Was ist der wichtigste Unterschied zwischen NIS2 und DORA im Hinblick auf das Management von Lieferantenrisiken?

Beide verlangen eine belastbare Lieferantenaufsicht. DORA ist jedoch auf den Finanzsektor ausgerichtet und enthält sehr konkrete Vorgaben zum IKT-Drittparteienrisiko, einschließlich spezifischer Vertragsklauseln, Analysen von Konzentrationsrisiken und Zugriffsrechten für Aufsichtsbehörden. NIS2 gilt breiter für „wesentliche“ und „wichtige“ Einrichtungen und verlangt einen risikobasierten Ansatz zur Absicherung der gesamten Lieferkette, ohne bei einzelnen Vertragsbedingungen so granular wie DORA zu sein.

Reicht ein ISO/IEC 27001:2022-Zertifikat eines Lieferanten aus, um nachzuweisen, dass er sicher ist?

Nein. Ein ISO/IEC 27001:2022-Zertifikat ist ein positives Indiz für ein reifes Sicherheitsprogramm, ersetzt aber nicht die eigene Due Diligence. Vorschriften wie DORA und NIS2 verlangen, dass Sie die Risiken bewerten, die sich aus den konkret für Sie erbrachten Services ergeben. Sie müssen die Kontrollen des Lieferanten prüfen, seine Auditberichte auf Ausnahmen bewerten und sicherstellen, dass Ihre vertraglichen Vereinbarungen konkrete Klauseln zur Meldung von Sicherheitsverletzungen, zu Auditrechten und zum sicheren Umgang mit Daten enthalten.

Wie häufig sollten wir unsere Hochrisiko-Lieferanten auditieren?

Bei Hochrisiko- und kritischen Lieferanten dürfen Audits kein einmaliges Ereignis sein. Erforderlich ist ein Ansatz der kontinuierlichen Überwachung. Dazu gehört mindestens jährlich oder bei wesentlichen Änderungen am Service eine formale, vertiefte Überprüfung. Ergänzend sollten vierteljährliche Prüfungen ihrer Nachweise, etwa SOC 2-Berichte und Schwachstellenscans, sowie eine Echtzeitüberwachung ihres Informationssicherheits-Risikoprofils und öffentlich bekannter Vorfälle erfolgen.

Was sind Risiken durch „Fourth Parties“ oder nachgelagerte Risiken, und warum sind sie kritisch?

Fourth-Party-Risiken sind Risiken, die durch die Lieferanten Ihres Lieferanten entstehen, also durch Subunternehmer oder Unterauftragsverarbeiter. Wenn Ihr Cloud-Anbieter beispielsweise ein Drittunternehmen für Datenanalysen einsetzt, kann eine Kompromittierung dieses Unternehmens Ihre Daten betreffen. Aufsichtsbehörden erwarten, dass Sie bei kritischen Lieferanten Transparenz über diese nachgelagerten Abhängigkeiten haben. Ihre Verträge müssen Lieferanten verpflichten, Ihre Sicherheitsstandards gegenüber deren Subunternehmern durchzusetzen und Sie über Änderungen zu informieren.

Welches einzelne Element ist in einem Vertrag mit einem Hochrisiko-Lieferanten am wichtigsten?

Die Klausel zu Auditrechten ist vermutlich das kritischste Element. Sie räumt Ihnen vertraglich das Recht ein, die Sicherheitskontrollen des Lieferanten unmittelbar oder über eine Drittpartei zu prüfen. Ohne diese Klausel beruhen alle Sicherheitszusagen allein auf Vertrauen. Sie ist Ihr zentrales Instrument, um über den Fragebogen hinauszugehen und belastbare, nachvollziehbare Nachweise zum Informationssicherheits-Risikoprofil des Lieferanten zu erheben.

NIS2 DORA Supplier Management Risk Management

Jenseits des Fragebogens: Der maßgebliche CISO-Leitfaden für Audits bei Hochrisiko-Lieferanten nach NIS2 und DORA

Clarysec KI-Redaktion

November 15, 2025

18 min read

#Drittparteienrisiko #Audit #ISO 27001 #Compliance #ISMS #Incident Response

Prozessflussdiagramm für Audits bei Hochrisiko-Lieferanten mit einem vierstufigen Lebenszyklus von der initialen Risikobeurteilung und Vertragsprüfung über kontinuierliche Überwachung und technische Audits bis zur regulatorischen Nachweisaufbewahrung für die Compliance mit NIS2 und DORA.

Der Bericht landete mit einem leisen Aufprall auf dem Schreibtisch von CISO Maria Valen, der sich eher wie eine Sirene anfühlte. Es war die Vorabprüfung für die bevorstehende DORA-Compliance-Prüfung, und eine Zeile war in kräftigem Rot markiert: „Unzureichende Sicherheit beim kritischen Drittanbieter CloudSphere.“

CloudSphere war nicht irgendein Lieferant. Das Unternehmen bildete das Rückgrat der neuen digitalen Banking-Plattform und verarbeitete täglich Millionen von Transaktionen. Maria hatte das ISO/IEC 27001:2022-Zertifikat abgelegt. Sie hatte den ausgefüllten Sicherheitsfragebogen, ein umfangreiches Dokument mit 200 Fragen. Doch die Vorauditoren signalisierten: Bei einem kritischen Hochrisiko-Lieferanten reicht Checkbox-Compliance nicht mehr aus. Die Spielregeln haben sich geändert.

Da sowohl die NIS2-Richtlinie als auch der Digital Operational Resilience Act (DORA) nun vollständig gelten, schauen Aufsichtsbehörden über den Papiernachweis hinaus. Sie verlangen greifbare Nachweise für Due Diligence, kontinuierliche Überwachung und belastbare Governance über die gesamte Lieferkette hinweg. Marias Herausforderung betrifft CISOs überall: Wie geht man über den Fragebogen hinaus, um die wichtigsten Lieferanten tatsächlich zu auditieren und abzusichern? Erforderlich ist ein strategischer Wechsel von passiver Validierung hin zu aktiver, nachweisbasierter Sicherheit.

Die Schwäche des statischen Fragebogens in einer dynamischen Welt

Über Jahre war der Sicherheitsfragebogen der Eckpfeiler des Drittparteienrisikomanagements. Er ist jedoch nur eine statische Momentaufnahme in einer dynamischen Bedrohungslage. Das Risikoprofil eines Lieferanten ist nicht fix; es verändert sich mit jeder neuen Bedrohung, jeder Systemänderung und jedem neu eingebundenen Subunternehmer. Sich bei einem kritischen Lieferanten wie CloudSphere allein auf Selbstauskünfte zu verlassen, ist wie die Navigation durch einen Sturm mit der Wetterkarte des Vorjahres.

Die NIS2-Richtlinie fordert ausdrücklich einen risikobasierten Ansatz und verlangt, dass Sicherheitsmaßnahmen im Verhältnis zu den tatsächlichen Risiken stehen. Ein einheitlicher Fragebogen für alle Lieferanten steht damit grundsätzlich im Widerspruch zu modernen regulatorischen Erwartungen. Die Zeiten, in denen ein Zertifikat oder eine ausgefüllte Checkliste Nachweise ersetzen konnte, sind vorbei. Das tatsächliche Risiko liegt jenseits des Papiernachweises.

Genau hier wird ein strukturierter, lebenszyklusbasierter Ansatz unverzichtbar. Es geht nicht darum, Fragebögen abzuschaffen, sondern sie bei wirklich relevanten Lieferanten durch tiefere und stärker eingreifende Prüfungen zu ergänzen. Dieses Grundprinzip ist in Clarysecs Richtlinie zur Lieferanten- und Drittparteiensicherheit verankert. Eines ihrer grundlegenden Ziele lautet:

„Formale Due Diligence und dokumentierte Risikobeurteilungen vor der Beauftragung neuer Lieferanten oder der Verlängerung von Servicevereinbarungen mit hohem Risiko verlangen.“
Aus dem Abschnitt „Ziele“, Richtlinienklausel 3.3

Diese Klausel verschiebt den Fokus von einer einfachen Prüfung hin zu einer formalen Untersuchung. Das ist der entscheidende erste Schritt zum Aufbau eines belastbaren Programms, das einer regulatorischen Prüfung standhält.

Lieferantenrisiko unter NIS2 und DORA: die neuen Erwartungen

Sowohl NIS2 als auch DORA verlangen, dass Organisationen Risiken in ihrer Lieferantenlandschaft systematisch identifizieren, bewerten und kontinuierlich überwachen. Sie machen das Lieferantenmanagement von einer Beschaffungsfunktion zu einer zentralen Säule operativer Resilienz und Informationssicherheit.

Das neue regulatorische Umfeld verlangt klare Rahmenwerke, die eng an etablierte Standards wie ISO/IEC 27001:2022 angebunden sind. Die folgende Übersicht zeigt auf hoher Ebene, was diese Rahmenwerke von Ihrem Programm zur Lieferanten-Governance erwarten:

Anforderung	NIS2	DORA	ISO/IEC 27001:2022-Maßnahmen
Risikobeurteilung von Lieferanten	Article 21(2)(d)	Articles 28–30	5.19, 5.21
Vertragliche Sicherheitsklauseln	Article 21(3), Article 22	Article 30	5.20
Kontinuierliche Überwachung	Article 21, Article 22	Articles 30, 31	5.22
Schwachstellenmanagement und Incident Response	Article 23	Article 9, 11	5.29, 8.8

Ein belastbares Auditprogramm für Lieferanten muss nicht neu erfunden werden. Das Rahmenwerk der ISO/IEC 27001:2022, insbesondere die Maßnahmen aus Anhang A, liefert einen starken Bauplan. Bei Clarysec unterstützen wir Kunden dabei, ihr Programm um drei miteinander verknüpfte Maßnahmen aufzubauen, die zusammen einen vollständigen Lebenszyklus der Lieferanten-Governance bilden.

Aufbau eines belastbaren Audit-Rahmenwerks: der ISO 27001:2022-Lebenszyklus

Um ein Programm aufzubauen, das Aufsichtsbehörden überzeugt, benötigen Sie einen strukturierten Ansatz auf Basis eines weltweit anerkannten Standards. Die Maßnahmen zur Lieferantensicherheit in ISO/IEC 27001:2022 bilden einen Lebenszyklus für das Management von Drittparteienrisiken von der Anbahnung bis zur Beendigung. Sehen wir uns an, wie Maria diesen Lebenszyklus nutzen kann, um einen belastbaren Auditplan für CloudSphere zu erstellen.

Schritt 1: Die Grundlage – Informationssicherheit in Lieferantenbeziehungen (5.19)

Maßnahme 5.19 ist der strategische Ausgangspunkt. Sie verlangt, formale Prozesse zur Identifizierung, Bewertung und Steuerung der Informationssicherheitsrisiken einzurichten, die mit dem gesamten Lieferantenökosystem verbunden sind. Hier definieren Sie, was „hohes Risiko“ für Ihre Organisation bedeutet, und legen die Spielregeln fest.

Clarysecs Zenith Controls: Leitfaden zur rahmenwerkübergreifenden Compliance bietet eine detaillierte Aufschlüsselung von 5.19 und zeigt ihre Rolle als zentraler Knotenpunkt der Lieferanten-Governance. Diese Maßnahme ist eng mit verwandten Maßnahmen verbunden, etwa 5.21 (Informationssicherheit in der IKT-Lieferkette), die Hardware- und Softwarekomponenten abdeckt, sowie 5.14 (Informationsübertragung), die den sicheren Datenaustausch regelt. Eine Lieferantenbeziehung lässt sich nicht wirksam steuern, ohne auch die bereitgestellte Technologie und die geteilten Daten zu kontrollieren.

Für Maria bedeutet das: Ihr Audit von CloudSphere muss über das unternehmensweite Informationssicherheits-Risikoprofil hinausgehen und die Sicherheit der tatsächlich bereitgestellten Plattform prüfen. Der Leitfaden Zenith Controls hebt hervor, dass eine starke Umsetzung von 5.19 die Einhaltung wesentlicher Vorschriften unmittelbar unterstützt:

NIS2 (Article 21(2)(d)): Verpflichtet Organisationen, Lieferkettenrisiken als zentralen Bestandteil ihres Sicherheitsrahmenwerks zu steuern.
DORA (Articles 28–30): Schreibt ein belastbares Rahmenwerk für das Management von IKT-Drittparteienrisiken vor, einschließlich Kritikalitätsklassifizierung und vorvertraglicher Due Diligence.
GDPR (Article 28): Verlangt, dass Verantwortliche nur Auftragsverarbeiter einsetzen, die ausreichende Garantien für den Datenschutz bieten.

Diese Maßnahme verlangt die Risikoklassifizierung von Lieferanten, laufende Überwachung und den rechtzeitigen Entzug von Zugriffsberechtigungen. Ihr Zweck ist sicherzustellen, dass Sicherheit in den Lieferantenlebenszyklus eingebettet ist und nicht nachträglich angeflanscht wird.

Schritt 2: Die Durchsetzung – Informationssicherheit in Lieferantenvereinbarungen regeln (5.20)

Eine Sicherheitsanforderung, die nicht im Vertrag steht, ist nur eine Empfehlung. Maßnahme 5.20 ist der Punkt, an dem Governance rechtlich durchsetzbar wird. Bei einem Hochrisiko-Lieferanten ist der Vertrag Ihr wirksamstes Auditwerkzeug.

Wie Zenith Controls betont, müssen diese Vereinbarungen ausdrücklich sein. Vage Zusagen zu „branchenüblicher Sicherheit“ sind wertlos. Bei einem Lieferanten wie CloudSphere muss Maria prüfen, ob der Vertrag konkrete, messbare Klauseln enthält, die ihrer Organisation greifbare Aufsicht ermöglichen:

Auditrechte: Eine Klausel, die ihrer Organisation ausdrücklich das Recht einräumt, technische Bewertungen durchzuführen, Nachweise zu prüfen oder eine Drittpartei mit einem Audit in ihrem Auftrag zu beauftragen.
Fristen zur Meldung von Sicherheitsverletzungen: Konkrete, strenge Fristen, etwa innerhalb von 24 Stunden nach Entdeckung, für die Benachrichtigung ihres Unternehmens über einen Sicherheitsvorfall – nicht nur ein vages „ohne unangemessene Verzögerung“.
Management von Subunternehmern (Fourth Parties): Eine Klausel, die den Lieferanten verpflichtet, dieselben Sicherheitsstandards gegenüber seinen eigenen kritischen Subunternehmern durchzusetzen und über Änderungen zu informieren. Dies ist entscheidend für das Management nachgelagerter Risiken.
Sichere Exit-Strategie: Klare Verpflichtungen zur Rückgabe oder zertifizierten Vernichtung von Daten bei Vertragsbeendigung.

DORA ist hier besonders präskriptiv. Article 30 nennt verbindliche Vertragsbestimmungen, darunter ungehinderten Zugang für Auditoren und Aufsichtsbehörden, konkrete Angaben zu Service-Standorten sowie umfassende Exit-Strategien. Auditoren werden Verträge mit Hochrisiko-Lieferanten stichprobenartig prüfen und diese Klauseln direkt abgleichen.

Schritt 3: Die kontinuierliche Schleife – Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten (5.22)

Der letzte Baustein des Lebenszyklus ist Maßnahme 5.22. Sie macht aus Lieferantenaufsicht keine punktuelle Prüfung, sondern einen kontinuierlichen Prozess. Ein Audit sollte kein Überraschungsereignis sein, sondern ein Validierungspunkt innerhalb einer laufenden, transparenten Beziehung.

Hier scheitern viele Organisationen. Sie lassen den Vertrag unterzeichnen und legen ihn ab. Bei Hochrisiko-Lieferanten beginnt die eigentliche Arbeit jedoch nach dem Onboarding. Der Leitfaden Zenith Controls verknüpft 5.22 mit kritischen Betriebsprozessen wie 8.8 (Management technischer Schwachstellen) und 5.29 (Informationssicherheit während Störungen). Wirksame Überwachung umfasst daher weit mehr als ein jährliches Review-Meeting. Dazu gehören:

Prüfung von Nachweisen Dritter: Aktive Einholung und Analyse von SOC 2 Type II-Berichten, Ergebnissen von ISO 27001-Überwachungsaudits oder Zusammenfassungen von Penetrationstests. Entscheidend ist, die Ausnahmen zu prüfen und deren Abhilfemaßnahmen nachzuverfolgen.
Überwachung von Vorfällen: Nachverfolgung öffentlich bekannt gewordener Sicherheitsverletzungen oder Sicherheitsvorfälle beim Lieferanten und formale Bewertung möglicher Auswirkungen auf die eigene Organisation.
Änderungsmanagement: Einrichtung eines Prozesses, bei dem jede wesentliche Änderung am Service des Lieferanten, etwa ein neuer Rechenzentrumsstandort oder ein neuer kritischer Subunternehmer, automatisch eine erneute Risikobeurteilung auslöst.

Clarysecs Zenith Blueprint: 30-Schritte-Roadmap für Auditoren bietet hierzu praxistaugliche Leitlinien, insbesondere in Schritt 24, der das Risiko durch Subunternehmer behandelt. Dort heißt es:

„Identifizieren Sie bei jedem kritischen Lieferanten, ob er Subunternehmer oder Unterauftragsverarbeiter einsetzt, die Zugriff auf Ihre Daten oder Systeme erhalten können. Dokumentieren Sie, wie Ihre Anforderungen an die Informationssicherheit an diese Parteien weitergegeben werden … Fordern Sie, soweit möglich, eine Liste der wichtigsten Subunternehmer an und stellen Sie sicher, dass Ihr Auditrecht oder Ihr Anspruch auf Erhalt von Sicherheitsnachweisen auch für diese gilt.“

Das ist für Maria ein zentraler Punkt. Nutzt CloudSphere ein Drittunternehmen für Datenanalysen? Wird die Infrastruktur in einer großen Public Cloud betrieben? Diese nachgelagerten Abhängigkeiten stellen ein erhebliches, häufig unsichtbares Risiko dar, das ihr Audit sichtbar machen muss.

Von der Theorie zur Praxis: Marias Auditplan für CloudSphere

Ausgestattet mit diesem ISO 27001:2022-Lebenszyklus erstellt Marias Team einen neuen Auditplan für CloudSphere, der weit über den Fragebogen hinausgeht und die reife, risikobasierte Governance nachweist, die Aufsichtsbehörden verlangen.

Vertragsprüfung: Zunächst gleichen sie den bestehenden CloudSphere-Vertrag mit DORA Article 30 und den Best Practices zu Maßnahme 5.20 ab. Sie erstellen einen Bericht zur Lückenanalyse, um den nächsten Verlängerungszyklus vorzubereiten und die Schwerpunkte des aktuellen Audits zu priorisieren.
Gezielte Nachweisanforderung: Statt eines generischen Fragebogens senden sie eine formale Anforderung spezifischer Nachweise, darunter:
- den aktuellen SOC 2 Type II-Bericht und eine Zusammenfassung, wie alle festgestellten Ausnahmen behoben wurden;
- die Management-Zusammenfassung des letzten externen Penetrationstests;
- eine vollständige Liste aller Subunternehmer (Fourth Parties), die ihre Daten verarbeiten oder darauf zugreifen werden;
- Nachweise, dass Sicherheitsanforderungen vertraglich an diese Subunternehmer weitergegeben wurden;
- Protokolle oder Berichte, die das fristgerechte Einspielen von Patches für kritische Schwachstellen, etwa Log4j oder MOVEit, in den letzten sechs Monaten belegen.
Technische Validierung: Sie berufen sich auf ihre Klausel zu Auditrechten, um eine technische Vertiefungssitzung mit dem Sicherheitsteam von CloudSphere anzusetzen. Die Agenda konzentriert sich auf Incident-Response-Playbooks, Cloud Security Posture Management (CSPM)-Werkzeuge und Kontrollen zur Verhinderung von Datenexfiltration.
Formales Ausnahmemanagement: Falls CloudSphere die Bereitstellung bestimmter Nachweise ablehnt, ist Maria vorbereitet. Der Governance-Prozess ihrer Organisation, definiert in der Richtlinie zur Lieferanten- und Drittparteiensicherheit, ist eindeutig:

„Ausnahmen mit hohem Risiko, etwa Lieferanten, die regulierte Daten verarbeiten oder kritische Systeme unterstützen, müssen durch den CISO, die Rechtsabteilung und die Beschaffungsleitung genehmigt und in das ISMS-Ausnahmeregister eingetragen werden.“
Aus dem Abschnitt „Risikobehandlung und Ausnahmen“, Richtlinienklausel 7.3

Dadurch wird sichergestellt, dass eine Weigerung, Nachweise bereitzustellen, nicht einfach ignoriert, sondern auf höchster Organisationsebene formal als Risiko akzeptiert wird. Dies ist ein Prozess, den Auditoren anerkennen.

Die Perspektive der Auditoren: Was unterschiedliche Auditoren verlangen

Um ein wirklich resilientes Programm aufzubauen, müssen Sie wie ein Auditor denken. Unterschiedliche Audit-Rahmenwerke haben unterschiedliche Blickwinkel, und ihre Fragen vorwegzunehmen ist entscheidend für den Erfolg. Die folgende konsolidierte Übersicht zeigt, was verschiedene Auditoren bei der Prüfung Ihres Programms zur Lieferanten-Governance verlangen würden:

Hintergrund des Auditors	Zentrale Schwerpunkte und Maßnahmen	Geforderte Nachweise
ISO/IEC 27001:2022-Auditor	5.19, 5.20, 5.22	Lieferanteninventar mit Risikoklassifizierungen; stichprobenartig ausgewählte Verträge von Hochrisiko-Lieferanten zur Prüfung der Sicherheitsklauseln; Aufzeichnungen zu Due Diligence und laufenden Review-Meetings.
COBIT 2019-Auditor	APO10 (Lieferanten steuern), DSS04 (Kontinuität steuern)	Nachweise der laufenden Leistungsüberwachung anhand von SLAs; Dokumentation, wie lieferantenbezogene Vorfälle gesteuert werden; Aufzeichnungen zu Risikoprüfungen bei Lieferanten und Änderungsmanagement.
DORA / Finanzaufsicht	Articles 28-30	Vertrag mit dem kritischen IKT-Dienstleister, abgeglichen mit den verbindlichen DORA-Klauseln; Bewertung des Konzentrationsrisikos; Nachweise über Tests oder Überprüfung der Exit-Strategie.
NIST SP 800-53-Auditor	SA-9 (Externe Systemdienste), SR-Familie (Lieferkette)	Nachweis eines Plans für das Management von Lieferkettenrisiken; Aufzeichnungen zu Nachweisen der Compliance durch Lieferanten, etwa FedRAMP oder SOC 2; Dokumentation zur Transparenz von Fourth-Party-Risiken.
ISACA / IT-Auditor	ITAF Performance Standard 2402	Protokolle, die belegen, dass der Zugriff ausgeschiedener Lieferantenmitarbeiter unverzüglich entzogen wurde; Nachweise eindeutiger, MFA-geschützter Konten für Drittparteienzugriffe; Aufzeichnungen zur Incident Response.

Diese Mehrperspektive zeigt: Ein robustes Programm dient nicht dazu, nur einen Standard zu erfüllen. Es schafft ein ganzheitliches Governance-Rahmenwerk, das die Nachweise erzeugt, die für alle relevanten Prüfungen benötigt werden.

Kritische Fallstricke: Woran Lieferantenaudits scheitern

Viele Programme zur Lieferantenaufsicht bleiben aufgrund typischer, vermeidbarer Fehler hinter den Anforderungen zurück. Achten Sie besonders auf diese kritischen Fallstricke:

Audits als Einzelereignis: Verlassen auf einmalige Audits beim Onboarding oder bei der Verlängerung, statt kontinuierliche Überwachung umzusetzen.
Zertifizierungs-Selbstzufriedenheit: Akzeptieren eines ISO- oder SOC 2-Zertifikats ohne Prüfung von Berichtsinhalten, Geltungsbereich und Ausnahmen.
Unklare Verträge: Fehlende ausdrückliche und durchsetzbare Klauseln zu Auditrechten, Meldung von Sicherheitsverletzungen und Datenumgang.
Schwaches Inventarmanagement: Keine Fähigkeit, ein vollständiges, nach Risiko gestuftes Inventar aller Lieferanten und der von ihnen genutzten Daten vorzulegen.
Ignorieren nachgelagerter Risiken: Fehlende Identifizierung und Steuerung der Risiken, die von kritischen Subunternehmern des Lieferanten ausgehen (Fourth-Party-Risiko).
Ungeprüftes Schwachstellenmanagement: Vertrauen darauf, dass ein Lieferant kritische Schwachstellen patcht, ohne Nachweise anzufordern.

Umsetzbare Checkliste für Audits bei Hochrisiko-Lieferanten

Nutzen Sie diese aus dem Zenith Blueprint abgeleitete Checkliste, um sicherzustellen, dass Ihr Auditprozess für jeden Hochrisiko-Lieferanten gründlich und belastbar ist.

