Jeder Lieferant trägt Kontinuitäts-Abhängigkeiten, Sicherheitslage, AVV-Status und NIS2- und DORA-Artefakte. Ein Register speist ISMS, BCMS und DSMS.
Die Herausforderung
Lieferantensicherheit heißt meist: ein Ordner mit zurückgesendeten Fragebögen, eine Tabelle mit Vertragsdaten und ein vages Gefühl dafür, welche Lieferanten wirklich wehtäten, wenn sie ausfielen. Die AVVs liegen im Laufwerk der Rechtsabteilung, die Liste der Unterauftragsverarbeiter auf irgendeinem Laptop, und wenn DORA oder NIS2 ein Register der IKT-Dienstleister verlangt, stellen Sie es unter Zeitdruck neu zusammen. Die Informationen existieren, sie liegen nur nie an einem Ort.
Ein Lieferant ist nicht ein Risiko, sondern mehrere zugleich. Er hält Ihre Daten, er sitzt in Ihrem Recovery-Pfad, und er bringt eigene Unterauftragsverarbeiter mit. Verwalten Sie das in getrennten Tools, bricht eine Vertragsänderung still Ihre DSGVO-Position, während Ihr Continuity-Plan noch vom alten Stand ausgeht. Ein Datensatz pro Lieferant, verknüpft mit den Assets und Prozessen, die von ihm abhängen, ist der einzige Weg, das Bild gerade zu halten.
Vorteile im Überblick
Alle Lieferanten, Cloud-Provider und Servicepartner sitzen in einem durchsuchbaren Register. Jeder Datensatz trägt Vertragsstatus, Risikoklassifizierung, AVV-Status, Kontinuitäts-Abhängigkeit und die Assets oder Prozesse, die auf den Lieferanten angewiesen sind.
Versenden Sie vorgefertigte oder benutzerdefinierte Fragebögen und verfolgen Sie Antworten in KaitoSec. Ausgefüllte Bewertungen werden automatisch bewertet, mit dem Lieferantenrisikoprofil verknüpft und in Folgeaufgaben umgewandelt, wenn Handlung nötig ist.
AVVs, Unterauftragnehmer-Listen, Standardvertragsklauseln und vertragliche SLAs liegen am Lieferantendatensatz. KaitoSec warnt Verantwortliche vor Ablauf und wenn eine Scope-Änderung DSGVO-, NIS2- oder DORA-Exposition berührt.
So funktioniert es
Ein zusammengesetzter Risiko-Score kombiniert Fragebogen-Ergebnisse, die Kritikalität der verarbeiteten Daten, die Kontinuitäts-Abhängigkeit und die vertraglichen Schutzmaßnahmen. Scores aktualisieren sich, sobald neue Nachweise eingehen.
Unterauftragnehmer sind mit dem Hauptlieferanten und den berührten Verarbeitungstätigkeiten in Ihrem Verzeichnis verknüpft. Die Verantwortungskette nach Artikel 28 bleibt explizit, ohne parallele Tabellen.
Erzeugen Sie das von DORA geforderte IKT-Drittparteienregister und die unter NIS2 erwarteten Lieferketten-Artefakte. Lieferantenbefunde, Kontinuitäts-Abhängigkeiten und Vorfallsprotokolle sind den relevanten Artikeln zugeordnet, bereit für die aufsichtsrechtliche Meldung.
KaitoSec