Vorlage: Lieferantenbewertung
Anleitung
Bewertung der Sicherheitsreife von Dienstleistern und Lieferanten gemäß §30 Abs. 2 Nr. 4 BSIG. Vor Vertragsabschluss durchzuführen, mindestens jährlich zu wiederholen.
Lieferanten-Stammdaten
| Feld | Wert |
|---|---|
| Lieferanten-ID | VEN-NIS2-XXXX |
| Name | |
| Sitz / Land | |
| Hauptkontakt | [Name + E-Mail] |
| Sicherheitskontakt | [Name + E-Mail + Telefon] |
| Vertragstyp | [ ] Hosting [ ] Cloud [ ] Software-Lieferant [ ] Support [ ] Sonstiges |
| Kritikalität | [Niedrig / Mittel / Hoch / Kritisch] |
| Verarbeitete Daten | [PII / Geschäftsdaten / Credentials / Keine] |
| DSGVO-AVV vorhanden | [ ] Ja [ ] Nein [ ] Nicht erforderlich |
Zertifikate und Nachweise
| Standard | Vorhanden | Gültig bis | Geltungsbereich |
|---|---|---|---|
| ISO/IEC 27001 | [ ] | ||
| SOC 2 Type II | [ ] | ||
| BSI C5 | [ ] | ||
| TISAX | [ ] | ||
| Sonstige | [ ] |
Sicherheits-Checkliste
| Bereich | Frage | Status | Beleg |
|---|---|---|---|
| Governance | Existiert ein dokumentiertes ISMS? | [Ja/Nein/N.A.] | |
| Governance | Ist ein ISB benannt? | ||
| Vorfall | Gibt es einen Incident-Response-Plan? | ||
| Vorfall | Wird eine Meldepflicht bei Vorfällen vertraglich zugesichert (24h)? | ||
| BCM | Liegt ein BCM-Plan vor? Letzter Test? | ||
| Lieferkette | Werden Sub-Dienstleister offengelegt? | ||
| Schwachstellen | Gibt es ein dokumentiertes Patch-Management? | ||
| Schwachstellen | Werden CVEs aktiv gemonitort? | ||
| Schulung | Erhalten Mitarbeiter regelmäßige Sicherheitsschulungen? | ||
| Kryptografie | Werden Daten at-rest und in-transit verschlüsselt? | ||
| Zugriff | Wird MFA für administrative Zugriffe genutzt? | ||
| Zugriff | Existiert ein dokumentierter Onboarding/Offboarding-Prozess? | ||
| Audit | Werden Audit-Rechte vertraglich zugesichert? |
Risikobewertung
| Aspekt | Bewertung |
|---|---|
| Kritikalität für BAUER GROUP | [Niedrig / Mittel / Hoch / Kritisch] |
| Sicherheitsreife des Lieferanten | [Niedrig / Mittel / Hoch] |
| Resultierendes Risiko | [Niedrig / Mittel / Hoch / Kritisch] |
| Risikobehandlung | [ ] Akzeptanz [ ] Vertragliche Auflagen [ ] Ablehnung |
Vertragliche Anforderungen
| Anforderung | Im Vertrag verankert |
|---|---|
| 24h-Meldepflicht bei Sicherheitsvorfällen | [ ] |
| Audit-Recht (mind. jährlich) | [ ] |
| Sub-Dienstleister-Zustimmungspflicht | [ ] |
| Datenrückgabe / -löschung bei Vertragsende | [ ] |
| Mindest-Sicherheitsstandards (ISO 27001 o. ä.) | [ ] |
| Haftungsregelung bei Sicherheitsverstößen | [ ] |
Genehmigung
| Name | Datum | |
|---|---|---|
| Bewertung erstellt durch | ||
| Geprüft durch (ISB) | ||
| Genehmigt durch (Einkauf / Geschäftsleitung) |
Hinweise
- Kritische Lieferanten werden halbjährlich neu bewertet
- Hoch-Lieferanten werden jährlich neu bewertet
- Bei wesentlichen Änderungen (Zertifikatsverlust, Vorfall) sofortige Neubewertung