Supply Chain Cyber Security

Ihr Experte für Fragen

Nial Moore
Director, Cyber Security Strategy & Risk bei PwC Deutschland
Tel.: +49 171 7611535
E-Mail

Cyberbedrohungen wirken auf die gesamte Lieferkette

Cyberangriffe und Unterbrechungen globaler Wertschöpfungsketten führen heute regelmäßig zu Beeinträchtigungen der operativen Leistungserbringung. Das Ergebnis unserer weltweiten Cyber-Security-Studie Digital Trust Insights 2024 zeigt, dass 56 % aller Unternehmen Cyberangriffen auf die Lieferkette erwarten. Während viele Organisationen für sich selbst bereits Maßnahmen zur Verbesserung der Cyberresilienz umgesetzt haben, haben nur wenige eine hinreichende Transparenz bezüglich der Risikolage außerhalb der eigenen Organisation.

Fest steht: Immer mehr Unternehmen sind von Unterbrechungen und Lieferengpässen in ihren Supply Chains betroffen. Dabei handelt es sich nicht mehr um eine einzelne Supply Chain, sondern um ein Eco-System mit einer Vielzahl an Unternehmen und Organisationen, die miteinander in Verbindung stehen. Doch diese Eco-Systeme sind anfällig.

Gelingt es dem Management nicht, diese Risiken angemessen zu steuern, kommt es zu immensen wirtschaftlichen Schäden und im Fall von kritischen Infrastrukturen auch zu Versorgungsengpässen.

Es finden sich daher in fast allen aktuellen Cyber-Regulierungen entsprechende Anforderungen die Lieferketten abzusichern: NIS-2, DORA, CRA, EU AI Act oder die KRITIS-Verordnungen sind hier prominente Beispiele. Für zahlreiche Sektoren und eine zunehmende Anzahl von Unternehmen sind sie bindend und sehen empfindliche Strafen bei Nichteinhaltung vor.

Solarwinds, Kaseya, Log4j: um die Bedrohungen zu identifizieren und darauf reagieren zu können müssen Unternehmen vor folgende Fragestellungen beantworten:

Welche Teile der Wertschöpfungskette können Einfallstore – sowohl in der IT- als auch in der OT-Infrastruktur – für Cyberangriffe bieten? Welche Schutzmechanismen bestehen bereits?
Welche Risikoszenarien und Supply-Chain-Partner müssen betrachtet werden?
Wie und wo im Unternehmen sollte die Cybersicherheit in der Lieferkette organisatorisch aufgehängt werden?
Welche Fähigkeiten und Ressourcen müssen aufgebaut werden, und wie lässt sich ein hohes Sicherheitsniveau etablieren?
Welche Integrationspunkte zu angrenzenden Prozessen und Bereichen müssen berücksichtigt werden?

PwC hat zahlreiche Organisationen bei diesen Herausforderungen unterstützt – von „Hidden Champions“ im Mittelstand bis hin zu global aufgestellten Großkonzernen. Nutzen Sie diese Erfahrungen auch für sich!

Wofür wir stehen

Know-how in Regulatorik & Zertifizierungen

Sie profitieren von unseren sektorübergreifenden Kenntnissen der regulatorischen Anforderungen und die Nutzung vorhandener Zertifizierungen bei der Absicherung der Supply Chain.

Branchenerfahrung

Wir bringen branchenspezifische Best Practice ein und kennen die spezifischen Herausforderungen bei der Absicherung der spezifischen Lieferkette.

Integration in bestehende Prozesse

Unsere Teams aus Supply Chain Cyber Security, BCM, Cyber Security, OT Security, Risk Management, Supply Chain Resilience/Sourcing bieten Ihnen eine umfassende Abdeckung Ihrer Risikolandkarte.

Wie wir Sie bei der Absicherung Ihrer Lieferkette unterstützen

Strategy, Governance und TOM

Unterstützung von der Strategy bis zum Target Operating Model

Risk Management

Aufbau eines dedizierten Supplier Security Risk Managements sowie Implementierung von umfassenden Third Risk Management Strukturen.

OT Security

Verbindung von IT- und OT-Perspektiven

Software Security

Explizite Betrachtung der Software-Lieferkette

Supply Chain Cyber Security as a Service

Ende zu Ende Unterstützung zur langfristigen Absicherung

Toolunterstützung

Expertise rundum die Implementierung und Weiterentwicklung toolgestützter Prozesse.

Relevante Stellgrößen der Supply Chain Cyber Security

Grundsätzlich gilt bei dem Thema Supply Chain Cyber Security: Alle Cyber- Security- Anforderungen, die Organisationen sich in Form von Richtlinien und Policies selbst abverlangen, sollten sie auch bei allen externen Partnern erwarten. Denn diese Vorgabedokumente entsprechen dem Risiko-Appetit der Organisation und gelten somit auch ggü. externen Dritten. Insofern fangen viele Organisation nicht bei Null an, sondern haben vielfach bereits die Anforderungen an externe Dritte definiert.

Die Einhaltung dieser Anforderungen gilt es in einer wirtschaftlich sinnvollen Ausgestaltung hinsichtlich der Supply Chain- Partner zu analysieren:

Welche Third Partys sind in den geschäftskritischen Prozessen involviert?
Sind neben Lieferanten weitere Third Partys beispielsweise Agenturen, F&E Partner, Händler oder Labore relevant?
Welche Cyber-Risiko-Szenarien sind für Ihr Unternehmen relevant?

Integration in einen übergreifenden Third Party Risk Management Prozess vs. spezifische Ausgestaltung für Cyber Security
Welche Verantwortung tragen die Geschäftsbereiche, die IT, das Vendor Management, der Einkauf etc.?

Vertragliche Ausgestaltung und Konsequenzen-Management
Forderung zur Umsetzung von Anforderungen inkl. Nachverfolgung
Interne Response Pläne etablieren

Berücksichtigung von sich ändernden Rahmenbedingungen wie beispielsweise den Serviceumfang
Maßnahmen bei der Terminierung der Vertragsbeziehung

„Supply Chain Cyber Security darf nicht bei der Analyse von Risiken durch Dritte enden. Vielmehr sollte die Analyse die Grundlage für die anzustrebende Responsefähigkeit darstellen.“

Nial Moore,Director, Cyber Security Strategy & Risk bei PwC Deutschland