Über uns
Allgemeine Informationen
TheDas CyberRisk Rating byvon KSV1870 waswurde inventedim 2020.TheJahr concept2020 hasentwickelt. beenDas madeKonzept bywurde vom Kompetenzzentrum Sicheres Österreich in co-operationZusammenarbeit withmit CISOs, DPOs andund managersManagern fromaus criticalkritischen infrastructure,Infrastrukturen, governmentRegierung andund industryIndustrie toentwickelt, developum aeinen standardStandard forfür thedie assessment.TheBewertung requirementszu ofentwickeln. theDie CyberAnforderungen Riskdes schemeCyber-Risikoschemas werewurden definedvon byführenden leadingCyber-Risikomanagern cyberaus riskallen managersBereichen fromder allkritischen sectorsInfrastruktur ofsowie criticalVertretern infrastructure,bekannter asösterreichischer wellUnternehmen as representatives of well-known Austrian companiesdefiniert - thedas ratingRating isist thereforedaher suitablefür forjede everyBranche industryund andjeden everyWirtschaftsbereich sectorgeeignet. ofZiel theist economy.Thees, aimein ishöheres toMaß providean aIT-Sicherheit higherin levelder of IT security throughout thegesamten EU andzu identifygewährleisten digitalund risksdigitale Risiken in supplyLieferketten chains.Thezu publiclyidentifizieren. andDas freelyöffentlich accessibleund schemefrei iszugängliche updatedSchema andwird revised annually by thevom Cyber Risk Advisory Board injährlich orderaktualisiert tound beüberarbeitet, ableum toschnell reactauf quicklyneue toAnforderungen newaus requirementsder fromPraxis practiceoder order theausführenden executive NIS authorityNIS-Behörde (BMI)These standardsreagieren formzu thekönnen. basisDiese ofStandards thebilden die Grundlage des CyberRisk Ratings von KSV1870.
Die DSGVO und die EU-NIS-Richtlinie verlangen von allen Organisationen, insbesondere von Betreibern wesentlicher Dienste, ein Cyber-Risikomanagement für Lieferanten und Dritte. Das CyberRisk Rating byvon KSV1870.KSV1870 stellt einen standardisierten Prozess dar, um diese Anforderungen zu erfüllen. Cyber-Risiken in globalen Lieferketten werden transparent und können gezielt reduziert werden.
KSÖLink Scheme:https://cyberrisk-rating.at/cyberrisk-2023-schema-en.pdfzur EU-NIS-Richtlinie
GDPR and EU-NIS Directive require all organisations, especially operators of essential services, to establish cyber risk management for suppliers and third parties.TheDas CyberRisk Rating byvon KSV1870 represents a standardised process to meet these requirements. Cyber risksist in globalzwei supplyBereiche chains become transparent and can thus be reduced in a targeted manner.unterteilt:
Einerseits https://www.nis.gv.at/
ThePlattform CyberRiskfür Ratingdas byCyber-Risikomanagement KSV1870für isalle dividedLieferanten intoweltweit twofür areas:kritische
Onund theUnternehmen oneund hand,andererseits aein platformeffizienter forBewertungsprozess cyberfür riskbewertete management for all suppliers worldwide for critical infrastructure & enterprise and on the other hand, an efficient assessement process for rated companies.Unternehmen.
ForFür criticalkritische infrastructureInfrastrukturen & enterpriseUnternehmen
TheDas CyberRisk Rating byvon KSV1870 offersbietet youIhnen aein unifiedeinheitliches systemSystem, toum meetdie theAnforderungen requirements of thedes EU-NISNIS-Gesetzes Actund andder theDSGVO GDPRfür forLieferanten suppliers.zu erfüllen.
Das CyberRisk Rating von KSV1870 verwendet drei grundlegende Prozesse zur Bewertung globaler Lieferantenbasen:
-
Die Bewertung öffentlicher IT-Sicherheitsdaten für alle Lieferanten Ihrer Organisation,
-
Die validierte CyberRisk Rating-Bewertung gemäß dem KSÖ Cyber Risk Schema auf der Grundlage direkter Informationen von Lieferanten und falls erforderlich:
-
Audits der CyberRisk-Bewertungen durch Drittauditoren.
Der Bewertungsprozess
Sobald Ihre Lieferanten im CyberRisk-Portal aufgeführt sind, steht der WebRisk-Indikator (C-Score) für alle von ihnen kurzfristig zur Verfügung. Der WebRisk-Indikator dient als erste Bewertung von Cyberrisiken und bewertet automatisch öffentlich zugängliche IT-Informationen.
Der WebRisk-Indikator ist ein vollautomatischer externer Sicherheitscheck, der auf nicht-invasive Weise die über das Internet zugänglichen Anwendungen einer Organisation überprüft und auf dieser Grundlage Rückschlüsse auf die zugrunde liegende technische und organisatorische Cybersicherheit in diesem Bereich zulässt.
Die Domains und IP-Adressbereiche der Organisation, die Teil dieser Überprüfung sind, müssen zum Zeitpunkt der Antragstellung offengelegt werden und werden durch technisch zuordenbare, über das Internet zugängliche Anwendungen ergänzt. Der WebRisk-Score wird als Indikator bei der Validierung der B- und A-Bewertungen berücksichtigt und separat angezeigt.
Sie können Ihre bestellten Unternehmen in unserem Portal unter "CyberRisk Ratings" einsehen. Hier sehen Sie auch die Spalte "WebRisk".
Wenn Sie den WebRisk-Indikator auswählen, öffnet sich ein Fenster mit einem detaillierten Einblick in den WebRisk-Score. Sie können die Entwicklung des Risikos über die letzten 12 Monate hinweg sehen.
In der rechten unteren Ecke können Sie die Schaltfläche "WebRisk-Bericht anzeigen" auswählen. Anschließend können Sie die Risikoeinschätzung zwischen 100 und 700 sehen. Eine Bewertung von 700 deutet auf ein sehr hohes Cyberrisiko hin, während 100 ein minimales Risiko anzeigt.
Die folgenden Sicherheitsmängel werden untersucht: Malware, Defacement, Reputation und TLS-Probleme. Die genaue Domain, auf der das Problem auftritt, wird angezeigt. Das jeweilige Problem wird ebenfalls detailliert erläutert.
2. CyberRisk Rating byBewertung:
Sie useskönnen threejetzt basicauswählen, processeswelche toBewertung evaluateSie globalfür supplierIhre bases:Lieferanten anfordern möchten.
Die ausgewählten Lieferanten erhalten einen Einladungslink zur Bewertung per E-Mail. Nach Abschluss wird die Bewertung professionell validiert und ein CyberRisk Rating berechnet, das auch den C-Score einschließt.
3. CyberRisk Rating mit Audit:1. The assessment of public IT security data for all suppliers of your organisation,
Um 2.eine TheA+-Bewertung validatedzu CyberRiskerhalten, Ratingkönnen AssessmentSie accordingAudits todurch thequalifizierte KSÖStellen Cyberfür Riskgewünschte SchemeLieferanten basedbeauftragen. onDer directAuditor informationüberprüft fromdie suppliers,abgeschlossene andBewertung ifdes required:jeweiligen Unternehmens auf Nachweise und Beweise, die im Schema aufgeführt, sind.
3.
Für ofbewertete theUnternehmen
Unsere AssessmentsLösung bybietet thirdzwei partyBewertungstiefen: auditors.Zunächst erstellt der automatisierte Web Risk Indikator eine Basislinie für alle Ihre Lieferanten. Anschließend entscheiden Sie, welche Lieferanten für den Bewertungsprozess ausgewählt werden, der zu einer vollständigen A+- oder B-Bewertung führt.
Sobald eine CyberRisk-Bewertung für Ihr Unternehmen angefordert wird, erhalten Sie eine E-Mail mit dem Einladungslink zur Bewertung. Ihre Cyber-Risikobewertung besteht aus 25 Ja/Nein-Fragen. Wenn Sie mit "Ja" antworten, beschreiben Sie bitte die Umsetzung der Anforderung in Ihrer Organisation. Nach der Bewertung werden Ihre Antworten von einem IT-Sicherheitsexperten validiert.
Es kann vorkommen, dass die Validierung eine oder mehrere Ihrer Antworten als unklar einstuft. In diesem Fall werden wir Ihnen Feedback geben und um weitere Details bitten. Sie erhalten dann eine Benachrichtigung von uns. Sie haben die Möglichkeit, Ihre Antworten einmal zu korrigieren. Anschließend wird Ihre Bewertung erneut validiert, was zur endgültigen Bewertung führt.
Als letzten Schritt können Sie auswählen, welche CyberRisk-Bewertung für Ihr Unternehmen veröffentlicht werden soll - A (erweiterte Anforderungen) oder B (Grundanforderungen)? Um Ihnen die Auswahl zu erleichtern, wird eine Empfehlung angezeigt. Nachdem Sie die gewünschte Bewertung ausgewählt haben, ist der Prozess abgeschlossen. Ihre CyberRisk-Bewertung ist ein Jahr lang gültig.
The Rating process
1. WebRisk Indicator:
Once your suppliers have been listed in the CyberRisk portal, the WebRisk Indicator (C-Score) is available for all of them at short notice.The WebRisk Indicator serves as an initial assessment of cyber risks and automatically evaluates publicly accessible IT information.
You can view your ordered companies in our portal under "CyberRisk Ratings". Here you can also see the column "WebRisk".
Selecting the WebRisk indicator opens a window with a detailed insight into the WebRisk score.You can see the development of the risk over the last 12 months.
On the right bottom corner you can select the button "Display WebRisk Report". Afterwards you can see the risk estimation between 100 and 700. 700 indicates a very high cyber risk and 100 indicates a minimal risk.
The following security deficiencies are investigated: Malware, Defacement, Reputation and TLS issues.The exact domain, where the issue is located, is displayed. The respective issue is also explained in detail.Cookies and forms
2. CyberRisk Rating Assessment:
You can now choose which rating you would like to request for your suppliers.
The selected suppliers receive an invitation link to the assessment by e-mail. After completion, the assessment is professionally validated and a CyberRisk Rating is calculated, which also includes the C-Score.
3. CRR with an audit:
To obtain an A+ rating, you can commission audits by qualified bodies for desired suppliers. The auditor checks the completed assessment of the respective company for evidence and proof listed in the scheme.
For rated companies
Our solution provides two levels of assessment depth: First, the automated Web Risk Indicator creates a baseline for all your suppliers. You then decide which suppliers will be selected for the Rating process that leads to a full A (+) or B rating.
As soon as a CyberRisk rating is requested for your company, you will receive an e-mail with the invitation link to the assessment. Your cyber risk assessment consists of 25 yes/no questions. If you answer with “yes”, please describe your organization’s implementation of the requirement. After the assessment, your answers will be validated by an IT security professional.
It may happen that the validation declares one or more of your answers unclear. We will then provide feedback and ask for more details. In this case, you will receive a notification from us. You will have the opportunity to correct your answers once. Your assessment will then be validated again resulting in the final rating.
As a last step, you can select which CyberRisk Rating should be published for your organization – A (advanced requirements) or B (base requirements)? To make this choice easier for you, a recommendation will be displayed. After you have selected the desired rating, the process is completed. Your CyberRisk Rating will be valid for one year.