Brain-Media.de/Compliance-Lexikon/Third-Party Risk Management
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Governance

Third-Party Risk Management

[θɜːd ˈpɑːti rɪsk ˈmænɪdʒmənt] · auch: Lieferantenrisikomanagement, TPRM

Third-Party Risk Management (TPRM) bezeichnet den strukturierten Prozess zur Identifikation, Bewertung, Überwachung und Steuerung von Risiken, die aus der Nutzung externer Lieferanten, Dienstleister und Partner entstehen – insbesondere im Bereich IT und Informationssicherheit.

Warum TPRM unverzichtbar ist

Die meisten Sicherheitsvorfälle in komplexen Lieferketten entstehen nicht beim direkt angegriffenen Unternehmen, sondern bei einem Dienstleister. NIS-2 und DORA haben die Lieferkettensicherheit deshalb explizit als Pflichtanforderung verankert – mit direkten Konsequenzen für den Nachweis der Sicherheit bei Dritten.

Wo TPRM gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022A.5.19–A.5.22Lieferantenbeziehungen: Sicherheitsanforderungen, Vereinbarungen, Überwachung und Beendigung müssen geregelt sein.
NIS-2 / BSIG§ 30 Abs. 2fSicherheit in der Lieferkette ist explizit als Pflichtmaßnahme für wesentliche und wichtige Einrichtungen genannt.
DORAArt. 28–30IKT-Drittdienstleister unterliegen einem vollständigen Risikomanagement-Regime mit Vertragsanforderungen und Ausstiegsplänen.
DSGVOArt. 28Auftragsverarbeiter müssen vertraglich gebunden und auf Einhaltung geprüft werden.

BAM-Objektreferenz

BAM-Objekt GOV-TPRM-01
BeschreibungLieferantenregister mit Kritikalitätsbewertung, Vertragsklauseln und periodischen Prüfnachweisen
GitHubBAM Core →

Häufige Audit-Fehler

  • Kein Lieferantenverzeichnis mit Risikobewertung
  • Sicherheitsanforderungen nicht vertraglich verankert
  • Keine periodischen Überprüfungen von Dienstleistern
  • Ausstiegspläne fehlen für kritische Abhängigkeiten

TPRM-Prozess: Die vier Phasen

Phase 1: Identifikation – vollständiges Lieferantenverzeichnis mit Klassifizierung nach Kritikalität. Phase 2: Bewertung – Risikobeurteilung auf Basis von Fragebögen, Zertifizierungen oder Audits. Phase 3: Vertragsgestaltung – Sicherheitsanforderungen als Vertragsbestandteil. Phase 4: Laufende Überwachung – periodische Reviews, Incident-Meldepflichten des Lieferanten und Ausstiegsstrategie für kritische Abhängigkeiten.

Kritikalitätsstufen für Lieferanten

Nicht alle Lieferanten haben dasselbe Risikoprofil. Eine sinnvolle Klassifizierung unterscheidet: Kritisch (Zugriff auf kritische Systeme oder Daten, erschwer ersetzbar), Relevant (Zugriff auf nicht-kritische Systeme, ersetzbar) und Standard (kein System- oder Datenzugriff). Der Prüfaufwand skaliert mit der Kritikalitätsstufe.

Nächste Ebene

TPRM implementieren: Lieferantenregister, Risikobewertung und Vertragsklauseln

Praxisanleitung für NIS-2- und DORA-konformes Third-Party Risk Management.

Verwandte Begriffe

Risk RegisterInformation Security PolicyICT Risk Management

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper