Suppliers in focus: NIS2 Directive also applies indirectly
Suppliers and service providers must be NIS2 compliant in order to continue to serve their NIS2-compliant customers.
First things first
NIS2 explained: What you need to know about the new regulation as a service provider
Even if you are not directly affected by the NIS2 Directive, companies subject to NIS2 must request evidence from their suppliers and service providers. This evidence is intended to ensure that your cybersecurity meets the high standards of the NIS2 Directive. You must be able to show that you have implemented appropriate security measures .
There are usually contracts that specify which cybersecurity measures you must adhere to. These contracts can include regular security checks and audits. It is therefore important that you manage risks well and keep your supply chain secure. Supply chain certificates are also important (eg: Cyber Trust Austria).
2
Cyber Risk Rating Vergabestellen in Österreich
15.000
indirekt durch NIS2 betroffene österreichische Unternehmen
5 Monate
dauert die durchschnittliche Cyber Risk Rating Implementierung
6.428,12€
sind die durchschnittlichen Implementierungskosten
Wussten Sie schon?
The NIS2 directive in Austria sets new standards in cybersecurity and strengthens trust in our infrastructures. By complying with this directive, we not only secure our systems, but also the future of our digital economy.
NIS2 Compliance: Your Options as a Supplier and Service Provider
Find out what you can do as a supplier and service provider to become NIS2 compliant and avoid losing customers or partners .
Cyber Trust Austria / Europe
Cyber Trust Austria ist eine staatlich unterstützte Organisation, die Unternehmen hilft, ihre IT-Sicherheitsmaßnahmen sichtbar und nachvollziehbar zu machen. Es basiert auf dem KSÖ-Schema und erfüllt damit die Anforderungen des NIS2-Gesetzes für Lieferanten – ein klarer Vorteil für Unternehmen, die ihre Compliance nachweisen müssen. (Auch für NIS2 pflichtige Unternehmen direkt)
Die Bewertung erfolgt durch unabhängige Prüfer und orientiert sich an einen standardisierten Fragebogen. Der Prüfprozess ist strukturiert und praxisnah. Am Ende steht ein offizielles Zertifikat: das Gütesiegel „Cyber Trust Austria“ (in der jeweiligen Ausführung), das Vertrauen schafft und als qualifizierter Nachweis im Sinne des NIS2-Gesetzes gilt.
Besonders positiv: Es gibt auch eine europäische Version des Modells, die grenzüberschreitend anerkannt ist. Damit eignet sich Cyber Trust Austria / Europe nicht nur für österreichische Organisationen, sondern auch für international tätige Unternehmen, die ihre Sicherheitsstandards europaweit belegen möchten.
Kreditschutzverband (KSV)
Das KSV Cyber Risk Rating wird vom Kreditschutzverband angeboten und kombiniert wirtschaftliche Bonitätsdaten mit einer Einschätzung der IT-Sicherheitslage. Es richtet sich vor allem an Unternehmen, die ihre digitale Vertrauenswürdigkeit gegenüber Geschäftspartnern oder Kunden dokumentieren möchten – etwa im Rahmen von Lieferketten oder Ausschreibungen. Es ist dabei sehr nah am Rating der Cyber Trust Austria.
Die Bewertung erfolgt auf Basis eines standardisierten Fragebogens und öffentlich zugänglicher Informationen gleichwertig mit jenen von Cyber Trust. Auch dieses Modell nutzt das KSÖ-Schema und gilt damit als qualifizierter Nachweis im Sinne des NIS2-Gesetzes.
Ein Aspekt, den Unternehmen beim Einsatz des KSV Cyber Risk Ratings berücksichtigen sollten, ist die eingeschränkte Transparenz: Die zugehörige Lieferantendatenbank ist nicht öffentlich zugänglich, was eine eigenständige Überprüfung durch Dritte erschwert. Zudem ist das Modell innerhalb Europas bislang nur begrenzt anerkannt, was den Einsatz in internationalen Kontexten einschränken kann.
NIS2 certification: What steps do I need to take?
1. Ziele definieren
Unternehmen sollten zunächst klären, wofür das Cyber Risk Rating benötigt wird: zur Erfüllung gesetzlicher Vorgaben (z. B. NIS2), für Ausschreibungen, zur Stärkung des Kundenvertrauens oder als interner Reifegradnachweis.
2. Passenden Anbieter auswählen
Nun sollte das passende Modell gewählt werden. Cyber Trust bietet den Vorteil einer öffentlich einsehbaren Lieferantendatenbank und ist dank des Europe Label auch international leichter anerkannt. Das KSV CyberRisk Rating hingegen ist vor allem national verbreitet und wird außerhalb Österreichs kaum wahrgenommen – häufig wird es eher mit Bonitätsprüfungen als mit IT-Sicherheit assoziiert. Beide Modelle basieren auf dem KSÖ-Schema und gelten als qualifizierter Nachweis im Rahmen des NIS2-Gesetzes.
3. Externe Beratung einholen
Gerade bei der Erstbewertung kann es sinnvoll sein, einen externen Berater oder IT-Sicherheitsexperten hinzuzuziehen. Dieser unterstützt bei der Vorbereitung, der Auswahl geeigneter Maßnahmen und der strukturierten Umsetzung – besonders hilfreich bei komplexen Anforderungen oder begrenzten internen Ressourcen. Man sollte dabei auf der "Partner" Seite der Anbieter überprüfen ob diese qualifiziert sind.
4. Selbsteinschätzung vorbereiten
Beide Modelle starten mit einem strukturierten Fragenkatalog. Unternehmen sollten relevante Unterlagen wie Sicherheitsrichtlinien, IT-Dokumentationen oder Schulungsnachweise bereithalten, um den Prozess effizient zu gestalten.
5. Prüfung durchführen lassen
Sowohl bei Cyber Trust Austria als auch beim KSV CyberRisk Rating erfolgt die Bewertung nach dem gleichen Audit-Schema des KSÖ. Die Prüfprozesse sind inhaltlich identisch aufgebaut und basieren auf einem standardisierten Fragenkatalog, der die Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen bewertet. Der Unterschied liegt vor allem in der Positionierung und Sichtbarkeit der Ergebnisse – nicht in der Tiefe der Prüfung.
6. Ergebnis erhalten und aktuell halten
Das Ergebnis ist entweder ein Gütesiegel (Cyber Trust) oder ein CyberRisk Score mit Ampelbewertung (KSV). Beide gelten als qualifizierter Nachweis im Sinne des NIS2-Gesetzes. Unternehmen sollten das Rating regelmäßig aktualisieren – insbesondere bei technischen Änderungen oder neuen regulatorischen Anforderungen.
NIS2 Directive: What consequences do I face as a service provider & supplier?
If you are contractually obligated to meet certain security standards and fail to do so, you may be subject to contractual penalties . These penalties can put a strain on your finances and damage business relationships. In the worst case, they can lead to contract termination.
contractual penalties
Customers who need to comply with safety standards may switch to another supplier that has the necessary certifications . This can lead to you losing many customers and suffering financial losses.
loss of customers
Without security certification as a secure supplier, customers could lose confidence in your competence . This can damage your reputation in the long term. It will also be more difficult to acquire new customers or maintain existing relationships.
loss of trust
TOGETHER FOR NIS2 COMPLIANCE
Tell us about your situation and together we will find tailor-made solutions that suit you. Whether it is a NIS2 certification or a GAP analysis, we are the partner of your choice.
CyberSecurity with Perspective
