Rück­blick zum Web­i­nar ISO 27001 und NIS‑2 Lie­fe­ran­ten­ma­nage­ment von 28. April 2026

Das Web­i­nar behan­delt, wie Unter­neh­men ein struk­tu­rier­tes, nach­weis­ba­res und risi­ko­ba­sier­tes Lie­fe­ran­ten­ma­nage­ment auf­bau­en kön­nen, um Anfor­de­run­gen aus NIS‑2/NISG, ISO 27001 und ver­wand­ten Regu­lie­run­gen zu erfül­len. Der Fokus liegt auf IKT-Lie­fe­ran­ten, Dienst­leis­tern, Cloud-/SaaS-Anbie­tern, War­tungs­dienst­leis­tern, Soft­ware­lie­fe­ran­ten und kri­ti­schen Subdienstleistern.

Zen­tra­le Bot­schaft: Lie­fe­ran­ten­ri­si­ken müs­sen doku­men­tiert, bewer­tet, ver­trag­lich gere­gelt, über­wacht und regel­mä­ßig über­prüft wer­den. Was nicht doku­men­tiert ist, gilt im Audit prak­tisch als nicht vorhanden.

Lie­fer­ket­ten wer­den als wesent­li­ches Ein­falls­tor für Cyber­an­grif­fe beschrie­ben. Bei­spie­le wie Solar­Winds, MOVEit, Clorox und öster­rei­chi­sche Daten­schutz­vor­fäl­le zei­gen, dass Sicher­heits­pro­ble­me bei Lie­fe­ran­ten direkt auf Kun­den durch­schla­gen können.

Typi­sche Risi­ken sind:

• kom­pro­mit­tier­te Software-Updates
• unsi­che­re APIs und Schnittstellen
• Remo­te-Zugän­ge von Wartungsdienstleistern
• feh­len­de Trans­pa­renz über Subdienstleister
• Kon­zen­tra­ti­ons­ri­si­ken bei gro­ßen Cloud- oder Rechenzentrumsanbietern
• feh­len­de Exit-Stra­te­gien und Ven­dor Lock-in
• unzu­rei­chen­de Sicher­heits­ga­ran­tien oder Nach­wei­se von Lieferanten

Beson­ders betont wird, dass die Ver­ant­wor­tung beim Auf­trag­ge­ber bleibt, auch wenn der Vor­fall tech­nisch durch einen Lie­fe­ran­ten ver­ur­sacht wurde.

Für NIS‑2 bezie­hungs­wei­se das öster­rei­chi­sche NISG wird her­vor­ge­ho­ben, dass Unter­neh­men die sicher­heits­be­zo­ge­nen Aspek­te der Bezie­hun­gen zu unmit­tel­ba­ren Lie­fe­ran­ten berück­sich­ti­gen müs­sen. Dazu zäh­len ins­be­son­de­re Schwach­stel­len der Anbie­ter, Pro­dukt­qua­li­tät, siche­re Ent­wick­lungs­pro­zes­se und die Sicher­heits­pra­xis von Dienstleistern.

Die ENISA Tech­ni­cal Imple­men­ta­ti­on Gui­dance wird als wich­ti­ge Ori­en­tie­rung genannt. Sie for­dert unter anderem:

• Rol­len und Ver­ant­wort­lich­kei­ten in der Lieferkette
• Aus­wahl- und Bewertungskriterien
• Lie­fe­ran­ten­re­gis­ter
• Risi­ko­ana­ly­se vor Vertragsabschluss
• jähr­li­che bezie­hungs­wei­se anlass­be­zo­ge­ne Reviews
• Pflicht­ver­trags­klau­seln, etwa zu Sicher­heits­an­for­de­run­gen, Vor­falls­mel­dung, Audit­rech­ten, Sub­dienst­leis­tern, Daten­lö­schung und Exit

Bei ISO 27001:2022 wer­den meh­re­re Con­trols aus Anhang A dem Lie­fe­ran­ten­ma­nage­ment zuge­ord­net. Das Web­i­nar betont, dass Lie­fe­ran­ten­ma­nage­ment ein rele­van­ter Bestand­teil eines ISMS ist und nicht nur eine for­ma­le Nebenaufgabe.

Lie­fe­ran­ten­ma­nage­ment wird als klas­si­sches Risi­ko­ma­nage­ment ver­stan­den. Unter­neh­men sol­len beant­wor­ten können:

• Was kann passieren?
• Wo kann es passieren?
• Wie hoch ist die Auswirkung?
• Wie wahr­schein­lich ist der Eintritt?
• Wel­che Maß­nah­men gibt es bereits?
• Wel­che Rest­ri­si­ken bleiben?
• Wer akzep­tiert oder behan­delt die­se Risiken?

Wich­tig ist die Unter­schei­dung zwi­schen Design-Effek­ti­vi­tät und tat­säch­li­cher Umset­zung. Ein sau­ber beschrie­be­ner Pro­zess genügt nicht, wenn Lie­fe­ran­ten nicht wirk­lich bewer­tet, über­wacht oder nach­weis­bar behan­delt werden.

SEC4YOU stellt eine prag­ma­ti­sche Metho­de für risi­ko­ori­en­tier­tes Lie­fe­ran­ten­ma­nage­ment vor:

1. Leis­tung erfassen
   Was macht der Lie­fe­rant kon­kret für das Unternehmen?
2. Kri­ti­k­ali­tät klassifizieren
   Ein­tei­lung in Lie­fe­ran­ten­klas­sen von L0 bis L3:
   • L0: unkri­tisch
   • L1: nied­rig kritisch
   • L2: hoch/relevant
   • L3: kri­tisch für Ver­sor­gungs­auf­trag, Kern­pro­zes­se oder stark pri­vi­le­gier­te Zugriffe
3. Nach­wei­se erheben
   Je nach Kri­ti­k­ali­tät wer­den Selbst­aus­künf­te, Zer­ti­fi­ka­te, Trust-Cen­ter-Nach­wei­se oder spe­zi­fi­sche Doku­men­te eingeholt.
4. Risi­ko bewerten
   Kri­ti­k­ali­tät und vor­han­de­ne Sicher­heits­ga­ran­tien wer­den gegenübergestellt.
5. Maß­nah­men und Ver­trä­ge steuern
   Risi­ken wer­den behan­delt, akzep­tiert, eska­liert oder ver­trag­lich abgesichert.

Bewer­tungs­kri­te­ri­en sind unter ande­rem Daten­art, Pro­zess­be­zug, Inte­gra­ti­ons­grad, Zugriffs­rech­te, Pro­duk­ti­ons­sys­tem­zu­griff, Exit-Auf­wand und Drittlandbezug.

Als geeig­ne­te Nach­wei­se wer­den ins­be­son­de­re genannt:

• ISO 27001
• ISO 27701
• ISO 27017 für Cloud-Sicherheit
• TISAX, ins­be­son­de­re bei höhe­rem Assessment-Level
• SOC 2 / SOC 3
• ISAE 3402-Berich­te
• Secu­ri­ty Policy
• State­ment of Applicability
• Scope State­ment
• gül­ti­ge Zer­ti­fi­ka­te und Auditberichte

Wich­tig ist, Zer­ti­fi­ka­te nicht blind zu akzep­tie­ren. Geprüft wer­den sol­len unter ande­rem Gül­tig­keit, aus­stel­len­de Zer­ti­fi­zie­rungs­stel­le, Scope, Stand­ort­be­zug, Unter­neh­mens­be­zug und Abde­ckung der tat­säch­lich bezo­ge­nen Leistung.

Für gro­ße Anbie­ter wie Micro­soft, AWS oder ande­re Cloud-/SaaS-Anbie­ter wird aner­kannt, dass indi­vi­du­el­le Audit- oder Ver­trags­rech­te oft schwer durch­setz­bar sind. Hier sol­len Trust-Cen­ter, ver­füg­ba­re Prüf­be­rich­te, Zer­ti­fi­ka­te und künf­tig mög­li­cher­wei­se EU-wei­te Bewer­tun­gen her­an­ge­zo­gen werden.

Klei­ne Lie­fe­ran­ten, Free­lan­cer oder Bera­tungs­un­ter­neh­men sol­len nicht ein­fach „durch den Rost fal­len“. Wenn sie Zugang zu sen­si­blen Infor­ma­tio­nen oder Sys­te­men haben, müs­sen sie bewer­tet und gege­be­nen­falls qua­li­fi­ziert wer­den. Mög­li­che Maß­nah­men sind MFA, kon­trol­lier­ter Zugriff, Log­ging, Onboar­ding, ein­ge­schränk­te Daten­ver­ar­bei­tung und regel­mä­ßi­ge Reviews.

Je nach Kri­ti­k­ali­täts­stu­fe sol­len Ver­trä­ge Anfor­de­run­gen ent­hal­ten zu:

• NDA / Vertraulichkeit
• Vor­falls­mel­dung
• Auf­trags­ver­ar­bei­tung bei per­so­nen­be­zo­ge­nen Daten
• Sub­dienst­leis­tern
• Audit- und Kontrollrechten
• Schwach­stel­len­ma­nage­ment
• Daten­rück­ga­be und Datenlöschung
• Exit-Stra­te­gie
• SLAs und BCM-Anforderungen

Beson­ders bei L3-Lie­fe­ran­ten wer­den Audit- oder Kon­troll­rech­te als wesent­lich beschrie­ben. Audits kön­nen von einem kur­zen Gespräch mit dem CISO bis zu mehr­tä­gi­gen Vor-Ort-Prü­fun­gen rei­chen, sol­len aber risi­ko­ori­en­tiert und auf die kon­kre­te Leis­tung fokus­siert sein.

Das Web­i­nar schlägt einen prag­ma­ti­schen Zeit­plan vor:

• Monat 1: Bestands­auf­nah­me aller rele­van­ten Lie­fe­ran­ten und Kritikalitätsklassifizierung
• Monat 2–3: Selbst­aus­künf­te und Nach­wei­se ein­ho­len, ins­be­son­de­re für L3-Lieferanten
• Monat 4: Ver­trä­ge, Risi­ken und Maß­nah­men für kri­ti­sche Lie­fe­ran­ten behandeln
• ab Monat 5: Über­gang in den Regel­be­trieb mit jähr­li­chen Reviews, Manage­ment Report­ing und anlass­be­zo­ge­nen Neubewertungen

Das Lie­fe­ran­ten­ma­nage­ment soll nicht dau­er­haft allein beim CISO lie­gen. Ide­al ist eine kla­re Rol­len­ver­tei­lung, bei der der Ein­kauf den Pro­zess ope­ra­tiv trägt und der CISO bei hohen Risi­ken, Sicher­heits­fra­gen oder Eska­la­tio­nen ein­ge­bun­den wird.

Das Doku­ment ver­mit­telt, dass Lie­fe­ran­ten­ma­nage­ment unter NIS‑2 und ISO 27001 kein rei­ner Fra­ge­bo­gen­pro­zess ist, son­dern ein kon­ti­nu­ier­li­cher Gover­nan­ce- und Risi­ko­ma­nage­ment­pro­zess. Unter­neh­men müs­sen Lie­fe­ran­ten ken­nen, klas­si­fi­zie­ren, Risi­ken doku­men­tie­ren, Sicher­heits­ga­ran­tien ein­for­dern, Ver­trä­ge anpas­sen und kri­ti­sche Lie­fe­ran­ten regel­mä­ßig überwachen.

Der emp­foh­le­ne Ansatz ist prag­ma­tisch: zunächst die kri­ti­schen Lie­fe­ran­ten iden­ti­fi­zie­ren und sau­ber behan­deln, danach die übri­gen Lie­fe­ran­ten schritt­wei­se integrieren.