Linkedin-in Facebook-f

Was ist das CyberTrust Label?

Das CyberTrust Label ist die Antwort auf die Frage, in welcher Weise die Erfüllung vertraglicher, aber auch gesetzlicher NIS2-Verpflichtungen nachgewiesen werden kann. 

Natürlich wäre es möglich, Richtliniendokumente, Logfiles oder Netzwerkpläne auf die digitale Reise zu schicken. Besser ist es jedoch, das Vorliegen der notwendigen Unterlagen extern validiert nachweisen zu können und das CyberTrust-Label als Nachweis der Durchführung geforderter Informationssicherheits-Maßnahmen vorzulegen.

Alle Label dienen dem Nachweis von Cybersicherheitsmaßnahmen gem. §16 NIS-Gesetz, allerdings in unterschiedlichen Qualitäten.

Welche Arten des CyberTrust Labels gibt es?

Es gibt drei Stufen des CyberTrust Labels:

Label (B)
Fokus: KMUs als Zulieferer von Betreibern wesentlicher Dienste.
In einer schriftlichen Selbstdeklaration wird ein Fragebogen mit aktuell 14 Fragen ausgefüllt. Die Antworten werden extern validiert, das Ergebnis führt zur Verleihung des Labels B. Es dient zur Deklaration der Baseline Security. 

Label Silber (A)
Fokus: Große Unternehmen als Zulieferer wesentlicher Dienste.
Auch hier ist eine schriftliche Selbstdeklaration und die nachfolgende externe Validation notwendig, hier jedoch mittels einem 25 Fragen umfassenden Fragebogen. 

Label Gold (A+)
Fokus: Große Unternehmen als Zulieferer von Betreibern wesentlicher Dienste.
Zur validierten Selbstdeklaration von 25 Fragen kommt es zu einem Audit durch qualifizierte Prüfer vor Ort.

Einfach nur Selbstdeklaration?

Bei den Labels B und A: Ja! Aber man stimmt der Durchführung eines stichprobenartigen Überprüfungs-Audits zu!

Das bedeutet, dass die behaupteten Dokumente wie Richtlinien, Listen, Dokumentation und Protokolle vorliegen müssen. Man wäre schlecht beraten, nur die 15 Fragen zu beantworten, ohne die strukturelle Arbeit dahinter erledigt zu haben.

Im Label A+ kommt es ohnehin zu einem externen Audit, hier stellt sich die Frage nicht.

Welche Unterlagen brauche ich, und wo bekomme ich sie?

Genau das ist vielleicht das größte Problem für Unternehmen. Viele Dokumente sind vielleicht vorhanden, aber nicht systematisch geordnet. Andere Unterlagen liegen vielleicht gar nicht vor. 

Verlangt wird (auszugsweise):

  • Informationssicherheitspolitik und -richtlinien
  • Richtlinien für Mitarbeiter aber auch für Administratoren betreffend Informationssicherheit
  • Dokumentation der gesamten IT-Umgebung
  • Vollständige DS-GVO-Dokumentation
  • Protokolle über durchgeführte Schulungen, Wartungen oder Kontrollen
  • etc.

 

Mein Angebot an Sie:

Durch die Begleitung von Unternehmen bei der Erlangung eines CyberTrust Labels habe ich Wissen und Erfahrung, Sie bei dabei zu unterstützen, auch Ihre Bemühungen zur Informationssicherheit sichtbar zu machen. Nicht zuletzt die Zertifizierung zum Information Security Manager nach ISO 27001 versetzt mich in die Lage, hier professionell zu helfen.

Selbstverständlich erhalten Sie alle notwendigen Dokumente und Vorlagen zu Ihrer Verfügung und sparen sich somit viel Zeit und Geld. Nutzen Sie mein Wissen und meine Erfahrung für Ihr Unternehmen!

Ich habe Interesse!

Ja, ich möchte Ihr Wissen und Ihre Erfahrung in Anspruch nehmen, bitte übermitteln Sie mir ein Angebot, denn ich möchte Ihre Hilfe bei der Erlangung eines CyberTrust Labels in Anspruch nehmen: