CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.22

Überwachung und Änderungsmanagement von Lieferantenleistungen

ISO 27001NIS2TISAXDORA

Die Organisation muss die Informationssicherheitspraktiken und das Leistungsniveau von Lieferanten regelmäßig überwachen, überprüfen, bewerten und Änderungen steuern.

Was fordert dieses Control?

Die Organisation muss die Informationssicherheitspraktiken und das Leistungsniveau von Lieferanten regelmäßig überwachen, überprüfen, bewerten und Änderungen steuern.

Warum ist das wichtig?

Eine einmalige Bewertung reicht nicht. Lieferantenleistungen und -risiken ändern sich, kontinuierliche Überwachung hält das Risikobild aktuell.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX6.1.1Direkt
DORAArt. 28Direkt

Was der Auditor erwartet

  1. 1Regelmäßige Überprüfung der Lieferantenleistung
  2. 2Reaktion auf Sicherheitsvorfälle bei Lieferanten
  3. 3Steuerung von Änderungen in der Leistungserbringung

Audit-Checkliste

Dokumente

  • Überwachungs-/Review-Prozess

    Intervalle und Kriterien der Lieferantenüberprüfung

Nachweise

  • Lieferanten-Reviews

    Durchgeführte regelmäßige Bewertungen

Praxis-Tipps zur Umsetzung

1

Re-Assessments planen

Kritische Lieferanten in festen Intervallen erneut bewerten.

2

SLAs überwachen

Vereinbarte Sicherheits- und Leistungskennzahlen aktiv nachhalten.

3

Änderungen erfassen

Wechsel von Subdienstleistern oder Standorten bewerten.

Häufige Fehler

Einmal bewertet, nie wieder

Die initiale Prüfung wird nie aktualisiert.

Änderungen unbemerkt

Lieferant verlagert Verarbeitung, ohne dass es auffällt.

Häufig gestellte Fragen

Wie oft muss man Lieferanten überprüfen?

Risikobasiert, kritische Lieferanten typischerweise jährlich, weniger kritische seltener.

Was tun bei einem Vorfall beim Lieferanten?

Den Vorfall bewerten, eigene Risiken prüfen und ggf. Maßnahmen oder Vertragskonsequenzen einleiten.

Zählt ein aktuelles ISO-Zertifikat als Nachweis?

Es ist ein starkes Indiz, ersetzt aber nicht die eigene risikobasierte Überwachung.

So hilft CompliantDesk bei A.5.22

Planen Sie wiederkehrende Lieferanten-Reassessments im Kalender und verfolgen Sie Bewertungen und Statusänderungen je Lieferant.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.19

Informationssicherheit in Lieferantenbeziehungen

A.5.20

Adressierung der Sicherheit in Lieferantenvereinbarungen

A.5.21

Steuerung der Informationssicherheit in der IKT-Lieferkette