Lieferantenbewertung: Dienstleister-Checkliste (ISO 27001 / NIS2)
Lieferkettensicherheit ist eine der zehn NIS2-Pflichten. Mit dieser kostenlosen Checkliste bewerten Sie Dienstleister strukturiert nach Datenschutz, Informationssicherheit, Verfügbarkeit und Exit, mit Kritikalität und Erfüllungsstatus je Kriterium.
Lieferanten-Checkliste
Excel / CSV · sofort einsatzbereit
Kostenlos herunterladenKeine Anmeldung nötig
Worum geht es?
Die Dienstleister-Checkliste prüft systematisch, ob ein Lieferant die Anforderungen an Sicherheit und Datenschutz erfüllt, bevor Sie ihm Daten oder Zugriffe anvertrauen. Sie erfüllt ISO 27001 A.5.19 bis A.5.22 und die NIS2-Pflicht zur Lieferkettensicherheit.
Die Vorlage ist nach Kategorien gegliedert: Stammdaten und Kritikalität, Datenschutz (AVV, Drittland, Subdienstleister), Informationssicherheit (Zertifizierung, TOM, Zugriffe), Betrieb und Verfügbarkeit, Vorfallmanagement sowie Vertrag und Exit.
Je Kriterium erfassen Sie Erfüllungsgrad (ja/teilweise/nein), Kritikalität (hoch/mittel/niedrig) und eine Nachweis-Referenz. So entsteht eine nachvollziehbare Bewertung mit klarer Freigabeentscheidung.
Was die Vorlage enthält
Stammdaten & Kritikalität
Dienstleister, Leistung, Datenzugriff und Abhängigkeit
Datenschutz
AVV nach Art. 28, Drittlandtransfer, Subdienstleister
Informationssicherheit
Zertifizierung/Nachweis, TOM, Zugriffs- und Berechtigungsmanagement
Betrieb & Verfügbarkeit
SLA, Reaktionszeiten, Backup- und Notfallkonzept
Vorfallmanagement
Meldepflicht bei Vorfällen und Eskalationsweg
Vertrag & Exit
Laufzeit, Datenrückgabe und nachweisliche Löschung
Die Checkliste eignet sich zur Erst- und Wiederholungsbewertung von Dienstleistern mit Datenzugriff. Priorisieren Sie kritische Lieferanten und wiederholen Sie die Bewertung in festen Intervallen.
Häufige Fehler beim Ausfüllen
Nur einmal bewertet
Lieferantenbewertung ist kein Einmalvorgang. Kritische Dienstleister gehören regelmäßig erneut geprüft.
AVV vergessen
Verarbeitet ein Dienstleister personenbezogene Daten, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht.
Exit nicht geregelt
Ohne Regeln zu Datenrückgabe und Löschung bei Vertragsende bleiben Daten unkontrolliert beim Dienstleister.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
Dies ist eine gekürzte Muster-Fassung. In CompliantDesk führen Sie Lieferanten nicht als Excel, sondern als Modul: Dienstleister sind mit Assessments, AVV, Risiken und Wiedervorlage-Fristen verknüpft, und der Bewertungsstatus bleibt automatisch aktuell.
Häufig gestellte Fragen
Welche Lieferanten muss ich bewerten?
Vorrangig alle Dienstleister mit Zugriff auf Ihre Daten oder Systeme, etwa Cloud-Anbieter, IT-Dienstleister, Steuerberater oder Software-Lieferanten. Priorisieren Sie nach Kritikalität.
Was hat die Lieferkette mit NIS2 zu tun?
Lieferkettensicherheit ist eine der zehn NIS2-Risikomanagementmaßnahmen. Sie müssen die Sicherheit Ihrer direkten Dienstleister bewerten und vertraglich absichern.
Reicht ein ISO-27001-Zertifikat des Dienstleisters?
Es ist ein starkes Indiz, ersetzt aber nicht die eigene Bewertung. Prüfen Sie zusätzlich Geltungsbereich des Zertifikats, AVV, TOM und Vorfallmeldeprozess.
Weiterführend
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.
