Das Zentrum für Cybersicherheit Belgien (CCB) hat ein Tool entwickelt, mit dem eine einfache Risikobewertung durchgeführt werden kann, die zu einer fundierten Auswahl des geeigneten CyberFundamentals Sicherheitsstufe im kontext von NIS2. Das Tool schreibt keine spezifische risikoanalysemethode vor, die von Organisationen in ihrem täglichen Management verwendet werden muss.
In Anlehnung an die NIS2-Richtlinie der EU führte das CCB allgemeine Risikobewertungen für 17 Sektoren durch, wobei insbesondere die nationalen oder gesellschaftlichen Folgen eines Cyberangriffs berücksichtigt wurden. Die Ergebnisse dieser Risikobewertungen sind als Standardwerte in das Tool eingeflossen.
Um den für Ihr Unternehmen geeigneten CyberFundamentals Sicherheitsstufe zu ermitteln, müssen Sie die folgenden 4 einfachen Schritte durchlaufen:
Stellen Sie Ihre Organisationsgröße ein, indem Sie die richtige Zahl in die Zelle neben der Zelle "Organisationsgröße (L/M/S=3/2/1)" eingeben.
Um die Größe Ihrer Organisation zu bestimmen, verwenden Sie bitte die folgenden Kriterien:
| Größe Werte | Größe | Kriterien für die Größe * |
| 3 | Large | 250 oder mehr Beschäftigte**, ODER mehr als 50 Mio. EUR Jahresumsatz, ODER mehr als 43 Mio. EUR Jahresbilanzsumme. |
| 2 | Medium | Zwischen Klein und Groß |
| 1 | Small | Weniger als 50 Beschäftigte UND weniger als 10 Millionen EUR Jahresumsatz UND weniger als 10 Millionen EUR Jahresbilanzsumme |
* Die durchschnittliche Größe Ihrer Organisation im Laufe des letzten Rechnungsjahres. Wenn Sie Teil einer größeren Organisation (z. B. einer Holding) sind oder eine Partnerorganisation haben, müssen Sie auch deren Größe in Ihre Berechnung einbeziehen, es sei denn, Sie können eine ausreichende Unabhängigkeit von deren Netzwerk und Informationssystemen nachweisen.
** Vollzeitäquivalente des gesamten Personals, das im letzten Geschäftsjahr in oder für die Organisation gearbeitet hat.
Für weitere Einzelheiten siehe Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen.
Aufgrund seiner Erfahrung hat der CCB die folgenden Kategorien von Cyberangriffen ausgewählt:
Für jede Kategorie von Cyberangriffen wurde in der Spalte ("Auswirkung") die nationale, gesellschaftliche oder geschäftliche Auswirkungsebene festgelegt. Sie können die standardmäßige Auswirkungsgrad akzeptieren oder sie an die spezifische Situation Ihrer Organisation anpassen. Das Dokument Beschreibung der Auswirkungsgrad Hoch, Mittel und Gering; enthält weitere Informationen darüber, wie die Auswirkungen bestimmt werden.
Wenn der Standardwert geändert wurde, ist es wichtig, die Gründe für diese Änderung zu dokumentieren.
Aufgrund seiner Erfahrung hat der CCB die folgenden Bedrohungsakteure ausgewählt:
Für jede Cyber-Angriffskategorie und für jede Art von Bedrohungsakteur wurde die Wahrscheinlichkeit (hoch, mittel, gering) ermittelt, ob diese Art von Cyber-Angriff von diesem Typ von Bedrohungsakteur durchgeführt wird.
Die Wahrscheinlichkeitskriterien werden in der Registerkarte "Kriterien" im CyFun Selection Tool erläutert.
Sie können die Standardwahrscheinlichkeit akzeptieren oder sie an die spezifische Situation Ihres Unternehmens anpassen.
Wenn der Standardwert geändert wurde, ist es wichtig, die Gründe dafür zu dokumentieren.
Auf der Registerkarte "Kriterien" des CyFun-Auswahltools finden Sie weitere Informationen über die Bedeutung der Wahrscheinlichkeiten Niedrig, Mittel und Hoch.
Das Tool generiert automatisch den entsprechenden Cyber Fundamentals Assurance Level in der Zelle "CyFun Level".
Wenn Ihre Organisation in mehrere Sektoren fällt, ist die höchste CyFun-Zuverlässigkeitsstufe anwendbar.
Wenn der generierte "CyFun-Level" vom Standard "CyFun-Level" abweicht, ist es wichtig, den Grund dafür zu dokumentieren.
Rückmeldungen zum Tool können an certification@ccb.belgium.be gesendet werden.
Das Tool ist nur auf Englisch verfügbar.
