Zum Hauptinhalt springen
Informationssicherheit / NIS2

Dienstleistersteuerung

Dienstleistersteuerung umfasst die systematische Bewertung, vertragliche Absicherung und laufende Überwachung von Sicherheitsrisiken, die aus der Beauftragung externer Dienstleister und Lieferanten entstehen.

Dienstleistersteuerung (englisch Third-Party Risk Management) bezeichnet den Prozess, mit dem eine Organisation die Informationssicherheits- und Compliance-Risiken externer Dienstleister, Cloud-Anbieter und Lieferanten über den gesamten Lebenszyklus der Geschäftsbeziehung steuert. Sie beginnt mit der risikoorientierten Auswahl und Eingangsprüfung (Due Diligence), setzt sich in vertraglichen Sicherheitsvereinbarungen fort und mündet in eine kontinuierliche Überwachung der vereinbarten Schutzmaßnahmen. Ziel ist es, dass Sicherheitsanforderungen, die intern gelten, auch entlang der Liefer- und Wertschöpfungskette durchgesetzt werden und Risiken nicht über Dritte in die eigene Organisation getragen werden.

Im Zentrum steht eine Risikobewertung des einzelnen Dienstleisters: Welche Daten und Systeme verarbeitet er, welchen Schutzbedarf haben diese, und welche Auswirkungen hätte ein Ausfall oder eine Kompromittierung? Auf dieser Grundlage werden Anforderungen festgelegt und nachgewiesen, etwa durch Zertifikate (ISO/IEC 27001), Prüfberichte (SOC 2, IDW PS 951), TISAX-Label oder Sicherheitsfragebogen. Kritisch ist auch die Frage der Sub-Dienstleister (Vierte-Parteien-Risiken) sowie die Konzentration auf wenige große Anbieter, die im Störfall zu Klumpenrisiken führen kann.

Mit der NIS2-Richtlinie und ihrer Umsetzung im deutschen Recht wird die Sicherheit der Lieferkette zur ausdrücklichen Pflicht: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen Maßnahmen zum Management von Risiken in der Lieferkette ergreifen und überwachen. Für Finanzunternehmen konkretisiert die DORA-Verordnung die Steuerung von IKT-Drittdienstleistern bis hin zu Pflichtinhalten der Verträge und einem Informationsregister. Eine wirksame Dienstleistersteuerung ist damit zugleich Baustein des ISMS, des Business Continuity Managements und der regulatorischen Compliance.

Rechtliche Grundlage

Art. 21 Abs. 2 lit. d NIS2-Richtlinie (EU) 2022/2555 (Sicherheit der Lieferkette); §§ 30 f. BSIG (NIS2-Umsetzung); Art. 28 ff. DORA-Verordnung (EU) 2022/2554; ISO/IEC 27001 (insb. A.5.19-A.5.23 Lieferantenbeziehungen)

Praxisbeispiel

Eine als wichtige Einrichtung eingestufte Stadtwerke-Gesellschaft beauftragt einen Cloud-Anbieter mit dem Betrieb ihres Abrechnungssystems. Der Informationssicherheitsbeauftragte führt eine Eingangsprüfung durch, fordert das ISO/IEC-27001-Zertifikat und einen SOC-2-Typ-2-Bericht an und bewertet den Schutzbedarf der verarbeiteten Kundendaten als hoch. In den Vertrag werden Meldepflichten bei Sicherheitsvorfällen, Audit-Rechte, Anforderungen an die Verschlüsselung und eine Liste genehmigter Sub-Dienstleister aufgenommen. Anschließend wird der Anbieter in das jährliche Lieferanten-Reassessment aufgenommen, und ablaufende Zertifikate lösen automatisch eine Wiedervorlage aus.

Häufige Fragen

Grundsätzlich alle externen Partner, die Zugriff auf schutzbedürftige Daten oder Systeme haben oder kritische Funktionen erbringen. Der Steuerungsaufwand richtet sich risikoorientiert nach dem Schutzbedarf und der Kritikalität der Leistung. Besonders kritische Dienstleister werden intensiver geprüft und häufiger neu bewertet.
NIS2 verpflichtet betroffene Einrichtungen, Risiken aus der Lieferkette und aus Dienstleisterbeziehungen als Teil ihres Risikomanagements zu berücksichtigen. Dazu gehören die Bewertung der Sicherheit von Lieferanten, vertragliche Sicherheitsanforderungen und die laufende Überwachung. Die Geschäftsleitung muss diese Maßnahmen billigen und überwachen.
Üblich sind anerkannte Zertifikate wie ISO/IEC 27001, Prüfberichte wie SOC 2 Typ 2 oder IDW PS 951, branchenspezifische Nachweise wie TISAX sowie ausgefüllte Sicherheitsfragebogen. Bei hohem Risiko ergänzen Vor-Ort-Audits, Penetrationstests oder Audit-Rechte im Vertrag den Nachweis.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Lieferkettensicherheit NIS-2-Richtlinie DORA (Digital Operational Resilience Act) Risikobewertung (Risk Assessment) ISMS (Informationssicherheits-Managementsystem)
Zurück zum Glossar