Lieferantenrisikomanagement

Gemäß §17 NIS-Gesetz (BGBL I Nr. 111/2018) müssen Betreiber wesentlicher Dienste geeignete technische und organisatorische Sicherheitsvorkehrungen auch bei ihren Lieferanten sicherstellen können. Zukünftig wird dies auf Basis der ab 17. Oktober 2024 europaweit gültigen NIS 2-Richtlinie auch für viele weitere Unternehmen (sogenannte „Betreiber wichtiger Dienste“) mit mehr als 50 Mitarbeitern gelten. Auch für alle Unternehmen aus der Finanzdienstleistungsbranche ist dies höchst relevant, denn die für sie ab 17. Januar 2025 geltende Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) fordert ebenfalls ein striktes Management von Drittdienstleistern.

Die österreichische NIS-Behörde (Behörde für Cybersicherheit) rechnet mit mehreren tausend betroffenen Unternehmen aus den Sektoren (Auszug):

• Energie
• Bankwesen & Finanzmarktinfrastrukturen
• Gesundheitswesen Digitale Infrastruktur
• IT Services & Management
• Öffentliche Verwaltung
• Straßen- und Schienenverkehr
• Post- und Kurierdienste
• Luft- und Weltraumfahrt
• Wasserwirtschaft
• Abfallwirtschaft
• Herstellung, Produktion und Vertrieb von Chemikalien
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Forschungsorganisationen
• Fertigung (medizinische Geräte, Computer, elektronische und optische Produkte, elektrische Geräte, Maschinen, Kraftfahrzeuge, Anhänger und andere Transportmittel)
• Digitale Anbieter (Marktplätze, Suchmaschinen, Social-Networking-Plattformen)

Diese Regelung reicht bis weit in den KMU-Bereich hinein und trifft viele Unternehmen, die bisher kein strukturiertes Lieferanten-Risikomanagement durchgeführt haben. Um diese Unternehmen zu unterstützen, hat Cyber Trust Services gemeinsam mit dem KSV1870 ein umfassendes Paket für Betreiber wesentlicher und wichtiger Dienste zusammengestellt, um ihnen den Einstieg ins Lieferanten-(Risiko)-Management so einfach wie möglich zu gestalten.