Was sollte eine Lieferantenrisikobewertung Vorlage enthalten?

Eine vollständige Vorlage sollte sechs Bereiche abdecken: (1) Informationssicherheitsmaßnahmen — Zugriffsmanagement, Verschlüsselung, Schwachstellenmanagement, Incident Response; (2) Compliance und Zertifizierungen — ISO 27001, SOC 2, DSGVO, NIS2/DORA-Status; (3) Datenverarbeitung — Datenspeicherort, Unterauftragsverarbeiter, Aufbewahrung und Löschung; (4) Geschäftskontinuität — Notfallwiederherstellung, Backups, SLA-Garantien; (5) Finanzielle Stabilität — Versicherung, Schlüsselpersonen-Risiko, Lieferantenstabilität; (6) Unterauftragsverarbeiter-Risiko — Unterauftragnehmer und deren Bewertungsprozesse.

Wie bewerte ich das Ergebnis einer Lieferantenrisikobewertung?

Die Risikobewertung verwendet eine zweidimensionale Matrix: Das inhärente Risiko (basierend auf Datensensibilität, Datenvolumen, Systemzugang und Servicekritikalität — bewertet als Niedrig/Mittel/Hoch/Kritisch) kombiniert mit der Kontrolleffektivität (basierend auf Zertifizierungen, Prüfberichten und verifizierten Maßnahmen — bewertet als Stark/Angemessen/Schwach/Unzureichend). Die Kombination ergibt das Restrisiko.

Ist die Lieferantenrisikobewertung für ISO 27001 verpflichtend?

Ja. ISO 27001:2022 Anhang A Maßnahmen 5.19, 5.20 und 5.21 verlangen, dass Organisationen die Informationssicherheit in Lieferantenbeziehungen steuern, Sicherheitsanforderungen mit Lieferanten festlegen und die IKT-Lieferkettensicherheit managen. Dokumentierte Lieferantenrisikobewertungen sind für Zertifizierungsaudits zwingend erforderlich.

Wie oft sollte eine Lieferantenrisikobewertung durchgeführt werden?

Die Häufigkeit sollte risikobasiert sein: kritische Lieferanten jährlich (plus kontinuierliches Monitoring), Lieferanten mit hohem Risiko alle 12–18 Monate, Standardlieferanten alle 2 Jahre, Lieferanten mit niedrigem Risiko alle 3 Jahre oder bei Vertragsverlängerung. Eine erneute Bewertung ist außerdem nach Sicherheitsvorfällen, wesentlichen Serviceänderungen oder neuen regulatorischen Anforderungen erforderlich.

Was verlangt die NIS2-Richtlinie bei der Lieferantenbewertung?

NIS2 Artikel 21(2)(d) verpflichtet wesentliche und wichtige Einrichtungen zur Umsetzung von Maßnahmen zur Sicherheit der Lieferkette. Dazu gehören sicherheitsbezogene Bewertungen direkter Lieferanten und Dienstleister, die Berücksichtigung lieferantenspezifischer Schwachstellen und die Bewertung der Cybersicherheitspraktiken der Lieferanten. Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

Lieferantenrisikobewertung Vorlage: Kostenlose Checkliste für 2026

2026-03-17

By Orbiq Team

Lieferantenrisikobewertung Vorlage: Kostenlose Checkliste für 2026

Kostenlose Vorlage für die Lieferantenrisikobewertung mit vollständiger Checkliste für Informationssicherheit, Compliance, Datenschutz und Geschäftskontinuität — für ISO 27001, NIS2 und DORA.

vendor-risk

vorlage

drittparteirisiko

iso-27001

nis2

dora

Lieferantenrisikobewertung Vorlage: Kostenlose Checkliste für 2026

Eine Lieferantenrisikobewertung ist der strukturierte Prozess, der bestimmt, ob einem Drittanbieter mit Ihren Daten, Systemen oder Diensten vertraut werden kann — und unter welchen Bedingungen. Diese Seite stellt eine vollständige, sofort einsetzbare Vorlage für die Lieferantenrisikobewertung bereit, die alle sechs Bewertungsbereiche, ein Bewertungsschema und Anwendungshinweise umfasst.

Die Vorlage ist darauf ausgelegt, die Anforderungen von ISO 27001 (Anhang A 5.19–5.21), NIS2 (Artikel 21(2)(d)) und DORA (Artikel 28–30) zu erfüllen.

Warum eine strukturierte Vorlage entscheidend ist

Ad-hoc-Lieferantenbewertungen liefern inkonsistente Ergebnisse: Derselbe Lieferant, der von zwei Teammitgliedern bewertet wird, kann völlig unterschiedliche Risikoeinschätzungen erhalten. Eine standardisierte Vorlage stellt sicher:

Konsistenz — jeder Lieferant wird anhand derselben Kriterien bewertet
Nachvollziehbarkeit — dokumentierte Bewertungen erfüllen Anforderungen von Prüfern und Regulatoren
Skalierbarkeit — wiederholbare Prozesse können delegiert und automatisiert werden
Vergleichbarkeit — strukturierte Daten ermöglichen den Vergleich von Lieferantenrisikoprofilen über Zeit

Laut dem Bitsight Third-Party Risk Report 2025 überwachen nur ein Drittel der Unternehmen alle Drittanbieterbeziehungen kontinuierlich auf Cyberrisiken [1]. Die Mehrheit setzt auf zeitpunktbezogene Bewertungen — eine fundierte Vorlage ist daher das unverzichtbare Mindestmaß.

Für deutsche Unternehmen — insbesondere Mittelstandsbetriebe, die unter NIS2 fallen, oder Finanzdienstleister mit DORA-Pflichten — ist ein strukturierter Bewertungsprozess keine Best Practice mehr, sondern gesetzliche Pflicht.

Schritt 1: Lieferant klassifizieren

Vor der eigentlichen Bewertung klassifizieren Sie den Lieferanten, um die erforderliche Bewertungstiefe zu bestimmen.

Inhärente Risikoeinstufung

Faktor	Niedrig	Mittel	Hoch	Kritisch
Datensensibilität	Nur öffentliche Daten	Interne Daten	Vertrauliche Daten	Personenbezogene/regulierte Daten
Datenvolumen	Minimal	Moderat	Erheblich	Großvolumige Verarbeitung
Systemzugang	Kein Direktzugang	Nur-Lesen	Lese-/Schreibzugriff	Administrator-/privilegierter Zugang
Servicekritikalität	Nice-to-have	Unterstützend	Wichtig	Geschäftskritisch / essenziell
Austauschbarkeit	Einfach zu wechseln	Einiger Aufwand	Schwierig	Hohes Lock-in-Risiko

Gesamt-Inhärenzrisiko: Niedrig / Mittel / Hoch / Kritisch

Bewertungsstufe

Inhärentes Risiko	Bewertungsstufe	Erforderliche Abschnitte
Kritisch	Stufe 1 — Vollständig	Alle sechs Abschnitte + unabhängige Verifikation
Hoch	Stufe 1 — Vollständig	Alle sechs Abschnitte
Mittel	Stufe 2 — Standard	Abschnitte 1–4
Niedrig	Stufe 3 — Vereinfacht	Abschnitt 1 (Zusammenfassung) + Abschnitt 2

Die Vorlage

Abschnitt 1: Informationssicherheitsmaßnahmen

Bewerten Sie jeden Kontrollbereich: ✅ Verifiziert / ⚠️ Teilweise / selbst attestiert / ❌ Nicht vorhanden / N/A

1.1 Zugriffsmanagement

Maßnahme	Status	Anmerkungen / Nachweise
Multi-Faktor-Authentifizierung für alle Konten erzwungen
Rollenbasierte Zugriffskontrolle (RBAC) implementiert
Privileged Access Management (PAM) vorhanden
Zugangsüberprüfungen durchgeführt (mindestens jährlich)
Eintritts-/Versetzungs-/Austrittsprozess dokumentiert
Zugang zu Kundendaten auf Need-to-know beschränkt

1.2 Verschlüsselung

Maßnahme	Status	Anmerkungen / Nachweise
Daten im Ruhezustand verschlüsselt (AES-256 oder gleichwertig)
Daten bei der Übertragung verschlüsselt (TLS 1.2+ erzwungen)
Schlüsselverwaltungsprozess dokumentiert
Kundenseitig verwaltete Verschlüsselungsschlüssel verfügbar

1.3 Schwachstellenmanagement

Maßnahme	Status	Anmerkungen / Nachweise
Regelmäßige Schwachstellen-Scans durchgeführt
Kritische Patches innerhalb definierter SLA eingespielt
Penetrationstest innerhalb der letzten 12 Monate durchgeführt
Penetrationstest-Ergebnisse und Behebungsmaßnahmen verfügbar
Responsible-Disclosure- / Bug-Bounty-Programm vorhanden

1.4 Incident Response

Maßnahme	Status	Anmerkungen / Nachweise
Dokumentierter Incident-Response-Plan
SLA für Sicherheitsvorfall-Benachrichtigung definiert
Kundenmeldeprozess bei Datenpannen
Post-Incident-Review-Prozess vorhanden
Security Operations / Monitoring-Fähigkeit

1.5 Netzwerk- und Infrastruktursicherheit

Maßnahme	Status	Anmerkungen / Nachweise
Netzwerksegmentierung implementiert
Firewall- und Intrusion-Detection-Systeme vorhanden
DDoS-Schutz implementiert
Audit-Logs aufbewahrt (mindestens 12 Monate)
Change-Management-Prozess dokumentiert

Zusammenfassung Abschnitt 1:

Verifizierte Maßnahmen: ___ / 24
Identifizierte kritische Lücken: ___
Kontrolleffektivität: Stark / Angemessen / Schwach / Unzureichend

Abschnitt 2: Compliance und Zertifizierungen

Zertifizierung / Rahmenwerk	Status	Ablauf / Letztes Audit	Bericht verfügbar?
ISO 27001:2022	Zertifiziert / In Bearbeitung / Nein
SOC 2 Typ II	Abgeschlossen / In Bearbeitung / Nein
ISO 27701 (Datenschutz)	Zertifiziert / Nein
DSGVO-Konformität	Dokumentiert / Teilweise / Nein
NIS2-Konformitätsmaßnahmen	Umgesetzt / Teilweise / Nein
DORA-Konformität (Finanzsektor)	Umgesetzt / Teilweise / Nein
Penetrationstest (letzte 12 Monate)	Ja / Nein
Bug Bounty / Responsible Disclosure	Aktiv / Nein

Zertifizierungsverifikation: Haben Sie die Zertifikatsgültigkeit unabhängig verifiziert (z. B. über IAF CertSearch für ISO 27001)? ☐ Ja ☐ Nein

Zusammenfassung Abschnitt 2:

Verifizierte Zertifizierungen: ___
Wesentliche Compliance-Lücken: ___

Abschnitt 3: Datenverarbeitung

Frage	Antwort	Anmerkungen
Welche Datentypen verarbeitet der Lieferant?
Wo werden Daten gespeichert und verarbeitet? (Länder/Regionen)
Werden Daten innerhalb der EU/des EWR gespeichert?	Ja / Nein / Teilweise
Verwendet der Lieferant Unterauftragsverarbeiter?	Ja / Nein
Liste der Unterauftragsverarbeiter verfügbar?	Ja / Nein
Benachrichtigungsverfahren bei Änderungen der Unterauftragsverarbeiter?	Ja / Nein
Aufbewahrungsfrist definiert?	Ja / Nein — ___ Tage
Prozess zur sicheren Datenlöschung dokumentiert?	Ja / Nein
Datenportabilität / Exportmöglichkeit?	Ja / Nein
Auftragsverarbeitungsvertrag (AVV) geschlossen?	Ja / Nein

Zusammenfassung Abschnitt 3:

Datenspeicherung DSGVO-konform (EU): ☐ Ja ☐ Nein ☐ Teilweise
AVV unterzeichnet: ☐ Ja ☐ Nein
Unterauftragsverarbeiter-Risiko: ☐ Niedrig ☐ Mittel ☐ Hoch

Abschnitt 4: Geschäftskontinuität

Frage	Antwort	Anmerkungen
Recovery Time Objective (RTO)		Stunden
Recovery Point Objective (RPO)		Stunden
Geschäftskontinuitätsplan dokumentiert?	Ja / Nein
Notfallwiederherstellungstest durchgeführt (letzte 12 Monate)?	Ja / Nein
Backup-Frequenz und geografische Verteilung
Verfügbarkeits-SLA		%
Regelung bei SLA-Verletzung definiert?	Ja / Nein
Exit-/Migrationsprozess vorhanden?	Ja / Nein
Datenmigrationshilfe am Vertragsende?	Ja / Nein

Zusammenfassung Abschnitt 4:

RTO/RPO für Kritikalität akzeptabel: ☐ Ja ☐ Nein
Bewertung Geschäftskontinuität: Stark / Angemessen / Schwach / Unzureichend

Abschnitt 5: Finanzielle und operative Stabilität

(Nur für Stufe-1-Bewertungen)

Frage	Antwort	Anmerkungen
Unternehmensalter		Jahre
Ungefährer Umsatz / Finanzierungsstatus
Cyber-Haftpflichtversicherung vorhanden?	Ja / Nein
Versicherungsdeckungssumme		EUR
Schlüsselpersonenabhängigkeiten identifiziert?	Ja / Nein
Kundenkonzentrationsrisiko		(z. B. einzelner Kunde > 30 % des Umsatzes?)
Laufende Rechtsstreitigkeiten / behördliche Sanktionen	Keine / Ja

Zusammenfassung Abschnitt 5:

Finanzstabilitätsrisiko: ☐ Niedrig ☐ Mittel ☐ Hoch

Abschnitt 6: Unterauftragsverarbeiter- und Lieferkettenrisiko

(Nur für Stufe-1-Bewertungen)

Frage	Antwort	Anmerkungen
Nutzt der Lieferant kritische IKT-Unterauftragsverarbeiter?	Ja / Nein
Bewertungsprozess für Unterauftragsverarbeiter dokumentiert?	Ja / Nein
Sicherheitsanforderungen werden an Unterauftragsverarbeiter weitergegeben?	Ja / Nein
Kritische Unterauftragsverarbeiter im Vorfall erkennbar?	Ja / Nein
Konzentrationsrisiko bei Unterauftragsverarbeitern bewertet?	Ja / Nein

Zusammenfassung Abschnitt 6:

Lieferkettenrisiko: ☐ Niedrig ☐ Mittel ☐ Hoch

Risikobewertung: Restrisiko berechnen

Schritt 1: Inhärentes Risiko (aus Klassifizierung oben)

Niedrig / Mittel / Hoch / Kritisch

Schritt 2: Kontrolleffektivität

Basierend auf den Ergebnissen der Abschnitte 1 und 2:

Stark — ISO 27001 oder SOC 2 Typ II zertifiziert, sauberes Audit, alle kritischen Maßnahmen verifiziert
Angemessen — Die meisten Maßnahmen vorhanden, einige Zertifizierungen, geringfügige Lücken
Schwach — Nur grundlegende Maßnahmen, begrenzte Nachweise, erhebliche Lücken in einem oder mehreren Bereichen
Unzureichend — Wesentliche Kontrollmängel, keine Zertifizierung, nicht kooperativ

Schritt 3: Restrisiko-Matrix

	Starke Maßnahmen	Angemessene Maßnahmen	Schwache Maßnahmen	Unzureichende Maßnahmen
Kritisch inhärent	Hoch	Hoch	Kritisch	Kritisch
Hoch inhärent	Mittel	Hoch	Hoch	Kritisch
Mittel inhärent	Niedrig	Mittel	Hoch	Hoch
Niedrig inhärent	Niedrig	Niedrig	Mittel	Hoch

Restrisiko-Einstufung: Niedrig / Mittel / Hoch / Kritisch

Schritt 4: Erforderliche Maßnahmen

Restrisiko	Genehmigung erforderlich	Zusätzliche Maßnahmen	Monitoring-Frequenz
Niedrig	Teamleitung	Keine erforderlich	Jährlich
Mittel	Sicherheitsmanager	Möglicherweise erforderlich	Alle 6 Monate
Hoch	CISO / Geschäftsführung	Erforderlich — dokumentieren	Vierteljährlich
Kritisch	Vorstand / Geschäftsführung	Zwingend oder Lieferant ablehnen	Kontinuierlich

Abschluss der Bewertung

Bewertungszusammenfassung

Feld	Details
Lieferantenname
Bewertungsdatum
Bewerter / Rolle
Bewertungsstufe (1/2/3)
Inhärente Risikoeinstufung
Kontrolleffektivitätsbewertung
Restrisiko-Einstufung
Risikoentscheidung	☐ Genehmigt ☐ Genehmigt mit Auflagen ☐ Abgelehnt
Auflagen / erforderliche Maßnahmen
Nächstes Überprüfungsdatum
Genehmiger Name / Rolle
Genehmigungsdatum

Dokumentations-Checkliste

Vor der Ablage der Bewertung bestätigen:

☐ Ausgefüllter Sicherheitsfragebogen (vom Lieferanten bereitgestellt)
☐ ISO 27001-Zertifikat (unabhängig verifiziert) oder SOC 2 Typ II-Bericht
☐ Auftragsverarbeitungsvertrag (AVV) unterzeichnet
☐ Liste der Unterauftragsverarbeiter eingeholt
☐ Risikobewertung abgeschlossen und abgezeichnet
☐ Auflagen / Maßnahmen dokumentiert
☐ Nächstes Überprüfungsdatum im Kalender eingetragen

Regulatorische Anforderungen

ISO 27001:2022

Maßnahme	Abdeckung durch Vorlage
5.19 — Informationssicherheit in Lieferantenbeziehungen	Gesamte Vorlage
5.20 — Informationssicherheit in Lieferantenvereinbarungen	Abschnitt 3 (AVV), Abschnitt 4 (SLA), Abschnitt 6 (Weitergabe)
5.21 — IKT-Lieferkettensicherheit	Abschnitt 6 (Unterauftragsverarbeiter), kontinuierliches Monitoring

Auditoren benötigen: ausgefüllte Bewertungsunterlagen, Nachweise zur Zertifizierungsverifikation, dokumentierte Risikoentscheidungen und geplante Folgebewertungstermine.

NIS2 Artikel 21(2)(d)

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Umsetzung von Lieferkettensicherheitsmaßnahmen, einschließlich der Bewertung der Sicherheitspraktiken und Schwachstellen direkter Lieferanten. Die Abschnitte 1, 2 und 6 dieser Vorlage adressieren diese Anforderungen direkt.

Gemäß BSI-Empfehlungen zur Lieferantensicherheit (BSI-Standard 200-1, Kapitel 9) sollten Organisationen einen risikobasierten Ansatz zur Lieferantenbewertung verfolgen — genau das, was diese Vorlage strukturiert ermöglicht.

DORA Artikel 28–30

DORA verpflichtet Finanzunternehmen zur Durchführung von vorvertraglichen Risikobewertungen von IKT-Drittdienstleistern vor Abschluss kritischer Verträge. Die vollständige Stufe-1-Vorlage (alle sechs Abschnitte) erfüllt die DORA-Anforderungen für vorvertragliche Bewertungen. Abschnitte 3 und 4 adressieren die spezifischen DORA-Anforderungen zu Datenspeicherort, Audit-Rechten und Exit-Strategien.

Automatisierung der Lieferantenrisikobewertung

Vorlagenbasierte Bewertungen funktionieren bei kleinem Umfang. Sobald Sie Dutzende von Lieferanten verwalten, stößt der manuelle Prozess an Grenzen:

Fragebogen-Koordination wird zum Projektmanagementaufwand
Nachweisspeicherung fragmentiert sich über E-Mail und geteilte Laufwerke
Periodische Wiederbewertungstermine werden verpasst
Auditvorbereitungen erfordern die Rekonstruktion von Papierpfaden

Was Automatisierung adressiert:

Manueller Schmerzpunkt	Automatisierte Lösung
Fragebögen versenden und nachfassen	Automatisierte Verteilung und Erinnerungen
Zertifikate und Prüfberichte speichern	Zentrales Nachweisarchiv
Risikobewertungskonsistenz	Standardisierte Bewertungsmaschine
Wiederbewertungstermine verfolgen	Automatisierte Review-Planung
Prüfnachweise vorbereiten	Exportierbare Bewertungsunterlagen
Monitoring zwischen Bewertungen	Kontinuierliche Zertifizierungs- und Sicherheitsüberwachung

Enterprise-VRM-Plattformen wie UpGuard Vendor Risk (ab ca. 1.599 USD/Monat für den Starter-Plan), Prevalent und OneTrust TPRM (Preise variieren stark; Enterprise-Implementierungen typischerweise zwischen 10.000 und 40.000+ USD/Jahr je nach Lieferantenvolumen und Modulen) bieten umfassende Automatisierung, sind jedoch auf Organisationen mit Hunderten oder Tausenden von Lieferanten ausgerichtet [2].

Für europäische Unternehmen — insbesondere im deutschen Mittelstand, die ISO 27001-Zertifizierung, NIS2-Compliance und Trust-Center-Transparenz benötigen — bietet eine spezialisierte Compliance-Plattform die Kernfunktionalität für Bewertung und Monitoring ohne übermäßigen Implementierungsaufwand.

Wie Orbiq die Lieferantenrisikobewertung unterstützt

Die Vendor-Assurance-Plattform von Orbiq rationalisiert beide Seiten des Lieferantenrisikos:

Ausgehend (Ihre Lieferanten): Bewertungen verteilen, Fragebogen-Antworten sammeln, Zertifikate und Prüfberichte speichern und Risikoentscheidungen in einem zentralen System verfolgen. Automatische Erinnerungen ersetzen manuelle Nachfassaktionen.
Eingehend (Bewertungen Ihrer Kunden über Sie): Veröffentlichen Sie Ihr Sicherheitsprofil, Zertifizierungen und Compliance-Nachweise in einem Trust Center, damit Kunden Ihr Risiko beurteilen können, ohne manuelle Fragebögen zu senden.
Kontinuierliches Monitoring: Verfolgen Sie Änderungen des Zertifizierungsstatus von Lieferanten, Sicherheitsverletzungsmeldungen und Compliance-Lücken zwischen formalen Bewertungszyklen.
EU-Datenhaltung: Alle Bewertungsdaten verbleiben innerhalb der EU — eine Anforderung für Organisationen, die DSGVO, NIS2 und DORA unterliegen.

Weiterführende Ressourcen

Lieferantenrisikomanagement: Der definitive Leitfaden — vollständiger VRM-Programm-Leitfaden, EU-Anforderungen und Tool-Vergleiche
Lieferantenrisikobewertung (Glossar) — was VRAs sind, wann sie durchgeführt werden und wie das Risiko bewertet wird
Drittparteirisikomanagement — Aufbau eines umfassenden TPRM-Programms
NIS2-Lieferkettensicherheit — spezifische NIS2-Anforderungen zur Lieferkettenbewertung
Compliance-Automatisierung — Automatisierung der Nachweiserfassung für Lieferantenbewertungen

Quellen & Referenzen

Bitsight. (2025). Third-Party Risk Management Report. Bitsight Technologies. https://www.bitsight.com/resources/third-party-risk-management
UpGuard. (2026). Vendor Risk Pricing. https://www.upguard.com/pricing — Prevalent TPRM-Preise aus Anbieter-Dokumentation; OneTrust Enterprise-Preise aus Analysten-Quellen.

Diese Vorlage wird vom Orbiq-Team gepflegt. Zuletzt aktualisiert: März 2026.