CADIS - Cybersecurity Assessment for Defence Industry Suppliers
Resilienz entlang der gesamten Lieferkette messbar machen und nachhaltig stärken
Die Verteidigungs- und Rüstungsindustrie ist heute stärker denn je auf belastbare, sichere und widerstandsfähige Lieferketten angewiesen. Gleichzeitig steigt die Komplexität: hohe technologische Abhängigkeiten, vernetzte Produktionsumgebungen, steigende Cyberbedrohungen und eine heterogene Landschaft aus Standards und Normen erschweren die zuverlässige Bewertung von Zulieferern.
CADIS schließt diese Lücke: Als erstes europäisches Prüfverfahren speziell für Zulieferer der Verteidigungs- und Rüstungsindustrie schafft es eine einheitliche, transparente und messbare Grundlage zur Bewertung der Cyber- und Informationssicherheit entlang der gesamten Lieferkette.
- Marktzugang: Werden Sie als zuverlässiger Partner in der Rüstungsindustrie wahrgenommen
- Wettbewerbsvorteil: Nachweisbare Sicherheit schafft Vertrauen und stärkt die Marktposition
- Sicherheit: Ganzheitliche Absicherung von IT & OT und Reduzierung von Betriebsrisiken
- Effizienz: Modularer Ansatz reduziert Prüfaufwand
Cybersicherheit in der Rüstungsbranche: Verantwortung beginnt in der Lieferkette
Geistiges Eigentum, vertrauliche Projektdaten, kritische Infrastrukturen – wer in der Verteidigungs- und Rüstungsindustrie tätig ist, schützt mehr als das eigene Unternehmen. Sicherheit endet nicht am Werkstor. Sie muss über alle Zulieferer und Partner hinweg gewährleistet sein.
CADIS wurde genau dafür entwickelt: ein strukturiertes Prüfverfahren, das die spezifischen Anforderungen der Branche in einen klaren, einheitlichen Bewertungsrahmen überführt. Kein Wildwuchs aus internen Checklisten, kein Interpretationsspielraum – sondern eine belastbare, nachvollziehbare Grundlage für Lieferantenentscheidungen.
Dabei bleibt CADIS praxistauglich: 14 Module, flexibel kombinierbar nach Rolle und Risikoprofil. Nur was relevant ist, wird geprüft. Die Anforderungen sind präzise – die technische Umsetzung bleibt offen.
1. Kick-Off Gemeinsamer Auftakt: Rahmenbedingungen, Erwartungen und Prüfumfang werden abgestimmt, erforderliche Unterlagen und Ansprechpartner festgelegt.
2. Phase 1 – Dokumentenbasierte Vorprüfung: Formale und inhaltliche Vorabprüfung auf Basis bereitgestellter Unterlagen. Risikobereiche werden identifiziert, die Hauptprüfung gezielt vorbereitet.
3. Phase 2 – Hauptprüfung: Die Prüftiefe richtet sich nach dem gewählten Level of Examination (LoE):
- LoE 1 – Plausibilitätsprüfung der Gesamtumsetzung je Prüfpunkt, ohne Verifikation von Nachweisdokumenten
- LoE 2 – Strukturiertes Remote-Interview mit risikobasierter Auswahl und vertiefender Verifizierung
- LoE 3 – Vor-Ort-Audit mit Interviews, Stichproben und Standortbegehung; evidenzbasierte Verifizierung
4. Abschlussgespräch Die Ergebnisse werden gemeinsam besprochen. Maßnahmenplan, Follow-Up und Termin für die risikobasierte Überwachungsprüfung werden abgestimmt.
5. Maßnahmenplan Bei Abweichungen erstellt der Kunde einen verbindlichen Maßnahmenplan mit konkreten Korrekturmaßnahmen, Verantwortlichkeiten und Umsetzungsfristen.
6. Follow-Up Überprüfung und Dokumentation der umgesetzten Maßnahmen – zur Sicherstellung einer nachhaltigen Behebung identifizierter Schwachstellen.
7. Risikobasierte Überwachungsprüfung Im Jahr nach der Erstprüfung: Auf Basis des Ergebnisses der Vorprüfung, des Risikoprofils, offener Feststellungen und relevanter Änderungen (organisatorisch, standortbezogen, Sicherheitsvorfälle).
8. Neuer Prüfzyklus Nach Abschluss aller Schritte startet der Prozess erneut – angepasst an aktuelle Gegebenheiten und das weiterentwickelte Risikoprofil des Lieferanten.
CADIS prüft dort, wo es wirklich zählt. Die 14 Module decken alle relevanten Sicherheitsbereiche ab – von IT und OT über Datenschutz bis hin zu physischer Sicherheit. Je nach Rolle, Risikoprofil und Sensibilität des Unternehmens werden nur die tatsächlich relevanten Module angewendet. Das reduziert Aufwand, schafft Klarheit und liefert ein nachvollziehbares Gesamtbild der Cyber- und Informationssicherheit entlang der Lieferkette.
Die Module im Überblick:
1. Physische Sicherheit am Standort
2. Organisation der Informationssicherheit
3. Einsatz cloudbasierter und externer Serviceleistungen
4. Sicherheit in der Softwareentwicklung
5. Informationssicherheit im Projektmanagement / Personalwesen / Einkauf
6. Incident- und Krisenmanagement
7. Kontinuitätsmanagement (BCM)
8. Identitäts- und Zugriffsmanagement (IAM)
9. IT-Security
10. Operational Technology (OT)
11. Compliance Management
12. Datenschutz
13. Einsatz künstlicher Intelligenz
14. Transport und Umschlag
2. Organisation der Informationssicherheit
3. Einsatz cloudbasierter und externer Serviceleistungen
4. Sicherheit in der Softwareentwicklung
5. Informationssicherheit im Projektmanagement / Personalwesen / Einkauf
6. Incident- und Krisenmanagement
7. Kontinuitätsmanagement (BCM)
8. Identitäts- und Zugriffsmanagement (IAM)
9. IT-Security
10. Operational Technology (OT)
11. Compliance Management
12. Datenschutz
13. Einsatz künstlicher Intelligenz
14. Transport und Umschlag
Regulatorische Pflichten systematisch erfüllen – NIS2, BSIG, CRA & internationale Standards
NIS2 und das BSIG verpflichten Unternehmen, Cybersicherheitsrisiken nicht isoliert zu betrachten – Risikomanagement muss die gesamte Lieferkette einschließen. Das bedeutet konkret: Zulieferer bewerten, Schutzmaßnahmen umsetzen, Nachweise erbringen.
CADIS schafft dafür die strukturelle Grundlage. Das Prüfverfahren orientiert sich an anerkannten Normen und Rahmenwerken – unter anderem ISO/IEC 27001:2022, IEC 62443, NIST Cybersecurity Framework v2.0, BSI IT-Grundschutz und C5, NIS2-Richtlinie, DSGVO sowie dem EU Cyber Resilience Act. Standardisierte Lieferantenprüfungen liefern belastbare Dokumentation – nachweisbar, auditfähig und anerkannt gegenüber öffentlichen Auftraggebern und bei Ausschreibungen.
Für alle Unternehmen, die als Zulieferer oder Dienstleister in der Rüstungs- oder Verteidigungsindustrie tätig sind oder es werden möchten.
Eine messbare, einheitliche Grundlage zur Bewertung der Lieferkettenresilienz zu schaffen.
Der Produkt X Prozess besteht aus 8 Schritten:
Kick-off → Vorabprüfung → Hauptprüfung → Abschluss → Maßnahmenplan → Follow-up → Überwachungsprüfung → neuer Zyklus.
LoE definieren die Prüftiefe:
- LoE 1: Selbstauskunft mit Plausibilitätsprüfung der Gesamtumsetzung
- LoE 2: Dokumentenprüfung mit anschließendem strukturiertem Remote-Interview
- LoE 3: Dokumentenprüfung mit anschließendem vollumfänglichem Vor-Ort-Audit
- Vorabprüfung: abhängig von Umfang der eingereichten Unterlagen; zwischen Phase 1 und Phase 2 liegen je nach LoE 2–7 (LoE 1/2) bzw. 7–21 Kalendertage (LoE 3)
- Hauptprüfung: abhängig von LoE, Anzahl der Prüfmodule und Standorten
- Gesamtprozess inkl. Follow-up: abhängig von Abweichungen
Nur jene Module, die für die jeweilige Rolle und das Risikoprofil relevant sind.
Ja. Die Anforderungen sind präzise formuliert, lassen aber Flexibilität bei der technischen Umsetzung.
Die SCE ist die systematische Einstufung der Kritikalität eines Lieferanten durch den Hersteller bzw. Auftraggeber. Sie berücksichtigt Sicherheitsrelevanz, Schutzbedarf, Komplexität der Lieferbeziehung, regulatorische Anforderungen, Business Impact sowie geografisches und geopolitisches Risikoprofil. Das Ergebnis bestimmt das anzuwendende Level of Examination (LoE) und die Einordnung in die Sonderanforderungen Stufen 1–3.
Nein. Die Auswahl erfolgt risikobasiert. Die Auswahl der Prüfmodule erfolgt durch den Systemhersteller. Zur Unterstützung dieses Prozesses stellt DEKRA das Tool „Supplier-Criticality-Evaluation" bereit – ein standardisiertes Bewertungsschema, das eine einheitliche und nachvollziehbare Festlegung des individuellen Prüfscopes je Lieferant sicherstellt.
Umfasst der Prüfscope mehrere Standorte unter einem gemeinsamen ISMS, wendet CADIS einen risikobasierten Multi-Site-Ansatz an. Der Hauptstandort wird stets vollumfänglich geprüft; eine risikobasierte Stichprobe weiterer Standorte wird gemäß der Formel ⌈√n⌉ geprüft, die verbleibenden Standorte mit dem nächstniedrigeren LoE. Voraussetzung sind ein einheitliches übergreifendes ISMS, zentrale Verantwortlichkeit und vergleichbare Risikoprofile.
- Kritische Abweichungen Der Kunde erstellt einen verbindlichen Maßnahmenplan, der vom Auditor abgenommen wird. Die kritischen Abweichungen müssen innerhalb von maximal 3 Monaten behoben oder auf nicht kritische Abweichungen herabgestuft werden.
- Nicht kritische Abweichungen Wird eine temporäre Freigabe gewünscht, ist die Erstellung eines Maßnahmenplans erforderlich. Die Behebung kann im Rahmen eines optionalen Follow-Ups erfolgen – spätestens jedoch zur risikobasierten Überwachungsprüfung im darauffolgenden Jahr. Werden nicht kritische Abweichungen bis dahin nicht wirksam abgestellt, erfolgt eine Eskalation auf „kritisch abweichend".
Der CADIS-Prüfzyklus läuft über zwei Jahre: Erstprüfung im ersten Jahr inklusive etwaiger Follow-Up-Prüfungen, risikobasierte Überwachungsprüfung im zweiten Jahr. Nach Ablauf des Zyklus ist eine erneute Prüfung erforderlich; der Prüfscope wird dabei neu festgelegt.
Der CADIS-Prüfzyklus läuft regulär über 2 Jahre: Erstprüfung im ersten Jahr, risikobasierte Überwachungsprüfung im zweiten Jahr. Die Freigabe gilt für die Dauer des Zyklus – maximal 2 Jahre. Nach Abschluss des Zyklus ist eine erneute Prüfung erforderlich.
Warum DEKRA:
- Von DEKRA entwickelt und exklusiv durchgeführt: CADIS ist ein DEKRA eigenes Produkt
- Branchenexpertise: wir verfügen über jahrzehntelange Erfahrung in Cybersicherheit, industriellen Prüfverfahren und sicherheitskritischen Sektoren
- Unabhängigkeit & Glaubwürdigkeit: Als neutrale und international anerkannte Prüforganisation sorgen wir für Vertrauen und Transparenz entlang der gesamten Lieferkette