Im Folgenden finden Sie die verwendeten Begriffe aus unserem Booklet Lieferantenmanagement – Praxisleitfaden für ISO 27001 und NIS‑2 [Buch/Booklet]
1. Strategie und Risiko-Governance
Risk Appetite (Risikobereitschaft): Das strategische Ausmaß an Risiko, das eine Organisation bereit ist einzugehen, um ihre Geschäftsziele zu erreichen.
Risk Tolerance (Risikotoleranz): Die konkret quantifizierte, operative Grenze, bis zu der Abweichungen vom Risk Appetite im Einzelfall akzeptiert werden.
Inherent Risk (Bruttorisiko): Das potenzielle Risiko eines Lieferanten, das rein auf der Natur der erbrachten Leistung basiert – bevor Sicherheitskontrollen oder risikomindernde Maßnahmen greifen.
Residual Risk (Restrisiko): Das Risiko, das nach der Implementierung aller Sicherheitsmaßnahmen und Kontrollen (Risk Treatment) verbleibt.
Risk Assessment (Risikobewertung): Der strukturierte Prozess zur Identifikation, Analyse und Einstufung von Risiken bezüglich ihrer Eintrittswahrscheinlichkeit und Schadensauswirkung.
Risk Treatment (Risikobehandlung): Die strategische Entscheidung und Umsetzung von Maßnahmen zur Risikominimierung, ‑vermeidung, ‑übertragung (z. B. Versicherung) oder bewussten ‑akzeptanz.
Concentration Risk (Konzentrationsrisiko): Das kumulierte Risiko, das durch eine kritische Abhängigkeit von wenigen Lieferanten, Regionen oder technologischen Plattformen entsteht.
2. Lieferanten-Lebenszyklus (Lifecycle Management)
Critical Supplier (Kritischer Lieferant): Ein Dienstleister, dessen Ausfall oder Kompromittierung die Betriebsfähigkeit, regulatorische Compliance, Sicherheit oder Kernleistungen des Unternehmens massiv gefährden würde.
Single Source (Einzellieferant): Die bewusste (oder marktbedingte) Entscheidung, ein Produkt oder eine Dienstleistung ohne redundante Alternative von nur einem einzigen Anbieter zu beziehen.
Subcontractor (Unterauftragnehmer): Dritte Parteien (Subunternehmer), die von deinem direkten Lieferanten zur Leistungserbringung eingesetzt werden und das Supply-Chain-Risiko (Tier‑2/N‑th Party Risk) erhöhen.
Supplier Due Diligence (Lieferantenprüfung): Die risikobasierte Hintergrund- und Sicherheitsprüfung eines Anbieters vor Vertragsabschluss sowie in regelmäßigen Abständen während der Zusammenarbeit.
Supplier Onboarding (Lieferantenaufnahme): Der strukturierte Prozess zur formalen Überprüfung, Freigabe, vertraglichen Bindung und technischen Integration eines neuen Dienstleisters.
Supplier Monitoring (Lieferantenüberwachung): Die kontinuierliche, KPI- und SLA-basierte Überwachung der Leistung, Security-Posture und Compliance eines Lieferanten während der Vertragslaufzeit.
Supplier Offboarding (Lieferantenbeendigung): Der kontrollierte Prozess bei Vertragsende, der den sicheren Entzug von Zugriffsberechtigungen, die vollständige Datenlöschung oder ‑rückgabe sowie die Bereinigung von Schnittstellen regelt.
Exit Strategy (Ausstiegsstrategie): Ein vordefinierter Notfallplan, der beschreibt, wie eine Lieferantenbeziehung ohne Betriebsunterbrechung beendet, migriert oder durch einen alternativen Anbieter ersetzt werden kann.
3. Verträge und Compliance
Service Level Agreement (SLA): Vertraglich verbindliche Vereinbarung über die geschuldete Servicequalität (z. B. Verfügbarkeit in %, maximale Reaktions- und Lösungszeiten).
Data Processing Agreement / AVV (Auftragsverarbeitungsvertrag): Gesetzlich zwingend vorgeschriebener Vertrag (gemäß DSGVO), der die datenschutzkonforme Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag regelt.
Non-Disclosure Agreement (NDA / Vertraulichkeitsvereinbarung): Rechtliche Vereinbarung zum Schutz proprietärer Daten und Geschäftsgeheimnisse, die zwischen den Parteien ausgetauscht werden.
Right to Audit (Prüfungsrecht): Die vertragliche Klausel, die es dem Kunden (oder unabhängigen Dritten) erlaubt, die Sicherheitsmaßnahmen, Prozesse und Infrastruktur des Lieferanten vor Ort oder remote zu überprüfen.
4. Cloud- und Technologie-Modelle
Cloud Service Provider (CSP): Ein Drittunternehmen, das skalierbare IT-Ressourcen (Infrastruktur, Plattformen oder Software) über das Netzwerk bereitstellt.
IaaS (Infrastructure as a Service): Bereitstellung von grundlegenden IT-Ressourcen (Server, Speicher, Netzwerk) als Cloud-Dienst. Die Betriebssystem- und Anwendungssicherheit liegt meist beim Kunden.
PaaS (Platform as a Service): Cloud-Modell, das Entwicklungs- und Laufzeitumgebungen bereitstellt. Der Provider sichert die Plattform; der Kunde ist für die eigenen Applikationen verantwortlich.
SaaS (Software as a Service): Vollständig vom Provider betriebene und abgesicherte Softwareanwendung, die direkt über den Browser oder APIs genutzt wird.
5. Vorfallsmanagement & Business Resilience
Incident Notification (Meldung von Vorfällen): Die vertraglich und regulatorisch (z.B. durch NIS‑2 oder DORA) festgelegte Pflicht des Lieferanten, Sicherheits- oder Betriebsstörungen innerhalb einer definierten Frist an den Kunden zu melden.
Business Continuity Management (BCM): Der ganzheitliche Managementprozess zur Identifikation kritischer Geschäftsprozesse und zur Absicherung der Resilienz des Unternehmens bei schweren Krisen oder Lieferantenausfällen.
DRP (Disaster Recovery Plan): Der technische, detaillierte Notfallplan zur schnellstmöglichen Wiederherstellung von IT-Systemen, Daten und Services nach einem schwerwiegenden Systemausfall oder Cyberangriff.
RTO (Recovery Time Objective): Die maximal tolerierbare Zeitspanne, die ein System oder Prozess nach einem Ausfall offline sein darf, bevor ein geschäftsschädigender Zustand eintritt.
RPO (Recovery Point Objective): Der maximal tolerierbare Datenverlust, ausgedrückt als Zeitraum zwischen dem letzten verfügbaren Backup und dem Zeitpunkt des Systemausfalls.
