CyberVadis – Das Assessment für Cybersecurity
Immer mehr Auftraggeber verlangen von ihren Auftragnehmern eine Cybersecurity-Bewertung durch CyberVadis. Wir klären in diesem Beitrag, was CyberVadis ist, wie das Assessment abläuft und welche Unternehmen am meisten profitieren.
Was ist CyberVadis?
CyberVadis ist eine Plattform, die Unternehmen dabei unterstützt, die Cybersicherheitsstandards ihrer Geschäftspartnerinnen und -partner, Dienstleistende oder Zulieferende zu bewerten.
Risiken innerhalb der Lieferkette können so erkannt und verwaltet werden. CyberVadis bietet eine Risikomanagementlösung, die Unternehmen dabei hilft, ihre Cybersicherheitspraktiken besser zu verstehen und Stärken und Risikobereiche zu identifizieren. CyberVadis folgt einer Methodik, die das Informationssicherheitsmanagementsystem (ISMS) eines Unternehmens bewertet, um seinen Reifegrad zu bestimmen. Analysiert werden dabei Richtlinien, Implementierungsmaßnahmen und Ergebnisse des Cybersecurity-Lebenszyklus in den vier Bereichen:
IDENTIFY
PROTECT
DETECT
REACT
Das CyberVadis-Assessment basiert auf anerkannten internationalen Informationssicherheitsstandards wie der ISO 27001, dem NIST Cybersecurity Framework und der DSGVO.
CyberVadis ist von der Systematik her vergleichbar mit EcoVadis, dem Assessment aus dem Bereich Nachhaltigkeit. CyberVadis ist ein Unternehmen, das 2018 mit Sitz in Paris gegründet wurde – daher ist es vor allem in Frankreich verbreitet. CyberVadis ist Mitglied in der European Cyber Security Organisation (ECSO), dem Cyber-Sicherheitsrat Deutschland e.V. (Deutschland), Hexatrust (Frankreich), Campus Cyber (Frankreich) und offizieller Sponsor von CESIN (Frankreich).
Was ist das CyberVadis Assessment?
Das Assessment hilft dabei, sich ein umfassendes Bild der Cybersecurity zu machen. Bewertet wird das Informationssicherheitsmanagementsystems (ISMS) eines Unternehmens und analysiert wird die Einhaltung von DSGVO, NIST und mehr. Das Ergebnis des Assessments ist eine standardisierte Cybersicherheitsbewertung in Form einer Scorecard sowie einem Aktionsplan für die kontinuierliche Verbesserung der Cybersecurity. Das Assessment zeigt auf, welche Risiken das Unternehmen besonders betreffen und welche Auswirkungen diese haben könnten.
Im Assessment werden automatisierte Analysen mit Überprüfungen durch Sicherheitsexperten kombiniert. Geprüft werden diese vier Bereiche:
- Datenschutz und DSGVO:
CyberVadis prüft, ob Unternehmen die DSGVO und Vorschriften zur Datenverarbeitung einhalten. Dies umfasst auch den Umgang mit sensiblen Daten von Drittanbietern. - Datensicherheit:
Geprüft wird, wie gut Unternehmen ihre Systeme und Daten vor Cyber-Bedrohungen oder unbefugtem Zugriff schützen. Im Fokus stehen Maßnahmen wie Zugriffskontrolle und die Sicherung der Integrität und Verfügbarkeit von Daten. - Third-Party-Management:
CyberVadis bewertet nicht nur das Unternehmen selbst, sondern auch dessen Umgang mit externen Partnern und Dienstleistern. Sicherheitsrisiken in der Lieferkette und das Management von Drittrisiken gehören ebenso zum Assessment. - Business Continuity:
Analysiert und bewertet wird außerdem das Business Continuity Management (BCM) – auch als betriebliches Kontinuitätsmanagement bekannt. Als BCM bezeichnet man einen Managementansatz, der darauf abzielt, die Geschäftskontinuität auch bei Störungen aufrechtzuerhalten.
Die Vorteile von CyberVadis
CyberVadis wird häufig als Voraussetzung für eine Zusammenarbeit verlangt, bietet jedoch darüber hinaus weitere Vorteile für Unternehmen:
- Transparenz: Wie andere Assessment-Plattformen führt auch eine Prüfung durch CyberVadis zu einer transparenten Bewertung – entlang der gesamten Lieferkette. Risiken können so besser eingeschätzt und das Vertrauen gestärkt werden.
- Kontinuierliche Optimierung und erhöhte Sicherheit: Nach einer CyberVadis-Bewertung erhalten Unternehmen einen ausführlichen Bericht über Schwachstellen und Risiken. Dies hilft, die Cybersecurity des Unternehmens nachhaltig zu verbessern und vorhandene Sicherheitslücken zu schließen.
- Einhaltung internationaler Sicherheitsstandards: Das Assessment von CyberVadis ist an internationalen Standards ausgerichtet – unter anderem an der DSGVO, NIST oder der ISO 27001. Es unterstützt Unternehmen dabei, diese Standards einzuhalten.
Der CyberVadis-Prozess
Das Assessment von CyberVadis ist umfangreich und sollte nicht unterschätzt werden. Es erfolgt grundsätzlich in vier Schritten:
- Anmeldung
Die Anmeldung erfolgt entweder durch eine Selbstregistrierung oder auf Einladung eines Kunden oder Geschäftspartners. - Qualifizierungsfragebogen
Der erste Schritt zur Bewertung ist der Qualifizierungsfragebogen mit allgemeinen Fragen zum Unternehmen. Die Antworten in diesem Schritt beeinflussen, welche Fragen im individualisierten Fragebogen gestellt werden. - Individueller Fragebogen
Der individuelle Fragebogen ist dynamisch und abhängig von den Angaben im Qualifizierungsfragebogen, sowie vom Unternehmenssektor und der Unternehmensgröße. Wird ein CyberVadis-Assessment von einem Geschäftspartner angefragt, kann dies ebenfalls den Umfang des Fragebogens beeinflussen. Welche Fragen beantwortet werden müssen und in welchem Umfang, kann vorab nicht festgelegt werden. Aus diesem Grund gibt es keinen öffentlich zugänglichen Fragenkatalog.
Für das Ausfüllen und das Bereitstellen der Dokumente ist ein Standardzeitraum von 20 Tagen vorgesehen, diese Frist ist für viele Unternehmen eng bemessen. Die Deadline kann in Abstimmung mit dem anfragenden Kunden auch anders gewählt werden. - Analyse
Die Analyse des Fragebogens durch die CyberVadis Experten dauert etwa 4–6 Wochen. - Bericht
Anschließend erhalten Unternehmen eine Scorecard mit den Ergebnissen in den vier Bereichen Datenschutz / DSGVO, Datensicherheit, Third-Party-Management und Business Continuity. Der Bericht enthält auch einen Plan zum Schließen der Schwachstellen. Unternehmen können intern an diesem Plan arbeiten und nach dessen Umsetzung ein Reassessment durchführen lassen. Mit einer aktiven Mitgliedschaft bei CyberVadis kann die Scorecard geteilt werden; sie ist für 12 Monate gültig.
Benötigst du Unterstützung für dein CyberVadis-Assessment? Wir helfen dir gern weiter!