CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.19

Informationssicherheit in Lieferantenbeziehungen

ISO 27001NIS2TISAXDORA

Prozesse und Verfahren müssen festgelegt und umgesetzt werden, um die Risiken im Zusammenhang mit der Nutzung von Produkten und Dienstleistungen von Lieferanten zu steuern.

Was fordert dieses Control?

Prozesse und Verfahren müssen festgelegt und umgesetzt werden, um die Risiken im Zusammenhang mit der Nutzung von Produkten und Dienstleistungen von Lieferanten zu steuern.

Warum ist das wichtig?

Lieferanten und Dienstleister sind ein häufiger Angriffsweg. Ein strukturiertes Lieferantenmanagement begrenzt die Risiken aus der Lieferkette.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX6.1.1Direkt
DORAArt. 28Direkt

Was der Auditor erwartet

  1. 1Prozess zur Bewertung und Steuerung von Lieferantenrisiken
  2. 2Risikobasierte Einstufung der Lieferanten
  3. 3Übersicht relevanter Lieferanten mit Datenzugriff

Audit-Checkliste

Dokumente

  • Lieferantenmanagement-Richtlinie

    Bewertung, Einstufung und Steuerung von Lieferanten

Nachweise

  • Lieferantenbewertungen

    Durchgeführte Sicherheitsbewertungen

Interviews

  • Einkauf / Verantwortliche

    Wie Lieferanten ausgewählt und bewertet werden

Praxis-Tipps zur Umsetzung

1

Risikobasiert priorisieren

Kritische Lieferanten mit Datenzugriff intensiver bewerten als unkritische.

2

Vor Vertragsschluss bewerten

Sicherheit bereits bei der Auswahl prüfen, nicht erst danach.

3

Register führen

Alle relevanten Lieferanten zentral mit Risikoeinstufung erfassen.

Häufige Fehler

Keine Übersicht

Niemand weiß, welche Dienstleister Zugriff auf welche Daten haben.

Nur Preis zählt

Sicherheit spielt bei der Lieferantenauswahl keine Rolle.

Häufig gestellte Fragen

Welche Lieferanten muss man bewerten?

Vor allem solche mit Zugriff auf Informationen oder Systeme, risikobasiert priorisiert.

Wie bewertet man Lieferanten?

Über Fragebögen, Zertifikate (z.B. ISO 27001) und ggf. Audits, abhängig von der Kritikalität.

Wie verhält sich das zu A.5.20?

A.5.19 regelt den Gesamtprozess, A.5.20 die konkreten Sicherheitsanforderungen in den Verträgen.

So hilft CompliantDesk bei A.5.19

Das Lieferanten-Modul führt ein Register mit Risikoeinstufung, versendet Sicherheitsfragebögen und dokumentiert Bewertungen auditfähig.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.20

Adressierung der Sicherheit in Lieferantenvereinbarungen

A.5.21

Steuerung der Informationssicherheit in der IKT-Lieferkette

A.5.22

Überwachung und Änderungsmanagement von Lieferantenleistungen