Der Lieferantenrisikomanagement-Prozess: 6 Schritte für 2026
Ein praktischer Leitfaden zum Lieferantenrisikomanagement-Prozess — von der Lieferantenidentifikation und Risikoeinstufung über Due Diligence bis hin zu kontinuierlichem Monitoring und Offboarding. Mit NIS2- und DORA-Ausrichtung.
Der Lieferantenrisikomanagement-Prozess: 6 Schritte für 2026
Lieferantenrisikomanagement ist keine einmal jährliche Aktivität. Mit durchschnittlich 286 Drittanbieter-Beziehungen im Jahr 2026 — gegenüber 237 im Jahr 2024 — und NIS2, DORA sowie ISO 27001, die alle nachweisbare Lieferkettenkontrolle fordern, ist ein dokumentierter, wiederholbarer Prozess keine optionale Best Practice mehr, sondern operative Grundanforderung.
Dieser Leitfaden beschreibt die sechs Phasen des Lieferantenrisikomanagement-Prozesses, mit praktischer Anleitung zu den Aktivitäten in jeder Phase, der Abstufung nach Risikoniveau und den Anforderungen aus NIS2-Artikel 21 und DORA-Artikeln 28–30.
Wichtigste Erkenntnisse
- Der VRM-Prozess hat sechs Phasen: Lieferantenidentifikation → Risikoeinstufung → Due Diligence → Vertragssteuerung → kontinuierliches Monitoring → Offboarding.
- Prozesstiefe variiert nach Risikoniveau: Kritische Lieferanten erfordern jährliche Vollbewertungen und kontinuierliches Monitoring; risikoarme Lieferanten benötigen alle 3 Jahre eine Checkliste.
- NIS2-Artikel 21(2)(d) und DORA-Artikel 28–30 fordern beide dokumentierte, systematische VRM-Prozesse — keine Ad-hoc-Bewertungen.
- 49 % der Organisationen berichten, dass ihre aktuelle VRM-Methode keine Risikobewertung in jeder Lebenszyklusphase ermöglicht.
- Für die organisatorische Infrastruktur: siehe unseren Lieferantenrisikomanagement-Programm-Leitfaden.
Prozess vs. Programm: Ein entscheidender Unterschied
- Ein VRM-Programm ist die organisatorische Infrastruktur: Richtlinien, Eigentümerschaft, Risikobereitschaft, Governance und Berichtswesen.
- Ein VRM-Prozess ist der operative Workflow: die spezifische Abfolge von Schritten, die für jede Lieferantenbeziehung über ihren Lebenszyklus ausgeführt werden.
Der Prozess erfordert das Programm, um wirksam zu sein — ohne Governance und dokumentierte Standards produzieren Prozessschritte inkonsistente Ergebnisse ohne Prüfpfad.
Die 6 Phasen des Lieferantenrisikomanagement-Prozesses
Phase 1: Lieferantenidentifikation und -inventar
Was nicht erfasst ist, kann nicht gesteuert werden. Die erste Phase besteht darin, ein vollständiges, genaues Register aller Lieferantenbeziehungen aufzubauen und zu pflegen.
Wichtige Aktivitäten:
- Lieferantendaten aus mindestens drei Quellen konsolidieren: Finanzen/Einkauf, IT und Recht
- Für jeden Lieferanten erfassen: Firmenname, erbrachte Leistungen, Datenzugangsniveau, Systemintegration, Geschäftsverantwortlicher, Vertragsablauf
- Shadow-IT identifizieren: SaaS-Tools, die per Kreditkarte ohne IT-Registrierung erworben wurden
Häufiger Fehler: Inventar aus einer einzigen Quelle aufbauen. Einkaufssysteme erfassen keine per Kreditkarte gekauften SaaS-Tools. IT-Systeme erfassen keine Beratungsverträge mit Datenzugang.
Regulatorischer Hinweis: BSI, BaFin und NIS2-Aufsichtsbehörden erwarten ein dokumentiertes, gepflegtes Lieferantenregister — keine für Prüfungen zusammengestellte Liste.
