Brain-Media.de/Compliance-Lexikon/Third-Party Risk Management/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Third-Party Risk Management – Praxis

Third-Party Risk Management ist in NIS-2- und DORA-Audits eines der am stärksten gewachsenen Prüffelder. Lieferkettensicherheit ist von einer optionalen Best Practice zu einer expliziten Pflichtanforderung geworden. Was konkret vorzubereiten ist, zeigt dieser Artikel.

Was Auditoren konkret prüfen

Der Auditor erwartet ein Lieferantenverzeichnis mit Kritikalitätsbewertung, Nachweise der vertraglichen Sicherheitsanforderungen und Belege für periodische Überprüfungen. Für DORA kommen zusätzlich Konzentrations- und Ausstiegsplanungsanforderungen für kritische IKT-Drittdienstleister hinzu.

BAM-Objekt · Praxis GOV-TPRM-01
Gap-CheckLiegt ein vollständiges Lieferantenregister mit Kritikalitätsstufen und Nachweisen vertraglicher Sicherheitsanforderungen vor?
RemediationLieferantenregister erstellen, Sicherheitsklauseln in Verträge integrieren, Prüfprozess etablieren
EvidenceLieferantenregister mit Datum, Vertragsauszüge mit Sicherheitsklauseln, Prüfnachweise der letzten 12 Monate

Häufige Fehler

  • Lieferantenverzeichnis nicht vollständig oder nicht aktuell
  • Sicherheitsfragebögen versandt, aber Antworten nicht bewertet
  • Verträge ohne Sicherheitsklauseln oder Audit-Rechte

Praxis-Tipp

Für NIS-2 reicht als Einstieg ein Excel-Lieferantenregister mit den Feldern: Name, Leistung, Datenzugriff (ja/nein), Systemzugriff (ja/nein), Kritikalitätsstufe, letzte Prüfung, Zertifizierung. Dieses Register ist auditrelevant – selbst wenn die Prozesse dahinter noch reifen.

Mindestanforderungen an Lieferantenverträge

NIS-2-konforme Lieferantenverträge enthalten: Sicherheitsanforderungen (mindestens äquivalent zu den eigenen), Meldepflicht für Sicherheitsvorfälle beim Lieferanten, Audit-Recht oder Nachweis einer Zertifizierung sowie Regelungen zur Datenlöschung bei Vertragsende. DORA ergänzt für kritische IKT-Dienstleister: Ausstiegsplan, Konzentrationsrisiko-Bewertung und aufsichtsrechtliche Meldepflichten.

Evidence-Anforderungen im Audit

Vorzulegen sind: Lieferantenregister mit Kritikalitätsstufen und Datum, Vertragsauszüge oder Bestätigungen der Sicherheitsklauseln, Nachweise der letzten Lieferantenprüfungen. Das BAM-Objekt GOV-TPRM-01 strukturiert diese Anforderungen als prüfbare Checkliste.

Nächster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.

Die strategische Einordnung – TPRM als strukturelles Lieferkettenmanagement – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper