CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.21

Steuerung der Informationssicherheit in der IKT-Lieferkette

ISO 27001NIS2TISAXDORA

Prozesse und Verfahren müssen festgelegt und umgesetzt werden, um die Informationssicherheitsrisiken im Zusammenhang mit der Lieferkette für IKT-Produkte und -Dienstleistungen zu steuern.

Was fordert dieses Control?

Prozesse und Verfahren müssen festgelegt und umgesetzt werden, um die Informationssicherheitsrisiken im Zusammenhang mit der Lieferkette für IKT-Produkte und -Dienstleistungen zu steuern.

Warum ist das wichtig?

Software- und Hardware-Lieferketten sind komplex und ein zunehmendes Angriffsziel (Supply-Chain-Attacken). Transparenz und Anforderungen entlang der Kette sind essenziell.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX6.1.1Direkt
DORAArt. 28-30Direkt

Was der Auditor erwartet

  1. 1Sicherheitsanforderungen an IKT-Lieferanten und deren Vorlieferanten
  2. 2Transparenz über kritische Komponenten und Subdienstleister
  3. 3Umgang mit Schwachstellen in zugelieferten Produkten

Audit-Checkliste

Dokumente

  • Anforderungen an IKT-Lieferkette

    Sicherheitsvorgaben für Produkte, Dienste und Subunternehmer

Nachweise

  • Nachweise von Lieferanten

    Zertifikate, SBOM, Sicherheitszusagen

Praxis-Tipps zur Umsetzung

1

Transparenz fordern

Bei kritischer Software Stücklisten (SBOM) und Subunternehmer-Infos einfordern.

2

Vorlieferanten mitdenken

Sicherheitsanforderungen müssen die gesamte Kette adressieren.

3

Schwachstellen koppeln

Lieferkette mit Schwachstellenmanagement (A.8.8) verzahnen.

Häufige Fehler

Nur direkter Lieferant

Vorlieferanten und Komponenten bleiben unbeachtet.

Keine Reaktion auf Lücken

Schwachstellen in zugelieferten Produkten werden nicht verfolgt.

Häufig gestellte Fragen

Was ist eine SBOM?

Eine Software Bill of Materials, also eine Stückliste aller Komponenten einer Software, hilfreich für Schwachstellenmanagement.

Wie unterscheidet sich das von A.5.19?

A.5.19 betrifft Lieferanten allgemein, A.5.21 speziell die IKT-Lieferkette inklusive Vorlieferanten und Komponenten.

Betrifft das auch Cloud-Dienste?

Ja, Cloud-Anbieter und ihre Subdienstleister sind Teil der IKT-Lieferkette.

So hilft CompliantDesk bei A.5.21

Erfassen Sie IKT-Lieferanten mit Kritikalität und Subdienstleistern und verknüpfen Sie Schwachstellen- und Risikoinformationen entlang der Kette.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.19

Informationssicherheit in Lieferantenbeziehungen

A.5.20

Adressierung der Sicherheit in Lieferantenvereinbarungen

A.8.8

Handhabung technischer Schwachstellen