Verfahren zum Management von Lieferantenbeziehungen
Lieferanten-Risikomanagement operativ.
Warum dieses Dokument?
Lieferanten und Dienstleister sind heute ein integraler Bestandteil nahezu jeder IT-Landschaft – von Cloud-Services über Softwareentwicklung bis hin zu Managed Services. Damit werden sie auch zu einem kritischen Risikofaktor für Ihre Informationssicherheit. Die NIS2-Richtlinie verschärft die Anforderungen an das Management der "IKT-Lieferkette" erheblich (§ 30 Abs. 2 Nr. 4 BSIG).
Das regelt dieses Verfahren
- Lieferanten-Klassifizierung: Systematische Einstufung aller Lieferanten nach Risikopotenzial – von Standardlieferanten bis zu NIS2-kritischen Anbietern
- Lebenszyklus-Management: Strukturierte Prozesse für Auswahl, Onboarding, laufende Überwachung und Beendigung von Lieferantenbeziehungen
- Vertragliche Absicherung: Anforderungen an Sicherheitsvereinbarungen, TOMs, AVV, NDA und Audit-Rechte
- NIS2-spezifische Regelungen: Besondere Verfahren für "unmittelbare Anbieter", Incident-Kooperation und Notfallplanung bei Lieferantenausfällen
- Hochrisiko-Szenarien: Spezielle Regelungen für Drittanbieter-Code, Software-Bibliotheken und physischen Zutritt durch Externe
Ihr Nutzen
Mit diesem Verfahren etablieren Sie einen durchgängigen Prozess zur Steuerung von Lieferantenrisiken – von der ersten Risikoeinschätzung bis zum geordneten Offboarding. Die enthaltene RACI-Matrix definiert klare Verantwortlichkeiten zwischen Einkauf, IT, ISB und Fachbereichen. Besonders wertvoll: die NIS2-spezifischen Ergänzungen für meldepflichtige Einrichtungen.
Normen & Regulatorik
- ISO/IEC 27001
- A.5.19 A.5.20 A.5.21 A.5.22
- NIS2 / BSIG
- § 30 Abs. 2 Nr. 4 BSIG
zzgl. gesetzl. MwSt.
( brutto / Stück)