Schritt	Maßnahme	Zu erhebende und aufzubewahrende Nachweise
Due Diligence	Vor Onboarding oder Verlängerung eine formale Risikobeurteilung durchführen und dokumentieren.	Ausgefülltes Arbeitsblatt zum Lieferantenrisiko; Klassifizierungsaufzeichnung; Due-Diligence-Bericht.
Vertragsprüfung	Prüfen, ob Sicherheits-, Datenschutz- und Auditklauseln vorhanden und durchsetzbar sind.	Unterzeichneter Vertrag mit markierten Klauseln; Freigabe der Rechtsprüfung; Auftragsverarbeitungsvertrag.
Laufende Überwachung	Vierteljährliche oder jährliche Überprüfungen auf Basis der Risikostufe planen und durchführen.	Sitzungsprotokoll; geprüfte SOC 2- / ISO 27001-Berichte; Zusammenfassungen von Schwachstellenscans.
Aufsicht über Subunternehmer	Alle kritischen nachgelagerten Lieferanten (Fourth Parties) identifizieren und dokumentieren.	Vom Lieferanten bereitgestellte Liste der Unterauftragsverarbeiter; Nachweise zu Klauseln für die Weitergabe von Sicherheitsanforderungen.
Schwachstellenmanagement	Nachweise für ein ausgereiftes Schwachstellenmanagementprogramm verlangen.	Aktuelle Management-Zusammenfassung eines Penetrationstests; beispielhafte Berichte zu Schwachstellenscans; Patch-Zeitpläne.
Vorfallmeldung	Den Prozess des Lieferanten zur Vorfallsbenachrichtigung testen und validieren.	Aufzeichnungen früherer Vorfallsbenachrichtigungen; dokumentierte SLAs zur Meldung von Sicherheitsverletzungen.
Änderungsmanagement	Alle wesentlichen technischen oder organisatorischen Änderungen beim Lieferanten überprüfen.	Änderungsprotokolle des Lieferanten; durch Änderungen ausgelöste Berichte zur erneuten Risikobeurteilung.
Regulatorische Zuordnung	Die umgesetzten Kontrollen direkt den Anforderungen aus NIS2, DORA und GDPR zuordnen.	Interne Compliance-Zuordnungstabelle; Nachweisprotokoll für Aufsichtsbehörden.

Fazit: Aufbau einer resilienten und belastbaren Lieferkette

Die Ära der Checkbox-Compliance für kritische Lieferanten ist vorbei. Die intensive Prüfung durch Vorschriften wie NIS2 und DORA verlangt einen grundlegenden Wandel hin zu einem Modell kontinuierlicher, nachweisbasierter Sicherheit. CISOs wie Maria müssen die Initiative ergreifen und ihre Organisationen über den statischen Fragebogen hinausführen.

Wenn Sie ein Programm auf dem bewährten Lebenszyklus der Maßnahmen aus ISO/IEC 27001:2022 aufbauen, schaffen Sie ein Rahmenwerk, das nicht nur Anforderungen erfüllt, sondern Risiken tatsächlich reduziert. Dazu gehört, Lieferantensicherheit als strategische Disziplin zu behandeln, durchsetzbare Anforderungen in Verträgen zu verankern und während der gesamten Beziehung eine wachsame Aufsicht aufrechtzuerhalten.

Die Sicherheit Ihrer Organisation ist nur so stark wie ihr schwächstes Glied. Im heutigen vernetzten Ökosystem liegt dieses Glied häufig bei einer Drittpartei. Es ist Zeit, die Kontrolle zurückzugewinnen.

Bereit, über den Fragebogen hinauszugehen?

Die integrierten Toolkits von Clarysec bieten die Grundlage, die Sie benötigen, um ein erstklassiges Programm für das Management von Lieferantenrisiken aufzubauen, das jedem Audit standhält.

Laden Sie unsere Richtlinienvorlagen herunter: Implementieren Sie ein robustes Governance-Rahmenwerk mit unserer unternehmensreifen Richtlinie zur Lieferanten- und Drittparteiensicherheit und dem entsprechenden Pendant für KMU.
Folgen Sie dem Zenith Blueprint: Nutzen Sie unsere Zenith Blueprint: 30-Schritte-Roadmap für Auditoren, um ein konformes ISMS umzusetzen und zu auditieren, mit dedizierten Schritten zur Beherrschung von Lieferantenrisiken.
Nutzen Sie Zenith Controls: Fordern Sie eine Demo unseres Zenith Controls: Leitfadens zur rahmenwerkübergreifenden Compliance an, um Lieferantenkontrollen NIS2, DORA, GDPR, NIST und weiteren Anforderungen zuzuordnen und sicherzustellen, dass Ihr Auditplan umfassend und belastbar ist.

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council