Phase 2: Risikoeinstufung und -kategorisierung
Risikoeinstufung wendet eine konsistente Methodik an, um jeden Lieferanten nach inhärentem Risikoniveau zu klassifizieren:
| Faktor | Niedrig (1) | Mittel (2) | Hoch (3) | Kritisch (4) |
|---|---|---|---|---|
| Datensensibilität | Nur öffentlich | Interne Daten | Vertraulich / personenbezogen | Besondere Kategorien / regulierte Daten |
| Datenvolumen | Keines | Begrenzt | Moderat | Großmaßstäbliche Verarbeitung |
| Systemzugang | Kein Zugang | Nur-Lese-Zugang | Schreibzugang | Admin-/privilegierter Zugang |
| Servicekritikalität | Nice-to-have | Operationelle Unterstützung | Geschäftswichtig | Geschäftskritisch |
Tier-Zuweisung:
| Gesamtpunktzahl | Tier | Bewertungstiefe |
|---|---|---|
| 4–7 | Tier 3 — Niedriges Risiko | Leichte Checkliste (~20 Punkte) |
| 8–11 | Tier 2 — Standard | Standardfragebogen (40–60 Fragen + Dokumentenprüfung) |
| 12–16 | Tier 1 — Hoch / Kritisch | Vollbewertung (80+ Fragen + Dokumentenprüfung + Nachweisverifizierung) |
Re-Tier-Auslöser: Wesentliche Änderungen am Lieferantenumfang — z.B. Wechsel von Nur-Lese- zu Adminzugang — erfordern eine sofortige Neueinstufung.
Phase 3: Pre-Engagement Due Diligence und Bewertung
Vor dem Onboarding eines neuen Lieferanten wird eine dem Risikoniveau entsprechende Bewertung durchgeführt. Risiken vor Vertragsabschluss zu identifizieren ist deutlich günstiger als sie nach Einbettung der Beziehung zu managen.
Tier-1-Bewertungsdomänen:
- Informationssicherheitskontrollen (Zugangsverwaltung, Verschlüsselung, Patch-Management, Incident Response)
- Compliance-Zertifizierungen (ISO 27001, SOC 2 Typ II, DSGVO, NIS2, DORA-Status)
- Datenhandhabung (Datenspeicherort, Sub-Auftragsverarbeiter, Aufbewahrung und Löschung)
- Business Continuity (DR/BCP, RTO/RPO, geografische Redundanz)
- Finanzielle Stabilität (Versicherung, Bonität, Schlüsselpersonenabhängigkeiten)
- Viert-Partei-Risiko (Subunternehmer-Managementkette)
DORA-spezifischer Hinweis: DORA-Artikel 28 verlangt eine Pre-Vertrags-Risikobewertung für alle IKT-Anbieter. Für kritische IKT-Drittanbieter ist eine erweiterte Due Diligence obligatorisch und kann Meldepflichten gegenüber EBA/EIOPA/ESMA auslösen.
Die vollständige Bewertungsvorlage: Lieferantenrisikobewertungs-Vorlage.
Phase 4: Vertragssteuerung und Risikopflichten
Due Diligence identifiziert Risiken; Verträge schaffen durchsetzbare Pflichten zu deren Steuerung. Ein Befund ohne entsprechende Vertragsanforderung ist ein Befund ohne Abhilfe.
Mindestanforderungen für alle Lieferantenverträge:
- Auftragsverarbeitungsvertrag (AVV): Gemäß DSGVO-Artikel 28 erforderlich für jeden Lieferanten, der personenbezogene Daten verarbeitet
- Sicherheitspflichten: Mindestsicherheitsstandards, die der Lieferant während der gesamten Beziehung einhalten muss
- Vorfallsmeldung: Lieferant muss Sie innerhalb einer definierten Frist (typischerweise 24–72 Stunden) über Sicherheitsvorfälle informieren
- Prüfungsrechte: Ihr Recht auf Prüfung der Sicherheitskontrollen des Lieferanten oder Anforderung von Drittprüfberichten
Erweiterte Klauseln für Tier-1-Lieferanten:
- Sub-Auftragsverarbeiter-Genehmigungsrechte
- Konzentrationsrisiko-Offenlegung
- Ausstiegsbestimmungen mit Datentransfer und -löschung
- Abhilfezeitpläne für identifizierte Sicherheitslücken
DORA-spezifische Vertragsanforderungen (Artikel 28–30):
- Service-Level-Anforderungen und Leistungsberichterstattung
- Business Continuity und Disaster Recovery Bestimmungen
- Vollständige Datenzugangs- und Prüfbarkeitsklauseln
- Ausstiegsstrategien zur Wahrung der operationellen Resilienz
- Sub-Auftragnehmer-Offenlegungsanforderungen (einschließlich Identifikation der Muttergesellschaft)
Phase 5: Kontinuierliches Monitoring
Punktuelle Bewertungen laufen ab dem Tag ihrer Durchführung ab. Ein Lieferant, der Ihre Bewertung vor 18 Monaten bestanden hat, könnte seither seine ISO-27001-Zertifizierung verloren, einen Datenschutzvorfall erlitten oder Eigentümer gewechselt haben.
Monitoring-Aktivitäten nach Tier:
| Aktivität | Tier 1 (Kritisch) | Tier 2 (Standard) | Tier 3 (Niedrig) |
|---|---|---|---|
| Vollbewertung | Jährlich | Alle 18–24 Monate | Alle 3 Jahre / bei Verlängerung |
| Zertifizierungsablauf-Monitoring | Kontinuierlich | Bei Verlängerung | Bei Verlängerung |
| Sicherheitsnachrichten-/Vorfallsmonitoring | Kontinuierlich | Quartalsweise | Nach Bedarf |
| Sub-Auftragsverarbeiter-Änderungsprüfung | Alle Änderungen | Wesentliche Änderungen | Nicht erforderlich |
| Finanzielle Gesundheitsprüfung | Jährlich | Bei Verlängerung | Nicht erforderlich |
Ereignisbasierte Neubewertungsauslöser (unabhängig vom geplanten Zyklus):
- Lieferant meldet einen Sicherheitsvorfall, der Ihre Daten betrifft
- Lieferant wird übernommen oder fusioniert
- Wesentliche Änderung bei Leistungen, Datenzugang oder Infrastruktur
- Lieferant verliert eine Schlüsselzertifizierung
- Öffentliche Berichte über Datenpanne, finanzielle Schwierigkeiten oder Regulierungsmaßnahmen
Unter NIS2 und DORA ist kontinuierliches Monitoring keine Option — Behörden erwarten durchgehende Überwachung, keine periodischen Snapshots. Nur 14 % der Einkaufsteams nutzen derzeit kontinuierliche Monitoring-Tools für die Lieferantenüberwachung.
Phase 6: Verlängerung oder strukturiertes Offboarding
Bei Verlängerung:
- Risikoniveau des Lieferanten neu bewerten (Umfang kann sich geändert haben)
- Aktualität der Bewertung prüfen: wenn letzte Bewertung für Tier 1 über 12 Monate alt ist, vor Unterzeichnung neu bewerten
- Vertragsbedingungen prüfen: NIS2- und DORA-Anforderungen können neue Klauseln erfordern
Bei Offboarding:
Strukturiertes Offboarding sollte 90–180 Tage vor Beendigung für Tier-1-Lieferanten beginnen:
- Zugangsrevokation: vollständige Entfernung aller Lieferantenzugänge — Konten, API-Schlüssel, SSO, Netzwerkzertifikate
- Datenrückgabe: Lieferant gibt Ihre Daten in einem verwendbaren Format innerhalb von 30 Tagen zurück
- Datenlöschungsbestätigung: schriftliche Bestätigung, dass alle Daten aus allen Systemen einschließlich Backups gelöscht wurden
- Sub-Auftragsverarbeiter-Abwicklung: sicherstellen, dass auch der Datenzugang über Sub-Auftragsverarbeiter des Lieferanten widerrufen wird
- Übergangsdokumentation: Betriebsdokumentation und Konfigurationen vor dem Austritt übertragen
DORA-Anforderung bei Offboarding: DORA-Artikel 28 verlangt Ausstiegsstrategien für kritische IKT-Anbieter, die die operationelle Resilienz während des Übergangs wahren. Diese müssen vor dem Onboarding dokumentiert sein — nicht erst beim Austritt zusammengestellt werden.
EU-Regulatorische Anforderungen an den VRM-Prozess
NIS2-Artikel 21(2)(d) / NIS2UmsuCG
NIS2 verpflichtet betroffene Einrichtungen in Deutschland (über das NIS2UmsuCG), Sicherheit in Lieferketten-Beziehungen zu adressieren:
- Dokumentiertes Lieferanteninventar mit Kritikalitätsklassifizierung
- Pre-Engagement-Bewertung vor dem Onboarding von Lieferanten mit Zugang zu kritischen Systemen
- Mindest-Sicherheitsanforderungen in Lieferantenverträgen
- Kontinuierliches Monitoring kritischer Lieferanten
- Vorfallsmeldungskette (Lieferanten müssen Sie über relevante Sicherheitsvorfälle informieren)
Das BSI als nationale Behörde erwartet dokumentierte Nachweise eines systematischen, wiederholbaren Prozesses.
DORA-Artikel 28–30
DORA legt die strengsten Drittpartei-Risikovorgaben Europas fest. Finanzunternehmen müssen:
- Ein Register aller IKT-Drittanbieterverträge führen
- Pre-Vertrags-Risikobewertungen für alle IKT-Anbieter durchführen
- Konzentrationsrisiken identifizieren und steuern
- Erweiterte Due Diligence für von EBA/EIOPA/ESMA designierte kritische IKT-Anbieter anwenden
- Dokumentierte Ausstiegsstrategien für kritische IKT-Beziehungen vorhalten
BaFin führt DORA-Anforderungen für deutsche Finanzunternehmen durch.
UK FCA PS21/3 und Norwegen/NSM
UK-Finanzinstitute unter FCA PS21/3 müssen dokumentierte, systematische Prozesse für das Management operationeller Drittpartei-Risiken vorhalten — einschließlich dokumentierter Ausstiegstests.
Norwegische Einrichtungen folgen NIS2 über das EWR-Abkommen, mit der Nasjonal sikkerhetsmyndighet (NSM) als zuständiger Behörde für sektorspezifische Lieferkettensicherheitsanforderungen.
Häufige Prozessfehler und wie man sie vermeidet
Bewertung ohne Governance beginnen. Ohne Risikobereitschaftsrichtlinie und klare Eigentümerschaft haben Befunde keine Entscheidungsinstanz.
Inventar aus einer Quelle. Einkaufssysteme erfassen keine Shadow-IT. IT-Systeme erfassen keine Beratungsverträge. Mindestens drei Quellen verwenden.
Alle Lieferanten als Tier 1 behandeln. Wenn alles kritisch ist, erhält nichts die nötige Tiefe.
Bewertung ohne Vertragsanforderungen. Ein Befund ohne entsprechende Vertragspflicht hat keine Abhilfe.
Keine ereignisbasierten Monitoring-Auslöser. Kalenderbasierte Zyklen erfassen wesentliche Änderungen zwischen den Bewertungen nicht.
Schlechter Offboarding-Prozess. Lieferanten mit residualem Zugang nach Vertragsbeendigung sind ein Datenschutz- und Sicherheitsrisiko.
Den VRM-Prozess automatisieren
Bei 286 Lieferanten ist manuelles Tracking jeder Lebenszyklusphase über das gesamte Portfolio operativ nicht tragfähig. Nur 13 % der TPRM-Teams verfügen über vollständig ausgereifte Automatisierungsfähigkeiten.
Orbiq's Vendor Assurance Platform automatisiert jede Phase:
- Lieferanteninventar und -einstufung
- Automatisierte Fragebogen-Verteilung und -Verfolgung
- Zertifizierungsablauf-Monitoring in Echtzeit
- Kontinuierliches Monitoring mit Sicherheitsereignis-Feeds
- Prüfungsfertige NIS2- und DORA-Dokumentation
→ Vendor Assurance Platform erkunden → Kontinuierliches Monitoring entdecken
Quellen & Referenzen
- Secureframe — 100+ Drittpartei-Risikostatistiken 2026 — Durchschnittliche Organisation verwaltet 286 Lieferanten; 49 % können Risiken nicht in jeder Lebenszyklusphase bewerten; 13 % haben vollständig gereifte Automatisierung
- UpGuard — Vendor Risk Management Workflow 2026 — 6-stufiger VRM-Workflow-Leitfaden
- Panorays — VRM Vollständiger Leitfaden 2026 — VRM-Lebenszyklus und Best Practices
- Atlas Systems — Kontinuierliches Vendor Risk Monitoring 2026 — Nur 14 % der Einkaufsteams nutzen kontinuierliche Monitoring-Tools
- SITS — NIS2, DORA & Supply Chain — EU-regulatorische Lieferkettenanforderungen
Weiterführende Lektüre: