CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.20

Adressierung der Sicherheit in Lieferantenvereinbarungen

ISO 27001NIS2TISAXDSGVO

Relevante Informationssicherheitsanforderungen müssen mit jedem Lieferanten je nach Art der Lieferantenbeziehung festgelegt und vereinbart werden.

Was fordert dieses Control?

Relevante Informationssicherheitsanforderungen müssen mit jedem Lieferanten je nach Art der Lieferantenbeziehung festgelegt und vereinbart werden.

Warum ist das wichtig?

Nur vertraglich verankerte Sicherheitsanforderungen sind durchsetzbar. Verträge müssen Pflichten, Meldewege und Kontrollrechte klar regeln.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX6.1.1Direkt
DSGVOArt. 28Direkt

Was der Auditor erwartet

  1. 1Sicherheitsklauseln in Lieferantenverträgen
  2. 2AVV bei Verarbeitung personenbezogener Daten
  3. 3Regelung von Melde-, Audit- und Subunternehmerpflichten

Audit-Checkliste

Dokumente

  • Vertragsvorlagen mit Sicherheitsklauseln

    Pflichten, Meldewege, Audit- und Löschregelungen

  • AVV-Vorlagen

    DSGVO-konforme Auftragsverarbeitungsverträge

Nachweise

  • Abgeschlossene Verträge / AVV

    Stichprobe für kritische Lieferanten

Praxis-Tipps zur Umsetzung

1

Standardklauseln nutzen

Sicherheits- und AVV-Bausteine als wiederverwendbare Vorlagen pflegen.

2

Subunternehmer regeln

Weitergabe an Subdienstleister vertraglich einschränken und transparent machen.

3

Kontrollrechte sichern

Audit- und Nachweisrechte für kritische Lieferanten vereinbaren.

Häufige Fehler

AVV fehlt

Personenbezogene Daten werden ohne Auftragsverarbeitungsvertrag verarbeitet.

Keine Meldepflicht

Verträge regeln nicht, dass Lieferanten Vorfälle melden müssen.

Häufig gestellte Fragen

Wann braucht man einen AVV?

Sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist er nach Art. 28 DSGVO Pflicht.

Was gehört in die Sicherheitsklauseln?

Schutzanforderungen, Meldepflichten, Audit- und Kontrollrechte sowie Lösch- und Subunternehmerregelungen.

Gilt das für alle Lieferanten?

Umfang und Tiefe richten sich nach der Kritikalität der Beziehung.

So hilft CompliantDesk bei A.5.20

Verwalten Sie AVV und Sicherheitsvereinbarungen als verknüpfte Dokumente je Lieferant inklusive Fristen und Statusüberblick.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.19

Informationssicherheit in Lieferantenbeziehungen

A.5.21

Steuerung der Informationssicherheit in der IKT-Lieferkette

A.5.34

Privatsphäre und Schutz personenbezogener Daten