Erfüllung der Anforderungen von NIST 800-53, NIST 800-161 und NIST CSF für Drittanbieterrisiken

Das NIST hat mehrere Industriestandards verfasst, die sich mit der Identifizierung, Bewertung und Steuerung von Risiken in der Lieferkette befassen. Hier finden Sie einen Überblick über einige NIST-Richtlinien zu Risiken durch Dritte und wie Prevalent Ihnen dabei helfen kann.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juni 23, 2022 9 min gelesen
Decorative image

Das National Institute of Standards and Technology (NIST) ist eine Bundesbehörde innerhalb des US-Handelsministeriums. Zu den Aufgaben des NIST gehört die Festlegung von Standards und Richtlinien im Bereich Computer- und Informationstechnologie für Bundesbehörden. Da das NIST jedoch wichtige Ressourcen für das Management von Cybersicherheitsrisiken veröffentlicht und pflegt, die für jedes Unternehmen relevant sind, betrachten viele Organisationen des privaten Sektors die Einhaltung dieser Standards und Richtlinien als oberste Priorität.

Mehrere Sonderveröffentlichungen des NIST enthalten spezifische Kontrollen, die von Organisationen verlangen, Prozesse zur Identifizierung, Bewertung und Steuerung von Risiken in der Lieferkette einzurichten und umzusetzen. Zu diesen Sonderveröffentlichungen des NIST gehören:

Da sich die NIST-Richtlinien gegenseitig ergänzen, können Unternehmen, die sich auf eine bestimmte Veröffentlichung standardisieren, diese auf andere übertragen und so mehrere Anforderungen mit einem einzigen Rahmenwerk erfüllen. Die weit verbreitete Plattform für das Risikomanagement von Drittanbietern kann verwendet werden, um die NIST-Anforderungen für eine stärkere Sicherheit in der Lieferkette zu erfüllen.

Dieser Beitrag erläutert jede NIST-Sonderveröffentlichung und ordnet die Funktionen von Prevalent diesen Rahmenwerken zu.

Kontrollen für das Risikomanagement in der Lieferkette in SP 800-53 Rev. 5

Die Sicherheit der Lieferkette und die Datenschutzkontrollen haben sich mit der Überarbeitung von SP 800-53 weiterentwickelt. Beispielsweise wurde in SP 800-53 Rev. 4 der Schutz der Lieferkette unter einer umfassenderen Kontrollgruppe für System- und Dienstleistungsbeschaffung behandelt. Diese einzelne Kontrolle befasste sich mit der Notwendigkeit, Schwachstellen während des gesamten Lebenszyklus eines Informationssystems zu identifizieren und durch Strategien und Kontrollen darauf zu reagieren. Sie ermutigte Unternehmen, Lösungen von Drittanbietern zu erwerben und zu beschaffen, um Sicherheitsvorkehrungen zu implementieren. Außerdem mussten Unternehmen vor einer Zusammenarbeit Lieferanten und deren Produkte überprüfen und bewerten, um eine umfassendere Transparenz der Lieferkette zu erreichen.

Angesichts der zunehmenden Zahl von Datenverstößen und anderen Sicherheitsvorfällen im Zusammenhang mit Drittanbietern erweitert und verfeinert SP 800-53 Rev. 5 die Richtlinien zur Sicherheit und zum Datenschutz in der Lieferkette durch die Einrichtung einer völlig neuen Kontrollgruppe, SR-Supply Chain Risk Management. Außerdem werden Unternehmen dazu verpflichtet, Maßnahmen zum Management von Lieferkettenrisiken zu entwickeln und zu planen, indem sie:

  • Verwendung von formalen Risikomanagementplänen und -richtlinien zur Steuerung des Lieferkettenmanagementprozesses
  • Betonung der Sicherheit und des Datenschutzes durch Zusammenarbeit bei der Ermittlung von Risiken und Bedrohungen und durch die Anwendung von sicherheits- und datenschutzbasierten Kontrollen
  • Forderung nach Transparenz von Systemen und Produkten (z. B. Lebenszyklus, Rückverfolgbarkeit und Authentizität der Komponenten)
  • Zunehmende Sensibilisierung für die Notwendigkeit einer Vorabbewertung von Organisationen und die Gewährleistung von Transparenz bei Problemen und Verstößen

Wie SP 800-161 Rev. 1 das Risikomanagement in der Cybersicherheits-Lieferkette ergänzt

NIST SP 800-53 gilt als Grundlage, auf der alle anderen Cybersicherheitskontrollen aufbauen. Mit SP 800-161 Rev. 1 skizziert das NIST ein ergänzendes Rahmenwerk zur Einordnung, Bewertung, Reaktion und Überwachung von Cybersicherheitsrisiken in der Lieferkette. Zusammen bilden SP 800-53 und die ergänzenden Kontrollrichtlinien von SP 800-161 ein umfassendes Rahmenwerk zur Bewertung und Minderung von Lieferantenrisiken.

Anforderungen an das Risikomanagement in der Lieferkette im Cybersicherheits-Framework v2.0

Das Cybersecurity Framework ist eine weitere Veröffentlichung des NIST, die sich mit dem Risikomanagement von Drittanbietern und der Sicherheit der Lieferkette befasst. Das Framework nutzt bestehende Sicherheitsrahmenwerke wie CIS, COBIT, ISA, ISO/IEC und NIST, um zu vermeiden, dass Unternehmen durch die Erfüllung der Anforderungen übermäßig belastet werden. NIST CSF 2.0, veröffentlicht im Februar 2024, reorganisiert die Kontrollen des Risikomanagements in der Lieferkette unter einer neuen Funktion namens „Govern“. Zu den spezifischen Unterkategorien des Risikomanagements in der Lieferkette, die im CSF identifiziert wurden, gehören:

  • GV.SC-01: Ein Programm, eine Strategie, Ziele, Richtlinien und Prozesse für das Risikomanagement in der Cybersicherheits-Lieferkette werden festgelegt und von den Stakeholdern der Organisation vereinbart.
  • GV.SC-02: Die Rollen und Verantwortlichkeiten im Bereich Cybersicherheit für Lieferanten, Kunden und Partner werden festgelegt, kommuniziert und intern und extern koordiniert.
  • GV.SC-03: Das Risikomanagement für die Cybersicherheit in der Lieferkette ist in die Cybersicherheit und das Unternehmensrisikomanagement, die Risikobewertung und die Verbesserungsprozesse integriert.
  • GV.SC-04: Lieferanten sind bekannt und werden nach ihrer Bedeutung priorisiert.
  • GV.SC-05: Anforderungen zur Bewältigung von Cybersicherheitsrisiken in Lieferketten werden festgelegt, priorisiert und in Verträge und andere Arten von Vereinbarungen mit Lieferanten und anderen relevanten Dritten integriert.
  • GV.SC-06: Es werden Planungen und Sorgfaltsprüfungen durchgeführt, um Risiken zu reduzieren, bevor formelle Beziehungen zu Lieferanten oder anderen Dritten eingegangen werden.
  • GV.SC-07: Die Risiken, die von einem Lieferanten, seinen Produkten und Dienstleistungen sowie anderen Dritten ausgehen, werden im Laufe der Geschäftsbeziehung erfasst, dokumentiert, priorisiert, bewertet, behandelt und überwacht.
  • GV.SC-08: Relevante Lieferanten und andere Dritte werden in die Planung, Reaktion und Wiederherstellung bei Vorfällen einbezogen.
  • GV.SC-09: Maßnahmen zur Sicherheit der Lieferkette sind in Cybersicherheits- und Unternehmensrisikomanagementprogramme integriert, und ihre Leistung wird während des gesamten Lebenszyklus der Technologieprodukte und -dienstleistungen überwacht.
  • GV.SC-10: Pläne zum Risikomanagement in der Cybersicherheits-Lieferkette enthalten Bestimmungen für Aktivitäten, die nach Abschluss einer Partnerschaft oder eines Dienstleistungsvertrags stattfinden.

Erfüllung der Cybersicherheitsrichtlinien NIST SP 800-53r5 und NIST 800-161r1 für Lieferketten mithilfe der Prevalent-Plattform

Prevalent kann dabei helfen, die Anforderungen von Drittanbietern in NIST SP 800-53r5 „Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme und Organisationen“ sowie NIST 800-161r1 „Risikomanagementpraktiken für die Cybersicherheit in der Lieferkette“ zu erfüllen . Dazu bietet Prevalent eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses für Lieferanten und zur Feststellung der Einhaltung von IT-Sicherheits-, Regulierungs- und Datenschutzanforderungen durch Lieferanten.

Mit der gängigen Risikomanagementplattform für Dritte können Sie:

  • Kontinuierliche Verfolgung und Analyse extern beobachtbarer Bedrohungen für Lieferanten und andere Dritte sowie Ergänzung und Validierung der von Lieferanten gemeldeten Sicherheitskontrolldaten, um CA-2 (1) Kontrollbewertungen | Spezialisierte Bewertungen, CA-2 (3) Kontrollbewertungen | Nutzung der Ergebnisse externer Organisationen und SA-4 (7) Systemüberwachung | Integrierte Lageerfassung zu berücksichtigen.
  • Aufdeckung von Cybervorfällen bei Drittanbietern für 550.000 Unternehmen durch Überwachung von über 1.500 kriminellen Foren, Tausenden von Onion-Seiten, über 80 speziellen Dark-Web-Foren, über 65 Bedrohungs-Feeds und über 50 Paste-Seiten für gestohlene Zugangsdaten – sowie mehrere Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken, um CA-7 (3) Kontinuierliche Überwachung | Trendanalyse, PM-16 Programm zur Sensibilisierung für Bedrohungen, PM-31 Strategie zur kontinuierlichen Überwachung, SA-4 (3) Beschaffungsprozess | Plan zur kontinuierlichen Überwachung von Kontrollen und SI-5 Sicherheitswarnungen, -hinweise und -richtlinien zu erfüllen.
  • Identifizieren und mindern Sie schnell die Auswirkungen von Verstößen in der Lieferkette, indem Sie Lieferanten zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Leitlinien zur Behebung zugreifen, um CP-2 (7) Notfallplan | Koordination mit externen Dienstleistern, IR-4 (3) Vorfallbearbeitung | Koordination der Lieferkette, IR-6 (1) Vorfallmeldung | Koordination der Lieferkette und IR-8 Vorfallreaktionsplan zu berücksichtigen.
  • Automatisieren Sie das Vertragslebenszyklusmanagement, um sicherzustellen, dass wichtige Vertragsklauseln für die Reaktion auf Vorfälle vorhanden sind und dass Service-Levels und Reaktionszeiten so verwaltet werden, dass sie den Vereinbarungen IR-5 Incident Monitoring und SR-8 Notification entsprechen .
  • Bewerten Sie die Kontrollen Ihrer Lieferkettenpartner mithilfe von mehr als 750 standardisierten Vorlagen für Risikobewertungsumfragen – darunter für NIST, ISO und viele andere –, einem Assistenten zur Erstellung benutzerdefinierter Umfragen und einem Fragebogen, der die Antworten auf alle Compliance-Vorschriften oder -Rahmenbedingungen abbildet, um CA-2 (3) Sicherheitsbewertungen | Externe Organisationen, RA-1 Richtlinien und Verfahren, RA-3 Risikobewertung, RA-7 Risikoreaktion und SR-6 Lieferantenbewertungen und -überprüfungen zu berücksichtigen.
  • Kategorisieren und einstufen Sie alle Lieferanten anhand mehrerer Kriterien, um die RA-9-Kritikalitätsanalyse und die SR-13-Lieferantenbestandsaufnahme zu berücksichtigen .
  • Bieten Sie sofortigen Zugriff auf Tausende von vollständigen, branchenüblichen Risikoprofilen von Anbietern, die Echtzeit-Informationen zu Sicherheit, Reputation und Finanzen enthalten, um den SA-9-Akquisitionsprozess und die SR-5-Akquisitionsstrategien, -Tools und -Methoden zu unterstützen .
  • Definieren und dokumentieren Sie Ihr TPRM-Programm, um den SR-1-Richtlinien und -Verfahren sowie den SR-3-Kontrollen und -Prozessen für die Lieferkette gerecht zu werden .
  • Verbessern Sie Ihr TPRM-Programm kontinuierlich und stellen Sie sicher, dass es agil und flexibel ist, um den SR-2-Risikomanagementplan für die Lieferkette zu erfüllen .

Erfüllung des NIST-Rahmenwerks zur Verbesserung der Cybersicherheit kritischer Infrastrukturen
Rahmenwerk (CSF) v2.0 Anforderungen an Dritte

Mit der weit verbreiteten Risikomanagement-Plattform für Dritte “ können Sie:

  • Definieren und dokumentieren Sie Ihr Risikomanagementprogramm für Dritte mit Hilfe von professionellen Expertendienstleistungen. Erstellen Sie einen klaren Plan, der die Programmstrategie, Rollen und Verantwortlichkeiten sowie die Integration in die übergeordnete Unternehmensrisikomanagementstrategie berücksichtigt und gleichzeitig Best Practices für ein durchgängiges TPRM einbezieht, um das Risikomanagement in der Cybersicherheits-Lieferkette (GV.SC-01, GV.SC-02, GV.SC-03 und GV.SC-09) anzugehen .
  • Zentralisieren, profilieren, stufen und bewerten Sie inhärente Risiken aller Drittanbieter als wichtigen ersten Schritt in den Onboarding- und Priorisierungsphasen des Lieferantenlebenszyklus, um das Risikomanagement in der Cybersicherheits-Lieferkette (GV.SC-04) anzugehen .
  • Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln im Rahmen des Cybersecurity Supply Chain Risk Management (GV.SC-05) durchgesetzt werden .
  • Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) in einer einzigen Lösung, die eine vorvertragliche Due Diligence als Teil des Cybersecurity Supply Chain Risk Management (GV.SC-06) ermöglicht .
  • Verwenden Sie eine umfassende Lösung, um alle Themen der Informationssicherheit zu bewerten und zu überwachen, die sich auf die Sicherheitskontrollen der Lieferkettenpartner beziehen, um das Risikomanagement für Cybersicherheit in der Lieferkette (GV.SC-07) anzugehen .
  • Identifizieren, reagieren, melden und mindern Sie die Auswirkungen von Sicherheitsvorfällen bei Drittanbietern im Rahmen des Cybersecurity Supply Chain Risk Management (GV.SC-08).
  • Automatisieren Sie Vertragsbewertungen und Offboarding-Verfahren, um das Risiko Ihrer Organisation im Zusammenhang mit Vertragsverletzungen im Rahmen des Cybersecurity Supply Chain Risk Management (GV.SC-10) zu reduzieren .

Nächste Schritte zur Einhaltung der NIST-Vorschriften

Das NIST verlangt ein robustes Management und eine lückenlose Nachverfolgung der Sicherheitsrisiken in der Lieferkette von Drittanbietern. SP 800-53r5, SP 800-161r1 und CSF v2.0 legen Folgendes fest:

  • Es sollte eine Richtlinie zum Risikomanagement vorhanden sein.
  • Sicherheitskontrollen sollten ausgewählt werden
  • Eine Richtlinie sollte gegebenenfalls in Lieferantenvereinbarungen festgeschrieben werden.
  • Lieferanten sollten gemäß den Anforderungen und Kontrollen bewertet, verwaltet und geprüft werden.

Prevalent bietet eine einheitliche Plattform mit NIST-Konformitätsfunktionen, mit denen Sie die Sicherheitskontrollen Ihrer Lieferanten effektiv überprüfen können. Eine vollständige Liste der NIST-Anforderungen für das Risikomanagement in der Lieferkette und eine Übersicht über die entsprechenden Funktionen von Prevalent finden Sie in der NIST-Checkliste zur Konformität von Drittanbietern. Sie können auch noch heute eine Demo anfordern. Um zu erfahren, wie das Risikomanagement für Drittanbieter auf über 50 weitere Vorschriften angewendet wird, laden Sie dasHandbuch zur Konformität mit Cybersicherheits-Frameworks „ herunter.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.