Was sind die Unterschiede zwischen VRM und TPRM?

Lieferantenrisikomanagement (VRM) konzentriert sich traditionell auf IT- und Technologielieferanten, während Third-Party Risk Management (TPRM) einen breiteren Anwendungsbereich umfasst — einschließlich Lieferanten, Auftragnehmer, Partner und Auftragsverarbeiter. In der Praxis werden die Begriffe häufig synonym verwendet. TPRM ist in regulierten Branchen (Finanzdienstleistungen, Gesundheitswesen) verbreiteter.

Was verlangt NIS2 beim Lieferantenrisikomanagement?

NIS2-Artikel 21(2)(d) verpflichtet wesentliche und wichtige Einrichtungen zur Umsetzung von Lieferkettensicherheitsmaßnahmen, einschließlich sicherheitsbezogener Aspekte der Beziehungen zu direkten Lieferanten und Dienstleistern. Das bedeutet dokumentierte Bewertungsprozesse, vertragliche Sicherheitsanforderungen und eine kontinuierliche Überwachung der Sicherheitslage der Lieferanten. Bei Nichteinhaltung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Wie hoch sind die Kosten für Lieferantenrisikomanagement-Software?

Die Preise variieren erheblich je nach Plattform und Lieferantenportfolio. UpGuard Vendor Risk beginnt bei ca. 1.599 USD/Monat (Starter) und 3.333 USD/Monat (Professional). Enterprise-Plattformen wie OneTrust TPRM kosten typischerweise 40.000 bis über 500.000 USD pro Jahr. Die meisten Enterprise-VRM-Tools (Bitsight, ProcessUnity, Prevalent) bieten individuelle Preisangebote. Orbiq bietet integriertes Lieferantenrisikomanagement als Teil seiner Compliance-Plattform mit transparenten Preisen und EU-Datenhaltung.

Wie oft sollten Lieferantenbewertungen durchgeführt werden?

Die Bewertungshäufigkeit sollte risikobasiert sein. Kritische Lieferanten mit Zugang zu sensiblen Daten: jährliche Bewertung plus kontinuierliche Überwachung. Hochrisikolieferanten: alle 12–18 Monate. Standardlieferanten: alle 2 Jahre. Risikoarme Lieferanten: alle 3 Jahre oder bei Vertragsverlängerung. Alle Lieferanten sollten nach wesentlichen Ereignissen neu bewertet werden — Fusionen, Übernahmen, Sicherheitsvorfällen oder erheblichen Serviceänderungen.

Was sind die größten Herausforderungen im Lieferantenrisikomanagement?

Die drei größten Herausforderungen sind: (1) Skalierung — Unternehmen mit Hunderten von Lieferanten können keine aussagekräftigen manuellen Bewertungen für jeden durchführen; (2) Zeitpunkt-Blindheit — jährliche Fragebögen erfassen Risiken nicht, die zwischen den Zyklen entstehen; (3) Fragebogen-Ermüdung — sowohl Absender als auch Empfänger leiden unter der Masse und Formatinkonsistenz von Sicherheitsfragebögen. Laut Bitsight-Bericht 2025 überwacht nur jedes dritte Unternehmen kontinuierlich alle Drittparteibeziehungen auf Cyberrisiken.

Lieferantenrisikomanagement: Der vollständige Leitfaden für 2026

Published 16. März 2026

By Orbiq Team

Lieferantenrisikomanagement: Der vollständige Leitfaden für 2026

Q: Was verlangt DORA beim Drittparteien-Risikomanagement?

DORA-Artikel 28–44 stellen die detailliertesten Anforderungen an das Drittparteien-Risikomanagement in der europäischen Regulierung dar. Finanzunternehmen müssen ein Register der IKT-Drittdienstleister führen, Vorvertragsbewertungen durchführen, spezifische Vertragsklauseln aufnehmen, eine laufende Überwachung betreiben und Konzentrationsrisiken bewerten. Kritische IKT-Anbieter unterliegen der direkten Aufsicht durch die europäischen Aufsichtsbehörden.

Alles, was Sie für ein effektives Lieferantenrisikomanagement benötigen — von den Grundlagen über NIS2- und DORA-Anforderungen bis zum Toolvergleich. Vollständiger Leitfaden 2026.

lieferantenrisiko

tprm

lieferkettensicherheit

nis2

dora

Lieferantenrisikomanagement: Der vollständige Leitfaden für 2026

Die Sicherheitslage Ihres Unternehmens ist nur so stark wie die Ihres schwächsten Lieferanten. Jede Drittpartei mit Zugang zu Ihren Daten, Systemen oder Ihrer Infrastruktur erweitert Ihre Angriffsfläche — und möglicherweise Ihre Haftung nach NIS2, DORA und ISO 27001. Lieferantenrisikomanagement ist der strukturierte Prozess, der genau aufzeigt, welche Risiken Ihre Lieferanten einbringen und wie Sie damit umgehen.

Dieser Leitfaden deckt alles ab: Was VRM tatsächlich beinhaltet, was die Vorschriften 2026 verlangen, wie Sie ein skalierbares Programm aufbauen, wie führende Tools verglichen werden und wo Orbiq passt.

Was ist Lieferantenrisikomanagement?

Lieferantenrisikomanagement (Vendor Risk Management, VRM) ist der systematische Prozess zur Identifizierung, Bewertung, Überwachung und Minderung von Risiken, die durch externe Lieferanten und Drittdienstleister entstehen.

Der Umfang von VRM umfasst:

Vorvertragliche Sorgfaltspflicht — Bewertung von Sicherheitskontrollen, Compliance-Lage und Stabilität vor Vertragsabschluss
Risikoklassifizierung — Einstufung von Lieferanten nach Kritikalität basierend auf Datenzugang, Geschäftsabhängigkeit und regulatorischer Exposition
Vertragliche Kontrollen — Verankerung von Sicherheitspflichten, Audit-Rechten und Anforderungen zur Vorfallsmeldung in Vereinbarungen
Kontinuierliche Überwachung — fortlaufende Überwachung der Sicherheitslage und des Compliance-Status von Lieferanten zwischen formellen Überprüfungen
Vorfallsmanagement — Bewältigung von Sicherheitsereignissen, die von Lieferanten ausgehen oder diese betreffen
Offboarding — sichere Beendigung von Lieferantenbeziehungen mit Datenlöschungsbestätigung und Zugriffsentzug

Was VRM nicht ist: ein einmaliger Fragebogen, der vor Vertragsunterzeichnung an jeden Lieferanten verschickt wird. Dieser Ansatz war bereits vor zehn Jahren unzureichend und ist mit den aktuellen regulatorischen Anforderungen unvereinbar.

Warum Lieferantenrisikomanagement 2026 unverzichtbar ist

Drei Kräfte haben VRM für jede Organisation zur Pflicht gemacht, die sensible Daten verarbeitet oder in regulierten Märkten tätig ist:

1. Lieferkettenangriffe sind der dominante Bedrohungsvektor

Ausgefeilte Angreifer zielen zunehmend auf Lieferanten ab, anstatt ihre eigentlichen Ziele direkt anzugreifen. Ein kompromittierter SaaS-Anbieter, Managed-Service-Provider oder Softwareabhängigkeit kann gleichzeitig Zugang zu Hunderten von nachgelagerten Unternehmen ermöglichen — durch einen einzigen Schwachpunkt.

Das Muster ist etabliert: Angreifer kompromittieren einen vertrauenswürdigen Lieferanten und nutzen diesen Zugang, um dessen Kunden zu erreichen. Ihre internen Sicherheitsmaßnahmen sind irrelevant, wenn ein Angreifer durch die Zugangsdaten Ihres Lieferanten eintreten kann.

2. Europäische Vorschriften machen es zur Pflicht

Drei wichtige EU-Vorschriften verlangen 2026 ein strukturiertes Lieferantenrisikomanagement:

NIS2 (Network and Information Security Directive 2): Artikel 21(2)(d) listet Lieferkettensicherheit als eine von zehn obligatorischen Cybersicherheits-Risikomanagementmaßnahmen auf. Wesentliche und wichtige Einrichtungen müssen Sicherheitsmaßnahmen implementieren, die Beziehungen zu direkten Lieferanten und Dienstleistern abdecken, die allgemeine Qualität der Cybersicherheitspraktiken ihrer Lieferanten bewerten und die Ergebnisse koordinierter Lieferketten-Risikobewertungen berücksichtigen. Bei Nichteinhaltung drohen Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

DORA (Digital Operational Resilience Act): Artikel 28–44 stellen die detailliertesten Anforderungen an das Drittparteien-Risikomanagement in der europäischen Regulierung auf. Finanzunternehmen müssen ein vollständiges Register der IKT-Dienstleister führen, Vorvertragsbewertungen durchführen, spezifische Vertragsklauseln einbeziehen, eine laufende Überwachung betreiben, Konzentrationsrisiken bewerten und Exit-Strategien verwalten. Kritische IKT-Anbieter unterliegen der direkten Aufsicht durch die europäischen Aufsichtsbehörden.

ISO 27001:2022: Annex-A-Kontrollen 5.19–5.23 decken Lieferantenbeziehungen in fünf Dimensionen ab: Sicherheit in Lieferantenbeziehungen (5.19), Sicherheit in Lieferantenvereinbarungen (5.20), IKT-Lieferkettensicherheit (5.21), Überwachung und Überprüfung von Lieferantenservices (5.22) sowie Sicherheit für Cloud-Dienste (5.23).

3. Enterprise-Kunden verlangen es

Der Enterprise-Vertriebsprozess umfasst heute routinemäßig detaillierte Lieferantenrisiko-Fragebögen. Käufer wollen wissen, ob Sie Ihre eigenen Lieferanten bewerten — denn Ihre Lieferantenrisiko-Lage beeinflusst ihre Risiko-Lage. Ohne ein dokumentiertes VRM-Programm scheitern Deals oder sterben in der Sicherheitsüberprüfung.

Der Lebenszyklus des Lieferantenrisikomanagements

Ein vollständiges VRM-Programm umfasst sechs Phasen. Die Tiefe jeder Phase skaliert je nach Lieferantenkritikalität.

Phase 1: Lieferanteninventur

Sie können keine Risiken managen, die Sie nicht identifiziert haben. Erstellen Sie ein vollständiges Lieferanteninventar, das umfasst:

Jeden Lieferanten mit Zugang zu Ihren Daten oder Systemen
Jedes SaaS-Tool, das Mitarbeiter- oder Kundendaten verarbeitet
Jeden Managed Service mit privilegiertem Zugang zu Ihrer Infrastruktur
Jeden Unterauftragnehmer, den Ihre primären Lieferanten einsetzen

Das Inventar sollte erfassen: Lieferantenname, Servicekategorie, Arten der verarbeiteten Daten, Datenspeicherorte, Geschäftskritikalität und primärer Vertragsverantwortlicher. Die meisten Unternehmen entdecken bei dieser Übung Lieferanten, die noch nie formal überprüft wurden.

Phase 2: Risikoklassifizierung

Nicht alle Lieferanten tragen das gleiche Risiko. Klassifizieren Sie jeden Lieferanten nach inhärentem Risiko, bevor Sie entscheiden, wie viel Bewertungsaufwand erforderlich ist:

Risikoniveau	Kriterien	Bewertungsansatz
Kritisch	Zugang zu regulierten/sensiblen Daten, essentielle Dienste, schwer ersetzbar	Vollständige Bewertung: Fragebogen + Zertifizierungen + unabhängige Verifizierung
Hoch	Zugang zu internen Daten, erhebliche Geschäftsabhängigkeit	Standardbewertung: Fragebogen + Zertifizierungsprüfung
Mittel	Begrenzter Datenzugang, gewisse Betriebsabhängigkeit	Leichte Bewertung: Basis-Fragebogen + öffentliche Compliance-Prüfung
Gering	Kein Datenzugang, leicht ersetzbar	Minimale Prüfung: Handelsregistereintrag, öffentlicher Ruf

Phase 3: Sorgfaltsprüfung und Bewertung

Für kritische und hochriskante Lieferanten umfasst die Sorgfaltsprüfung:

Sicherheitskontrollen: Zugangsverwaltung, Verschlüsselung, Netzwerksicherheit, Schwachstellenmanagement, Incident Response, Protokollierung und Überwachung.

Compliance und Zertifizierungen: ISO 27001 Zertifikatsgültigkeit und -umfang, SOC 2 Typ II-Bericht (aktuellster), Ergebnisse von Penetrationstests, DSGVO- und NIS2-Compliance-Status.

Datenverarbeitung: Welche Daten verarbeitet werden, wo sie gespeichert und verarbeitet werden, Unterauftragsverarbeiter-Liste, Datenspeicherungs- und -löschungspraktiken, Benachrichtigungsfristen bei Datenpannen.

Business Continuity: RTO/RPO-Zusagen, Backup-Verfahren, Redundanz, SLA-Garantien, Exit-Strategie-Unterstützung.

Unterauftragnehmerkette: Wer die kritischen Lieferanten des Lieferanten sind, wie diese bewertet werden und wie Sie über Änderungen informiert werden.

Phase 4: Risikobewertung

Die Risikobewertung kombiniert zwei Dimensionen:

Inhärentes Risiko — basierend auf Datensensitivität, Datenvolumen, Zugriffsebene auf Systeme, Servicekritikalität und Ersetzbarkeit.

Kontrolleffektivität — basierend auf Zertifizierungsstatus, Audit-Ergebnissen, Qualität der Fragebogenantworten und Vorfallshistorie.

Die Kombination ergibt ein Restrisiko-Niveau (Gering / Mittel / Hoch / Kritisch), das das erforderliche Genehmigungsniveau, die Überwachungshäufigkeit und etwaige zusätzliche erforderliche Kontrollen bestimmt.

Phase 5: Kontinuierliche Überwachung

Jährliche Bewertungen sind eine Compliance-Grundlage, aber keine Risikomanagementstrategie. Risiken, die zwischen Bewertungszyklen entstehen — ein Lieferantendatenleck, eine abgelaufene Zertifizierung, ein neuer Unterauftragnehmer — bleiben bis zur nächsten Überprüfung unsichtbar.

Kontinuierliche Überwachung ergänzt periodische Bewertungen durch:

Security-Rating-Tracking (externe Lagebewertungssignale von Diensten wie Bitsight oder SecurityScorecard)
Überwachung von Sicherheitsvorfällen und Datenpannen (Benachrichtigungen, wenn Lieferanten Sicherheitsereignisse erleiden)
Verfolgung der Zertifikatsgültigkeit (Benachrichtigungen vor Ablauf von Zertifizierungen)
Compliance-Status-Monitoring (regulatorische Änderungen, die Lieferantenpflichten betreffen)

Laut Bitsight-Bericht 2025 überwacht nur jedes dritte Unternehmen kontinuierlich alle seine Drittparteibeziehungen auf Cyberrisiken [1]. Diese Lücke ist genau dort, wo regulatorische Anforderungen — insbesondere DORAhs laufende Überwachungsverpflichtungen — Unternehmen 2026 hinbewegen.

Phase 6: Offboarding

Das Offboarding von Lieferanten wird konsistent zu wenig investiert. Wenn Lieferantenbeziehungen enden:

Schriftliche Bestätigung der Datenlöschung oder -rückgabe mit Nachweisdokumenten einholen
Alle Zugangsdaten, API-Schlüssel und Systemberechtigungen widerrufen
Alle Integrationen und Datenpipelines dekommissionieren
Lieferanteninventar und Risikoregister aktualisieren
Bewertungsunterlagen und Compliance-Dokumentation für Audit-Trail-Anforderungen archivieren

Lieferantenrisikomanagement-Tools: Vergleich 2026

Die VRM-Tool-Landschaft hat zwei unterschiedliche Segmente: Security-Ratings-Plattformen (Outside-in-Monitoring) und VRM/TPRM-Workflow-Plattformen (Bewertungsmanagement und Lifecycle-Tracking). Viele Unternehmen nutzen Tools aus beiden Kategorien.

Security-Ratings-Plattformen

Plattform	Kernstärke	Am besten geeignet für
Bitsight	Cyber-Risikoratings + Dark-Web-Intelligence	Unternehmen, die kontinuierliche Portfolio-Überwachung benötigen
SecurityScorecard	Globale Lieferantenabdeckung (12 Mio.+ bewertete Unternehmen)	Portfolios mit vielen Lieferanten
UpGuard Vendor Risk	Monitoring + Bewertungs-Workflow in einer Plattform	Mittelständische Teams für einheitliches VRM
RiskRecon (Mastercard)	Externe Cyber-Analytik + Lieferantenberichte	Outside-in-Risikointelligenz-Schicht

Bitsight wird von großen Unternehmen für Echtzeit-Lieferantenportfolio-Monitoring eingesetzt; UpGuard kombiniert externes Monitoring mit Bewertungs-Workflow-Management und beginnt bei ca. 1.599 USD/Monat (Starter) und 3.333 USD/Monat (Professional) [2].

VRM/TPRM-Workflow-Plattformen

Plattform	Kernstärke	Am besten geeignet für
ProcessUnity	Ausgereifte Workflow-Automatisierung, No-Code-Konfigurierbarkeit	Komplexe, stark regulierte Unternehmen
Prevalent	Gemeinsame Bewertungsbibliothek, TPRM-Inhalte	Reduzierung von Bewertungsduplikaten
OneTrust TPRM	Datenschutz + TPRM in einem Ökosystem	Große Unternehmen mit starkem Datenschutzfokus
Venminder	Services + Plattform, starke Due-Diligence-Unterstützung	Finanzinstitute mit Compliance-Fokus
Panorays	Automatisierte Fragebögen + kontinuierliche Überwachung	Mittelständische Teams
Vanta / Drata	VRM integriert mit Compliance-Automatisierung	Wachstumsstarke Teams, die bereits eine Compliance-Plattform nutzen

OneTrust TPRM kostet für Enterprise-Deployments typischerweise 40.000 bis über 500.000 USD pro Jahr, plus Implementierungsleistungen von 5.000 bis über 100.000 USD je nach Anpassungstiefe [3]. Die meisten Enterprise-Workflow-Plattformen (ProcessUnity, Prevalent, Archer) bieten individuelle Angebote, deren Preise von der Portfoliogröße abhängen.

Die EU-Compliance-Lücke

Die meisten VRM-Tools wurden für US-Märkte und Compliance-Frameworks entwickelt. Für EU-Unternehmen, die NIS2, DORA oder DSGVO unterliegen, entstehen dadurch echte Lücken:

US-basierte Datenverarbeitung kann mit Datenspeicherungsanforderungen kollidieren
Framework-Mapping enthält möglicherweise keine NIS2-Artikel-21- oder DORA-Artikel-28–44-Bewertungsvorlagen
Audit-Trails entsprechen möglicherweise nicht den europäischen regulatorischen Nachweisstandards

Orbiq wurde speziell für EU-regulatorische Workflows entwickelt — mit NIS2- und DORA-Bewertungsvorlagen, EU-Datenspeicherung und Integration mit dem Trust-Center-Nachweismanagement für vollständige Audit-Trail-Dokumentation.

Aufbau eines Lieferantenrisikomanagement-Programms: Schritt für Schritt

Schritt 1: VRM-Richtlinie etablieren

Vor der Tool-Auswahl definieren Sie die Governance-Struktur:

Umfang: welche Lieferantentypen und Risikoniveaus eine formelle Bewertung erfordern
Eigentümerschaft: wer für das Lieferantenrisiko verantwortlich ist (CISO, Rechtsabteilung, Einkauf oder geteilt)
Schwellenwerte: welche Restrisiko-Niveaus eine Eskalation erfordern und auf welchem Niveau
Bewertungshäufigkeit: gestaffelter Zeitplan basierend auf der Lieferantenrisikoeinstufung

Schritt 2: Lieferanteninventar aufbauen

Starten Sie mit der Datenerkennung in den Bereichen Einkauf, Finanzen, IT und Recht. Ordnen Sie jeden Lieferanten zu:

Den verarbeiteten Daten (Typ und Sensitivitätsklassifizierung)
Den verbundenen Systemen (Zugriffsebene)
Den bereitgestellten Diensten (Kritikalität und Ersetzbarkeit)
Den Verträgen, die die Beziehung regeln (und deren Sicherheitsbestimmungen)

Schritt 3: Lieferantenportfolio nach Tiers einstufen

Wenden Sie die Risikoklassifizierung konsequent an. Die meisten Unternehmen stellen fest, dass ca. 10–15 % ihrer Lieferanten eine vollständige kritische Bewertung erfordern, 20–25 % eine Standardbewertung und der Rest mit leichten oder minimalen Prüfungen behandelt werden kann.

Schritt 4: Bewertungsfragebögen nach Tier gestalten

Vermeiden Sie es, denselben 200-Fragen-Fragebogen an jeden Lieferanten unabhängig von der Kritikalität zu schicken. Gestalten Sie gestaffelte Fragebögen abgestimmt auf das Risikoniveau:

Kritischer Lieferanten-Fragebogen: Umfassend, alle sechs Bewertungsdimensionen mit Nachweisanforderungen
Standard-Lieferanten-Fragebogen: Fokus auf Sicherheitskontrollen, Zertifizierungsverifizierung
Leichte Prüfung: Grundlegende Sicherheitslagefragen, öffentliche Compliance-Prüfung

Standardisieren Sie auf anerkannte Fragebogen-Frameworks (SIG Lite für Standardbewertungen, SIG Full für kritische Lieferanten, CAIQ für Cloud-Dienste).

Schritt 5: Kontinuierliche Überwachung implementieren

Implementieren Sie Überwachungskapazitäten proportional zur Lieferantenkritikalität:

Kritische Lieferanten: Kontinuierliche Überwachung (Security Ratings + Vorfallswarnungen + Zertifikatsverfolgung)
Hochrisikolieferanten: Vierteljährliche Überwachungsüberprüfungen + automatisierte Benachrichtigungen
Standardlieferanten: Halbjährliche Überwachungsüberprüfung
Risikoarme Lieferanten: Jährliche Vertragsverlängerungsprüfung

Schritt 6: Mit Verträgen integrieren

Sicherheitsanforderungen gehören in Lieferantenverträge, nicht nur in Bewertungsunterlagen:

Mindestsicherheitsstandards und Anforderungen zur Aufrechterhaltung von Zertifizierungen
Audit-Rechte (Recht auf SOC-2-Berichte oder eigene Bewertungen)
Fristen für die Vorfallsmeldung (NIS2 verlangt eine erste Meldung innerhalb von 24 Stunden)
Anforderungen zur Offenlegung und Genehmigung von Unterauftragnehmern
Datenverarbeitungsbedingungen (Standort, Aufbewahrung, Löschung)
Exit-Bestimmungen (Datenlöschung, Portabilität, Übergangsunterstützung)

Schritt 7: Nachweisspur aufbauen

VRM erzeugt Compliance-Nachweise — aber nur, wenn diese ordnungsgemäß dokumentiert sind. Für ISO-27001-Audits, NIS2-Aufsichtsprüfungen oder DORA-Compliance-Bewertungen benötigen Sie:

Abgeschlossene Bewertungsunterlagen mit Risikobewertungen und Genehmigungsentscheidungen
Verifikationsdokumente (Zertifikate, Audit-Berichte, Penetrationstest-Zusammenfassungen)
Risikobehandlungsentscheidungen und etwaige aufgelegte Bedingungen
Überwachungsaufzeichnungen als Nachweis der laufenden Sorgfaltspflicht
Vertragsdokumentation mit Sicherheitsbestimmungen

VRM-Reifegradmodell

Die meisten Unternehmen durchlaufen erkennbare Reifegrade. Das Verständnis des eigenen Stands hilft bei der Priorisierung von Investitionen:

Niveau	Merkmale	Typische Tools
1 — Ad hoc	Kein formeller VRM-Prozess; Probleme werden reaktiv entdeckt	E-Mail, keine Dokumentation
2 — Grundlegend	Jährliche Fragebögen für Schlüssellieferanten; keine Bewertung oder Einstufung	Tabellenkalkulationen, E-Mail
3 — Strukturiert	Risikobasierte Einstufung; standardisierte Fragebögen; formelle Risikobewertung	GRC-Plattform, Fragebogen-Tools
4 — Integriert	Kontinuierliche Überwachung; automatisierte Nachweiserfassung; ISMS-Integration	TPRM-Plattform + Compliance-Automatisierung
5 — Optimiert	Prädiktive Risikointelligenz; quantitative Risikoanalyse; vollständige Lieferkettentransparenz	Fortgeschrittene Analytik + FAIR-Methodik

Die meisten deutschen Mittelstandsunternehmen (Mittelstand) befinden sich auf Niveau 2 oder 3. Niveau 4 — wo Lieferantennachweise automatisch fließen und die Überwachung kontinuierlich ist — ist das Ziel für NIS2- und DORA-Compliance.

Regulatorische Compliance: Was jedes Framework verlangt

NIS2 — Anforderungen an die Lieferkettensicherheit

NIS2-Artikel 21(2)(d) ist bewusst breit gefasst: Er verlangt Lieferkettensicherheitsmaßnahmen, ohne spezifische Prozesse vorzuschreiben. In der Praxis erwarten die zuständigen Behörden:

Einen dokumentierten Lieferantenrisikomanagement-Prozess für direkte Lieferanten
Eine risikobasierte Bewertung proportional zur Lieferantenkritikalität
Vertragliche Sicherheitsanforderungen bei Schlüssellieferanten
Nachweise einer laufenden Überwachung (nicht nur periodischer Bewertungen)
Berücksichtigung koordinierter Lieferketten-Risikobewertungen (ENISA-Lieferkettenberichte, BSI-Warnungen nationaler CERTs)

NIS2 verlangt auch eine Vorfallsmeldung, die Drittparteivorfälle abdeckt, die Ihre Dienste betreffen — was bedeutet, dass Ihr VRM-Prozess in Ihr Incident-Response-Programm eingespeist werden muss.

DORA — IKT-Drittparteien-Risikomanagement

DORA-Artikel 28–44 stellen spezifische, präskriptive Anforderungen ohne Interpretationsspielraum auf:

Register der IKT-Anbieter (Artikel 28.3): Vollständiges, aktuelles Inventar aller IKT-Drittdienstleister mit Servicekategorisierung
Vorvertragliche Bewertung (Artikel 28.4–5): Risikobewertung vor Eingehen einer neuen IKT-Servicevereinbarung
Vertragsklauseln (Artikel 30): Spezifische erforderliche Bestimmungen einschließlich Datenspeicherort und Audit-Rechten, vollständiger Unterauftragnehmer-Liste, Kooperation bei der Aufsicht, Kündigungsrechten und Exit-Strategien
Laufende Überwachung (Artikel 28.6): Kontinuierliche Bewertung des IKT-Drittparteien-Risikos
Konzentrationsrisikobewertung (Artikel 29): Analyse der Abhängigkeit von einzelnen oder eng verbundenen IKT-Anbietern

ISO 27001:2022 — Lieferantenbeziehungskontrollen

Annex-A-Kontrollen 5.19–5.23 bieten den Kontrollrahmen:

A.5.19 — Informationssicherheit in Lieferantenbeziehungen mit definierten Anforderungen je nach Zugriffsart des Lieferanten
A.5.20 — Festlegung und Vereinbarung von Informationssicherheitsanforderungen in Lieferantenverträgen vor Zugriffsgewährung
A.5.21 — Management der Informationssicherheit in der IKT-Lieferkette
A.5.22 — Regelmäßige Überwachung, Überprüfung und Änderungsmanagement von Lieferantenservices
A.5.23 — Spezifische Sicherheitsanforderungen für Cloud-Dienste

Häufige Fehler im Lieferantenrisikomanagement

Bewertung als einmaliges Ereignis behandeln

Ein Lieferant, der zum Bewertungszeitpunkt nach ISO 27001 zertifiziert war, kann seine Zertifizierung inzwischen verloren haben. Bauen Sie von Anfang an Überwachung in das Programm ein.

Sich ausschließlich auf Fragebogenantworten verlassen

Fragebogenantworten sind Eigenauskünfte des Lieferanten. Sie müssen verifiziert werden. Zertifizierungen (ISO 27001, SOC 2 Typ II) werden unabhängig auditiert — Fragebogenantworten nicht. Gleichen Sie Antworten immer mit verfügbaren Zertifizierungen, Audit-Berichten und externen Security-Ratings ab.

Alle Lieferanten mit derselben Bewertungstiefe prüfen

Denselben umfangreichen 200-Fragen-Fragebogen für den Bürobedarfslieferanten und den Cloud-Infrastrukturanbieter zu verwenden, verschwendet die Zeit aller Beteiligten und reduziert die Antwortqualität bei den Bewertungen, die wirklich wichtig sind.

Keine Nachverfolgung identifizierter Risiken

Das Finden, dass ein Lieferant keinen Incident-Response-Plan hat, nützt nur, wenn der Befund verfolgt, die Behebung angefordert und der Abschluss verifiziert wird.

Unterauftragnehmer-Risiko ignorieren

NIS2 und DORA verlangen ausdrücklich die Berücksichtigung der gesamten Lieferkette, nicht nur direkter Lieferanten. Verlangen Sie mindestens die Offenlegung von Unterauftragnehmer-Listen und Genehmigungsrechte für wesentliche Änderungen.

Wie Orbiq Lieferantenrisikomanagement unterstützt

Orbiq's Vendor Assurance Platform deckt den gesamten VRM-Lebenszyklus für EU-regulierte Unternehmen ab:

Bewertungsmanagement: KI-gestützte Lieferantensicherheitsfragebögen versenden, Antworten verfolgen und mit KI-basierter Bewertung auswerten — mit integrierten NIS2- und DORA-Bewertungsvorlagen
Kontinuierliche Überwachung: Ihr Lieferantenportfolio im Zeitverlauf überwachen, mit Benachrichtigungen bei Änderungen der Sicherheitslage, Zertifizierungen oder des Compliance-Status
Nachweismanagement: Alle Bewertungsunterlagen, Verifikationsdokumente und Risikoentscheidungen dokumentiert und auditbereit — entsprechend den Nachweisstandards von NIS2, DORA und ISO 27001
Trust-Center-Integration: Eigene Compliance-Nachweise für die Lieferantenbewertungen Ihrer Kunden veröffentlichen und gleichzeitig Vendor-Trust-Centers für Ihre eigene Due Diligence nutzen
KI-Fragebogenantwort: Eingehende Lieferantensicherheitsfragebögen automatisch mit Ihren verifizierten Compliance-Nachweisen beantworten

Weiterführende Informationen

Lieferantenrisikomanagement-Programm aufbauen — Detaillierter Implementierungsleitfaden mit allen 7 Programmkomponenten: Governance, Register, Stufung, Due Diligence, Verträge, Monitoring und Reporting
Drittanbieter-Risikobewertung — Praxisleitfaden — Schritt-für-Schritt-Prozess zur Durchführung von Lieferantenrisikobewertungen: Klassifizierung, Fragebogen, Scoring, Dokumentation
Drittparteien-Risikomanagement-Software — Kaufleitfaden 2026 — Bewertungsrahmen, Preisvergleich und EU-spezifische Anforderungen für NIS2 und DORA
Lieferantenrisikomanagement-Tools — Vergleich 2026 — Direkter Vergleich der führenden VRM-Tools: Bitsight, UpGuard, ProcessUnity, OneTrust u.a., mit Preisen und EU-Compliance-Hinweisen
Third-Party Risk Management (TPRM) — Vollständiger TPRM-Leitfaden für den breiteren Bereich jenseits von IT-Lieferanten
Vendor Risk Assessment — Praxisleitfaden zur Durchführung einzelner Lieferantenbewertungen
Lieferantenrisikobewertung Vorlage — Kostenlose Checkliste mit allen sechs Bewertungsbereichen, Risikobewertungsmatrix und regulatorischen Anforderungen
NIS2 Lieferkettensicherheit — Detaillierte Aufschlüsselung der NIS2-Artikel-21(2)(d)-Anforderungen
Compliance Automation — Wie man die Nachweiserfassung für VRM automatisiert
Was ist ein Trust Center — Wie Trust Centers die Lieferantenbewertungsreibung auf beiden Seiten reduzieren

Quellen & Referenzen

Bitsight, State of Cyber Risk and Exposure 2025. https://www.bitsight.com/guides/best-vendor-risk-management-platforms-for-global-enterprises
UpGuard, How much does UpGuard's self-service Vendor Risk plan cost and what's included? https://help.upguard.com/en/what-is-included-in-upguards-self-service-vendor-risk-plan
PowerDMARC, 5 Enterprise Vendor Risk Management Solutions 2026 (OneTrust-Preisdaten). https://powerdmarc.com/enterprise-vendor-risk-management-solutions/
Grand View Research, Vendor Risk Management Market Report. https://www.grandviewresearch.com/industry-analysis/vendor-risk-management-market-report
Vanta, Best Vendor Risk Management Software 2026. https://www.vanta.com/resources/best-vendor-risk-management-software