Compliance-Lexikon · Risiko
Third-Party Risk
[θɜːd ˈpɑːti rɪsk] · auch: Drittparteienrisiko, Lieferantenrisiko, Outsourcing-Risiko
Third-Party Risk bezeichnet das Risikoexposure einer Organisation durch die Nutzung externer Dienstleister, Lieferanten und Partner -- einschliesslich des Risikos, dass Drittparteien Datenpannen, Ausfaelle oder Compliance-Verstösse verursachen, die die eigene Organisation beeinträchtigen.
Warum Third-Party Risk ein zentraler Risikobegriff ist
Third-Party Risk ist ein Kernbestandteil jedes strukturierten Risikomanagements. ISO 27001, NIS-2 und DORA setzen das Konzept als Grundlage für risikobasierte Entscheidungen voraus -- ohne diese Grundlage fehlt dem Sicherheitsprogramm das analytische Fundament. Im Audit wird geprüft, ob Third-Party Risk nicht nur bekannt, sondern systematisch und dokumentiert angewandt wird.
Wo Third-Party Risk gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.5.19-23 | Informationssicherheit in Lieferantenbeziehungen: Vollständiger Kontrollrahmen für Third-Party Risk. |
| NIS-2 / BSIG | § 30 Abs. 2g | Sicherheit der Lieferkette: Third-Party Risk als explizite Mindestmassnahme. |
| DORA | Art. 28-44 | IKT-Drittparteienrisiko: Vollständiges Regime für Third-Party Risk im Finanzsektor. |
| LkSG | § 3 ff. | Lieferkettensorgfaltspflichtengesetz: Third-Party Risk entlang der gesamten Lieferkette. |
| ISO 27036 | vollständig | Informationssicherheit in Lieferantenbeziehungen: Internationaler Standard für Third-Party Risk. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Konzept verstanden, aber nicht in einer dokumentierten Methodik verankert
- Inkonsistente Anwendung -- verschiedene Teams bewerten nach unterschiedlichen Masssstäben
- Keine regelmässige Aktualisierung der Bewertungen
- Fehlende Verbindung zum Risikoappetit und zur Massnahmenplanung
Einordnung im Risikomanagement-Gesamtrahmen
Third-Party Risk ist kein isoliertes Konzept, sondern Teil eines integrierten Risikomanagement-Zyklus: Identifikation, Bewertung, Behandlung, Überwachung. Es greift mit dem Risk Appetite Statement, dem Risikoregister, der Risk Heat Map und dem Risk Reporting ineinander. Wer Third-Party Risk konsistent und dokumentiert anwendet, stellt sicher, dass alle nachgelagerten Schritte auf einer soliden Grundlage beruhen.
Quantitativ vs. qualitativ
Die meisten Organisationen beginnen mit qualitativer Bewertung und erganzen schrittweise quantitative Elemente für hochprioritäre Risiken. Beide Ansätze sind für ISO 27001 und NIS-2 akzeptiert -- entscheidend ist die Konsistenz der Methodik und die Nachvollziehbarkeit der Bewertungen. DORA empfiehlt für systemrelevante Finanzunternehmen eine zunehmende Quantifizierung.
Nächste Ebene
Third-Party Risk in der Praxis: Methodik, Umsetzung und Evidence
Was Auditoren bei Third-Party Risk konkret prüfen und welche Evidence benötigt wird.