questions" in the context of CyberRisk Ratings are part of a comprehensive questionnaire designed to assess an organization's risk profile in the field of cybersecurity. These specific B questions are intended for evaluating fundamental aspects of cyber risk management and security practices within a company. They cover various categories such as:
- Risk Understanding and Assessment: This pertains to how the company identifies, quantifies, and manages its cyber risks.
- Policy and Strategy: These questions relate to the existence and implementation of cybersecurity policies within the company, including the allocation of roles and responsibilities.
- Technical Measures: This section captures technical security protocols and solutions implemented by the company to protect its data and systems.
- Data Privacy: Questions in this category address how the company ensures data privacy and fulfills data protection obligations.
- Collaboration and Communication: This area deals with collaboration within the company and with external partners in the event of a cyberattack or security breach.
- Incident Response and Assessment: This involves the preparation and procedures for responding to a cyber infrastructure breach.
The B questions are crucial for gaining insight into the measures taken by a company to deter cyberattacks and determining how well the company can respond to such events.
A-Rating
English version down below
Die "11 A Fragen" im Kontext des Cyber Risk Schemas beziehen sich auf eine Reihe von Sicherheitsanforderungen, die Organisationen stellen müssen, die einen erhöhten Sicherheitsanspruch aus ihrer Branche heraus haben. Diese Fragen sind Teil der Bewertung eines Organisations-Sicherheitslevels auf den Niveaus A (für fortgeschrittene Sicherheitsclaims) und A+ (für erweiterte und nachweislich erfüllte Sicherheitsanforderungen). Die Fragen können entweder durch eine Selbstdeklaration oder durch ein unabhängiges Audit von einem qualifizierten Auditor beantwortet werden. Die Antworten auf diese Fragen bestimmen, ob und auf welcher Grundlage (A oder A+ Rating) das Organisationsverschleißmanagement im Rahmen des Cyber Risk Schemas bewertet wird.
English version:
The "11 A questions" in the context of the Cyber Risk Schema refer to a set of security requirements that organizations must meet, especially those with heightened security demands within their industry. These questions are part of assessing an organization's security level at the A (for advanced security claims) and A+ (for extended and demonstrably fulfilled security requirements) levels. The questions can be answered either through self-declaration or through an independent audit by a qualified auditor. The responses to these questions determine whether and on what basis (A or A+ rating) the organization's security management is assessed within the framework of the Cyber Risk Scheme.
Rating-Ablauf | Rating process
English version down below
Inhaltsverzeichnis
- Start des Ratings
- Beantwortung der Fragen
- Korrekturphase
- Korrigieren der Antworten
- Abschluss des Ratings
Start des Ratings
1: Um das Rating zu starten, klicken Sie auf den Banner "FÜR IHR UNTERNEHMEN WURDE EIN CYBERRISK RATING BEANTRAGT"
2: Bevor das Rating gestartet werden kann, ist es wichtig, die Hinweise für die Beantwortung des Ratings zu lesen. Die Befolgung der Hinweise ist für einen Reibungslosen Ablauf unumgänglich
3: Um final mit dem Rating zu starten, bestätigen Sie die Prüfungsbedingungen
Beantwortung der Fragen
4: Nach Bestätigung der Prüfungsbedingungen, können Sie mit dem Beantworten der Fragen starten. Um die Beantwortungen der Fragen gut durchführen zu können, beachten Sie bitte folgende Punkte:
- Es können keine Dokumente, Policy, etc. hochgeladen werden
- Die Beantwortung der Fragen soll in eigenen Worten und so einfach wie möglich durchgeführt werden
- Die Antwort muss eine Mindestzeichenanzahl von 100 enthalten
5: Um zu einer Übersicht der Fragen zu gelangen, klicken Sie auf "ZUR ÜBERSICHT"
6: Hier werden alle 25 Fragen aufgelistet. Durch einen Klick auf die gewünschte Fragen kann diese beantwortet werden
7: Sobald alle Fragen beantwortet worden sind, klicken Sie auf den Button "BESTÄTIGEN UND ABSCHICKEN". Ihre Antworten werden dann das erste Mal an den Validierer übermittelt
Korrekturphase
8: Um die Korrektur zu starten, klicken Sie auf den Banner "BITTE ÜBERPRÜFEN SIE ALLE UNKLAREN ANTWORTEN UND GEBEN SIE BEI BEDARF ZUSÄTZLICHE ERLÄUTERUNGEN AN"
9: Um die Antworten zu korrigieren, klicken Sie auf "ANTWORTEN KORRIGIEREN"
Korrigieren der Antworten
10: In der Korrekturphase haben Sie die Möglichkeit Ihr Rating durch Ergänzungen der Antworten & Feedback des Validierer, positiv zu beeinflussen
- Vorige Antwort: Hier ist die Antwort, die in der Erstbeantwortung gegeben war, nochmals ersichtlich
- Verifizierer-Kommentar: Feedback und Rückfragen des Validierers
- Anforderungen & Evidenz anzeigen: Die Anforderungen der jeweiligen Frage sind hier nochmal abrufbar
11: Um zu einer Übersicht der Fragen zu gelangen, klicken Sie auf "ZUR ÜBERSICHT"
12: Hier werden alle Fragen aufgelistet, bei denen noch eine weitere Erläuterung notwendig ist
13: Sobald die Fragen ergänzt wurden, klicken Sie auf den Button "BESTÄTIGEN UND ABSCHICKEN"
Abschluss des Ratings
14: Um das abgeschlossene Rating auszuwählen, klicken Sie auf den Banner "DAS ASSESSMENT IST ABGESCHLOSSEN. SIE KÖNNEN NUN IHR RATING AUSWÄHLEN"
15: Im nächsten Schritt können Sie nun zwischen A/B Rating wählen. Nachdem Sie das Rating ausgewählt und "RATING FREIGEBEN UND HERUNTERLADEN" gedrückt haben, ist das Rating abgeschlossen
Achtung: Bewahren Sie den Report unbedingt auf, denn alle Daten werden 2 Wochen nach Rating Abschluss wieder gelöscht!
English version:
Table of contents
- Rating Initiation
- Answering the Questions
- Correction Phase
- Correcting the Responses
- Rating Completion
Rating Initiation
1. To start the rating, click on the banner: "A CYBERRISK RATING HAS BEEN REQUESTED FOR YOUR COMPANY."
2. Before initiating the rating, it's important to read the instructions for answering the rating. Following the instructions is essential for a smooth process.
3: To finalize the start of the rating, confirm the examination conditions
Answering the Questions
4: After confirming the examination conditions, you can begin answering the questions. To ensure that the questions are answered properly, please consider the following points:
- No documents, policies, etc., can be uploaded
- Answers to the questions should be in your own words and as simple as possible
- The response must contain a minimum of 100 characters
6: Here, all 25 questions are listed. By clicking on the desired question, it can be answered
7: Once all questions have been answered, click on the "CONFIRM AND SUBMIT" button. Your answers will then be submitted to the validator for the first time
Correction Phase
8: To start the correction, click on the banner "PLEASE REVIEW ANY UNCLEAR ANSWERS AND PROVIDE ADDITIONAL CLARIFICATION AS NEEDED."
9: To correct the answers, click on "CORRECT RESPONSES".
Correcting the Responses
10: During the correction phase, you have the opportunity to positively influence your rating by supplementing the answers and incorporating feedback from the validator.
- Previous Answer: Here is the answer provided in the initial response, visible again.
- Validator's Comment: Feedback and inquiries from the validator.
- View Requirements & Evidence: The requirements of each question can be reviewed here again.
11: To access an overview of the questions, click on "TO OVERVIEW"
12: Here all questions are listed for which further explanation is required
13: Once the questions have been supplemented, click on the "CONFIRM AND SUBMIT" button
Rating Completion
14: To select the completed rating, click on the banner "THE ASSESSMENT IS COMPLETED, YOU CAN NOW SELECT YOUR RATING."
15: In the next step, you can now choose between A/B rating. After selecting the rating and pressing "FINISH RATING AND DOWNLOAD REPORT", the rating process is completed.
Attention: Be sure to keep the report, as all data will be deleted 2 weeks after the rating is completed!
CyberRisk Manager
Der CyberRisk Manager hat im Wesentlichen die Funktion, einen klaren und leicht nachvollziehbaren Überblick über alle seine Lieferanten zu ermöglichen. Hier werden die einzelnen Punkte der CyberRisk Manager Seite nochmal genau durchgegangen.
The CyberRisk Manager essentially serves the purpose of providing a clear and easily understandable overview of all its suppliers. Here, the individual points of the CyberRisk Manager page are reviewed in detail once again.
Einführung | Introduction
English version down below
Inhaltsverzeichnis
- Rating anfordern
- Kein vorhandenes Rating
- WebRisk-Indikator
- Vorhandenes Rating
- Daten exportieren
Rating anfordern
Um ein Rating von Ihren Lieferanten anzufordern, klicken Sie auf "RATINGS ANFORDERN".
1. Schritt - Rating wählen
Es stehen Ihnen drei verschiedene Ratings zur Auswahl:
- B-Rating (Basissicherheit): Das B-Rating legt die Anforderungen fest, um ein grundlegendes Schutzniveau gegen Cyber-Risiken zu gewährleisten, das für jede Organisation erreichbar sein sollte. Dieses Rating basiert auf einer Selbstdeklaration der Organisation.
- A-Rating (Erhöhte Sicherheit): Das A-Rating definiert die Anforderungen für ein erhöhtes Schutzniveau gegen Cyber-Risiken. Es richtet sich an Organisationen, bei denen aufgrund ihres Tätigkeitsfeldes erhöhte Sicherheitsstandards erforderlich sind. Dieses Rating basiert ebenfalls auf einer Selbstdeklaration der Organisation.
- A+-Rating (Erhöhte Sicherheit - Mit Audit): Das A+-Rating basiert auf der Selbstdeklaration der bewerteten Organisation gemäß dem A-Rating und erfordert zusätzlich eine Überprüfung der Angaben durch ein unabhängiges Audit.
2. Schritt - Lieferanten wählen
Nachdem Sie Ihr gewünschtes Rating ausgewählt haben, können Sie im nächsten Schritt die Lieferanten auswählen, für die Sie das Rating erhalten möchten.
3. Schritt - Bestellung abschließen
Anschließend können Sie die Bestellung aufgeben. Das entsprechende Kontingent wird Ihnen nach Abschluss der Bestellung von Ihrem Konto abgezogen.
Kein vorhandenes Rating
Nachdem Sie uns die Liste Ihrer Lieferanten zur Verfügung gestellt haben, wird Ihre Seite entsprechend leer und ohne Ratings angezeigt. Es ist möglich, dass ein Lieferant, der bereits in der Liste eingetragen ist, ein gültiges Rating abgeschlossen hat und dieses zur Veröffentlichung freigegeben hat. In diesem Fall wird der Lieferant ohne die Notwendigkeit einer erneuten Bewertungsanfrage angezeigt.
Dies wird dann wie folgt aussehen:
Man hat auch hier direkt die Möglichkeit über den Button "Rating anfordern", ein Rating dieses Lieferanten anzufordern.
Dabei stehen zwei Auswahlmöglichkeiten zur Verfügung:
- Cyber Trust Austria Label - Hier erhalten Sie direkt in der Plattform eine E-Mail-Vorlage, mit der Sie den Lieferanten auffordern können, sich ein Cyber Trust Label (Blau, Silber, Gold) zu besorgen. Weitere Informationen zum Cyber Trust Austria Label finden sie hier.
- CyberRisk Rating by KSV1870 - Bei dieser Option kümmern wir uns um den gesamten Prozess des Ratings und der anschließenden Kommunikation. Anders als beim Cyber Trust Austria Label müssen Sie hier nichts weiter unternehmen. Allerdings tragen Sie die Kosten für das Rating.
Beide Auswahlmöglichkeiten basieren auf dem KSÖ Cyber Risk Schema und besitzen die Wertigkeit eines vollwertigen Ratings mit einer Gültigkeit von einem Jahr.
WebRisk-Indikator
Die 3-stellige Zahl neben dem Lieferantennamen ist der WebRisk-Indikator. Sobald Ihre Lieferanten im CyberRisk-Portal aufgeführt sind, steht der WebRisk-Indikator (C-Score) für alle von ihnen zur Verfügung. Dieser Indikator dient als erste Bewertung von Cyberrisiken und bewertet automatisch öffentlich zugängliche IT-Informationen.
Der WebRisk-Indikator ist ein vollautomatischer externer Sicherheitscheck, der auf nicht-invasive Weise die über das Internet zugänglichen Anwendungen einer Organisation überprüft und auf dieser Grundlage Rückschlüsse auf die zugrunde liegende technische und organisatorische Cybersicherheit zieht.
Die Domains und IP-Adressbereiche der Organisation, die Teil dieser Überprüfung sind, müssen zum Zeitpunkt der Antragstellung offengelegt werden und werden durch technisch zuordenbare, über das Internet zugängliche Anwendungen ergänzt. Der WebRisk-Score wird als Indikator bei der Validierung der B- und A-Bewertungen berücksichtigt und separat angezeigt.
Wenn Sie den WebRisk-Indikator auswählen, öffnet sich ein Fenster mit einem detaillierten Einblick in den WebRisk-Score. Sie können die Entwicklung des Risikos über die letzten 12 Monate hinweg sehen.
In der rechten unteren Ecke können Sie die Schaltfläche "WebRisk-Bericht anzeigen" auswählen. Anschließend können Sie die Risikoeinschätzung zwischen 100 und 700 sehen.
Eine Bewertung von 700 deutet auf ein sehr hohes Cyberrisiko hin, während 100 ein minimales Risiko anzeigt.
Die folgenden Sicherheitsmängel werden untersucht: Malware, Defacement, Reputation und TLS-Probleme. Die genaue Domain, auf der das Problem auftritt, wird angezeigt. Das jeweilige Problem wird ebenfalls detailliert erläutert.
Vorhandenes Rating
Hier ist ein Beispiel eines vollständig fertigen und hinterlegten Ratings:
Folgende Informationen sind zu erkennen (von links nach rechts betrachtet):
- Risikoeinstufung des Lieferanten
- Name des Lieferanten
- Cyber Trust Label / Zertifikate (unterhalb)
- WebRisk-Indikator
- Rating-Ergebnis in Form eines Tachometers (B- und A-Rating)
- Gültigkeit des Ratings
- Bereich für Anmerkungen
- Symbol mit drei Punkten für weitere Optionen
Die spezifischen Punkte, die nicht erklärt wurden, werden im Anschluss näher erläutert.
Risikoeinstufung des Lieferanten
Auf der ganz linken Seite ist ein graues Warnungsfeld zu erkennen. Anfangs ist es noch ausgegraut. Wenn Sie darauf klicken, können Sie das interne Risiko dieser Firma anhand einer Matrix festlegen. Sollten Sie ein entsprechendes Risiko auswählen, wird dieses wie im ersten Bild farblich auf der Plattform hinterlegt. Weitere Informationen dazu finden Sie hier.
Cyber Trust Label / Zertifikate
Unter dem Namen des Lieferanten finden Sie die vom Lieferanten hinterlegten Zertifikate. Hier sehen Sie zum Beispiel das Cyber Trust Gold Label. Ein weiteres Zertifikat, das z.B angezeigt werden könnte, sofern vorhanden, ist das ISO/IEC 27001 Zertifikat. Wenn beide vorhanden sind, wird das Cyber Trust Gold Label neben dem ISO/IEC 27001 Zertifikat angezeigt.
Sie haben auch die Möglichkeit, auf das Label oder Zertifikat zu klicken, um weitere Informationen zu erhalten.
Rating-Ergebnis in Form eines Tachometers (B- und A-Rating)
Das Kernstück des gesamten Ratings sind die beiden Anzeigen in Form von Tachometern, die neben dem WebRisk-Indikator angezeigt werden. Je nachdem, welches Rating Sie bestellt haben, wird entweder das entsprechende A- oder B-Rating angezeigt.
In diesem Beispiel zeigen wir euch ein A+ Rating mit Audit:
Das A+ Rating weist einen Score von 115 auf und ist mit dem Cyber Trust Label Gold versehen. Darunter befindet sich eine Skala, welche ähnlich dem WebRisk-Indikator, einen Bewertung zwischen 100 (sehr gut) und 700 (sehr schlecht) aufweist. Auf der rechten Seite des Ratings sind die Gültigkeitsdauer des Ratings sowie die Scores des WebRisk-Indikators, des B-Ratings und des A-Ratings angegeben.
In der unteren rechten Ecke besteht die Möglichkeit, sowohl auf die vergangenen Ratings dieses Lieferanten zuzugreifen als auch den zeitlichen Ablauf des Ratings einzusehen.
Bereich für Anmerkungen
Gehen wir nun wieder zurück zur CyberRisk Manager Seite. Dort sehen wir rechts neben den Tachometern die Gültigkeitsdauer des Ratings.
Direkt darunter befindet sich ein Sprechblasen-Symbol, über das Anmerkungen zu dem jeweiligen Lieferanten hinzugefügt werden können.
Weitere Optionen
Direkt neben dem Sprechblasen-Symbol befinden sich drei Punkte.
Beim Öffnen erscheinen folgende Optionen:
- Vergangene Ratings: Hier werden die vergangenen Ratings des Lieferanten angezeigt.
- Rating-Ergebnis: Hier haben Sie die Möglichkeit, das Rating-Ergebnis als PDF-Datei (mit Signatur) herunterzuladen.
- Lieferantenüberwachung aktivieren: Normalerweise ist diese Funktion deaktiviert. Wenn Sie die Lieferantenüberwachung aktivieren, wird das bestehende Rating automatisch erneuert, bevor es abläuft. Die Kosten für die Erneuerung werden von Ihrem Bestellungskontingent abgezogen.
- Details anfragen: Hier werden Sie an die Hauptansprechperson des Lieferanten weitergeleitet. Sollten Unklarheiten bezüglich des Rating-Ergebnisses bestehen, können Sie hier auf die Antworten des Verantwortlichen des Lieferanten eingehen, um Klarheit zu schaffen.
Daten exportieren
Wenn Sie auf "Daten exportieren" klicken, erhalten Sie eine CSV-Datei, in der alle Daten der Lieferanten nochmals einsehbar sind.
Außerdem haben Sie die Möglichkeit, unsere API mit Ihrer Schnittstelle zu verbinden, um diese Funktion in Ihrem Unternehmen zu integrieren. Unsere API finden Sie hier.
English version:
Table of contents
- Request Rating
- No existing Rating
- WebRisk Indicator
- Existing Rating
- Export Data
Request Rating
To request a rating from your suppliers, click on "ORDER RATINGS".
Step 1 - Choose Rating
You have three different ratings to choose from:
- B-Rating (Basic Security): The B-Rating establishes the requirements to ensure a basic level of protection against cyber risks, which should be attainable by any organization. This rating is based on the organization's self-declaration.
- A-Rating (Enhanced Security): The A-Rating defines the requirements for an elevated level of protection against cyber risks. It is aimed at organizations that require higher security standards due to their field of activity. This rating is also based on the organization's self-declaration.
- A+-Rating (Enhanced Security - With Audit): The A+-Rating is based on the organization's self-declaration according to the A-Rating and additionally requires an independent audit to verify the information provided.
Step 2 - Choose Suppliers
After selecting your desired rating, you can choose the suppliers for whom you want to obtain the rating in the next step.
Step 3 - Confirm choice
You can then place the order. The corresponding quota will be deducted from your account upon completion of the order.
No existing Rating
After you provide us with your list of suppliers, your page will appear empty and without ratings. It is possible that a supplier already listed has completed a valid rating and has approved it for publication. In this case, the supplier will be displayed without the need for a new rating request.
This will then look as follows:
You also have the option to request a rating for this supplier directly via the "ORDER RATING" button.
There are two options available:
- Cyber Trust Austria Label - Here you will receive an email template directly on the platform, which you can use to ask the supplier to obtain a Cyber Trust Label (Blue, Silver, Gold). More information about the Cyber Trust Austria Label can be found here
- CyberRisk Rating by KSV1870 - With this option, we handle the entire rating process and subsequent communication. Unlike the Cyber Trust Austria Label, you don't need to take any further action. However, you will bear the costs of the rating.
Both options are based on the KSÖ Cyber Risk Scheme and have the value of a full-fledged rating with a validity of one year.
WebRisk Indicator
The three-digit number next to the supplier's name is the WebRisk Indicator. Once your suppliers are listed in the CyberRisk Portal, the WebRisk Indicator (C-Score) is available for each of them. This indicator serves as an initial assessment of cyber risks and automatically evaluates publicly accessible IT information.
The WebRisk Indicator is a fully automated external security check that non-invasively examines an organization's internet-accessible applications and draws conclusions about the underlying technical and organizational cybersecurity based on this examination.
The domains and IP address ranges of the organization that are part of this assessment must be disclosed at the time of application and are supplemented by technically identifiable, internet-accessible applications. The WebRisk Score is considered as an indicator in the validation of B and A ratings and is displayed separately.
When selecting the WebRisk Indicator, a window opens with a detailed insight into the WebRisk Score. You can see the risk's development over the past 12 months.
In the bottom right corner, you can select the "DISPLAY WEBRISK REPORT" button. Subsequently, you can view the risk assessment ranging from 100 to 700.
A rating of 700 indicates a very high cyber risk, while 100 indicates minimal risk.
The following security vulnerabilities are examined: Malware, Defacement, Reputation, and TLS issues. The exact domain where the problem occurs is displayed. Additionally, each specific problem is detailed.
Existing Rating
Here is an example of a fully completed and deposited B-Rating:
The following information can be identified (viewed from left to right):
- Risk classification of the supplier
- Name of the supplier
- Cyber Trust Label / Certificates (below)
- WebRisk Indicator
- Rating result in the form of a gauge (B- and A-Rating)
- Validity of the rating
- Area for notes
- Symbol with three dots for more options
The specific points that were not explained will be detailed subsequently.
Risk classification of the Supplier
On the far left side, you'll notice a gray warning field. Initially, it appears grayed out. When you click on it, you can assess the internal risk of this company using a matrix. If you choose an appropriate risk, it will be highlighted in color on the platform, similar to the first image. You can find further information on this process here
Cyber Trust Label / Certificates
Under the supplier's name, you will find the certificates deposited by the supplier. Here you may see, for example, the Cyber Trust Blue Label. Another certificate that could be displayed, if available, is the ISO/IEC 27001 certificate. If both are present, the Cyber Trust Blue Label will be displayed next to the ISO/IEC 27001 certificate.
You also have the option to click on the label or certificate to obtain further information.
Rating result in the form of a gauge (B- and A-Rating)
The centerpiece of the entire rating system is the two displays in the form of speedometers, which are displayed next to the WebRisk Indicator. Depending on the rating you have ordered, either the corresponding A or B rating will be displayed.
In this example, a B-Rating is shown:
The B rating has a score of 128 and is adorned with the Cyber Trust Blue Label. Below it, there is another score similar to the WebRisk Indicator, indicating a value between 100 (very good) and 700 (very poor). On the right side of the rating, the validity period of the rating as well as the scores of the WebRisk Indicator, the B rating, and the A rating are specified.
In the bottom right corner, there is the option to access both the past ratings of this supplier and to view the timeline of the rating.
Area for notes
Let's now return to the CyberRisk Manager page. There, on the right side next to the speedometers, we see the validity period of the rating.
Directly below that is a speech bubble icon, through which comments can be added regarding the respective supplier.
Additional Options
Directly next to the speech bubble icon, there are three dots.
Upon opening, the following options appear:
- Past Ratings: This displays the past ratings of the supplier.
- Rating Results: Here, you have the option to download the rating results as a PDF file (with signature).
- Activate Supplier Monitoring: Typically, this function is deactivated. When you activate supplier monitoring, the existing rating is automatically renewed before it expires. The cost for renewal will be deducted from your order quota.
- Request Details: This will redirect you to the main contact person of the supplier. If there are any uncertainties regarding the rating results, you can address them here and seek clarification from the responsible party of the supplier.
Export data
When you click on "Export Data," you will receive a CSV file containing all the data of the suppliers for further review.
Additionally, you have the option to connect our API with your interface to integrate this function into your company. You can find our API here
Risikominimierung | Risk management
Die Risikominimierung dient dazu, internes Risiko für die eigenen Lieferanten individuell festzulegen und notwendige Maßnahmen zu definieren.
The Risk Management is used to individually determine internal risks for the company's own suppliers and to define the necessary measures.
Risikomatrix bearbeiten | Edit risk matrix
English version down below
- Um die Risikomatrix zu bearbeiten, klicken Sie auf "RISIKOMATRIX BEARBEITEN"
- Um die Risikomatrix an die eigne individuelle Lage anzupassen, klicken Sie in die Textfelder, um den Text passend zu konfigurieren
English version:
- To edit the risk matrix, click on "EDIT RISK MATRIX"
- To adjust the risk matrix to your individual situation, click into the text fields to configure the text accordingly
Maßnahmen | Measures
English version down below
- Um Maßnahmen für das Risikomanagement Ihrer Lieferanten zu hinterlegen, klicken Sie auf "Maßnahmen"
- Um eine Sicherheitsmaßnahme hinzuzufügen, klicken Sie auf das "+"
- Hier können Sie für das jeweilige Risiko, die für Sie passende Maßnahme setzen
- Nach Einstellung der Maßnahmen können dieses dann unter "Offene Aufgaben" abgearbeitet werden
- Erledigte Aufgaben sind dann unter "Abgeschlossene Aufgaben" zu finden
English version:
- To input measures for managing your suppliers' risk, click on "MEASURES"
- To add a security measure, click on the "+" sign
- Here, you can choose the appropriate measure for each respective risk
- After setting up the measures, they can then be processed under "Open Tasks"
- Completed tasks can be found under "Completed Tasks"
Auditor View
Um ein Audit durchzuführen, loggen Sie sich bitte unter https://cr.nimbusec.com/ mit Ihrer E-Mail Adresse ein.
Sollten Sie sich zum ersten Mal im Portal anmelden, können Sie Ihr Passwort im Anmeldeschritt selbst erstellen.
Nach erfolgreicher Anmeldung finden Sie auf der Landingpage den Button "Audit" (großer Button im Dashboard, kleinerer Button links eingebunden).
Im Auditbereich sehen Sie nun alle Assessments, welche Ihnen zugewiesen wurden, sowie eventuell bereits abgeschlossene Assessments.
Nun können Sie mit dem Button "zum Assessment", das gewünschte Assessment bearbeiten.
Im Bearbeitungsschritt geben Sie mittels Aktivierung des Kästchens an, ob die Frage erfüllt wurde.
Für den Abschluss betätigen Sie den Button "Ergebnis Berechnen". In diesem Schritt wird die finale Abweichung zum bisherigen Ergebnis berechnet.
Abschließend beenden Sie das Audit mit dem Button "Audit Beenden".
Renew Assessment - Upload JSON File
Wie importiere ich das JSON File?
Haben Sie bereits einmal ein CyberRisk Rating Assessement ausgefüllt und den Report heruntergeladen, haben Sie auch eine JSON Datei erhalten.
Diese Datei können Sie nun verwenden, um Ihre bereits beim letzten Assessment angegebenen Daten, durch einen Upload wieder verwenden zu können.
Dies funktioniert wie folgt:
- Melden Sie sich im Portal unter https://cr.nimbusec.com an.
- Nach der Anmeldung sollten Sie im Dashboard die Information erhalten, dass ein neues Rating beantragt wurde:
Um zu Ihrem Assessment zu gelangen, können Sie gleich hier auf den Informationsbutton klicken. - Wählen Sie nun "Assessmentprozess starten" aus
- Es öffnet sich ein Modal in welchem Sie die Möglichkeit haben, die JSON Datei aus dem vergangenen Rating mittels Drag & Drop hochzuladen
- Ihre Daten werden automatisch importiert. Starten Sie jetzt das Assessment.
Bitte achten Sie darauf, dass das Schema jedes Jahr angepasst wird und sich somit auch die Fragestellungen etwas ändern können. Lesen Sie daher in jedem Fall jede Frage durch und überprüfen Sie, ob Ihre Antwort vom letzten Jahr noch korrekt und vollständig ist und alle Aspekte der Frage erfüllt.
How to import the JSON file
Last year, you received a JSON file to download after completing the assessment.
This year, you can upload the JSON file to automatically fill in the first answers.
Simply follow the next steps:
- log in to our portal via the following link https://cr.nimbusec.com .
- You should now see the following information on your dashboard
You can enter your assessment by clicking on this information button.
- Now start the assessment by clicking on “start the assessment process”.
- You will find an upload field where you can add your JSON file using drag & drop.
- Then simply start your assessment. All given answers from the JSON file have been added
Please remember that our scheme is also updated annually. Therefore, simply check each question and your answers to see if they match the individual aspects.