SIG 2025: Wichtige Aktualisierungen und Überlegungen

Entdecken Sie die wichtigsten Änderungen im Standard-Fragebogen zur Informationsbeschaffung (SIG) für 2025 und erfahren Sie, was diese Aktualisierungen für Ihr Risikomanagementprogramm für Dritte bedeuten.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Dezember 16, 2024 6 min gelesen
Decorative image

Der Shared Assessments Standard Information Gathering (SIG)-Fragebogen ist ein einheitlicher Standard für die Bewertung von Anbieterrisiken in einer Vielzahl von Themenbereichen. Es gibt zwei Versionen des Fragebogens, SIG Core und SIG Lite, die sich in der Anzahl der Fragen und im Detaillierungsgrad deutlich unterscheiden.

SIG Core ist eine umfassende Bewertung mit 627 Fragen, die 21 Risikokategorien abdecken. SIG Lite umfasst 128 Fragen und ist in der Regel für Anbieter gedacht, die weniger Sorgfaltspflicht erfordern oder nicht so kritisch sind. (Es gibt sogar ein vollständiges SIG, SIG Detail, das mit 1.936 Fragen sehr umfangreich ist).

Mitratech ist Lizenznehmer für diese SIG-Fragebögen und integriert beide in die Prevalent Third-Party Risk Management-Lösung.

SIG-Aktualisierungen für 2025

Obwohl keine neuen Risikobereiche hinzukamen, wurden in der Version 2025 neue Fragen zum Störfallmanagement und zur operativen Belastbarkeit hinzugefügt, die Anzahl der Normenzuordnungen erhöht und neue rechtliche Fragen aufgenommen.

Neuer Frageninhalt in SIG 2025

Die SIG 2025 hat die bestehenden Risikobereiche erweitert, insbesondere innerhalb der SIG:

  • Informationssicherung: 3 neue Fragen.
  • Management von Cybersecurity-Vorfällen: 5 neue Fragen zu den Anforderungen an die Reaktion auf Vorfälle und zur Auslagerung der Berichterstattung über Vorfälle.
  • Operative Widerstandsfähigkeit: 4 neue Fragen zur Bewertung der Anforderungen an eine erweiterte Notfallplanung, Data Governance und Ausfallsicherheitsplanung.

Änderungen bei den inhaltlichen Zuordnungen für SIG 2025

Neben der Hinzufügung von Fragen in wichtigen Kontrollbereichen bestand die wichtigste Aktualisierung des SIG-Fragebogens 2025 in der Hinzufügung neuer Inhalte in Bezug auf verschiedene Compliance-Standards. Dies spiegelt die breitere Entwicklung der Risiken für Dritte wider. Die Hinzufügung dieser inhaltlichen Zuordnungen trägt der zunehmend komplexen Landschaft Rechnung, in der sich Unternehmen bewegen und nach der sie ihre Anbieter fragen müssen.

Die drei im Rahmen der SIG 2025 zur Verfügung stehenden netzneuen Normenzuordnungen sind

  • E.U. Digital Operational Resilience Act (DORA), eine Verordnung zur Verbesserung der Widerstandsfähigkeit des europäischen Finanzsektors gegenüber Cyber- und IKT-Bedrohungen.
  • Die EU-Richtlinie über Netz- und Informationssicherheit 2 (NIS2) ist eine Rechtsvorschrift, die Maßnahmen zur Verbesserung der Cybersicherheit, auch für Dritte, vorsieht.
  • Das Cybersecurity Framework (CSF) 2.0 des National Institute of Standards and Technology (NIST) ist eine Reihe von bewährten Praktiken und Richtlinien, die im öffentlichen und privaten Sektor der USA angenommen wurden.

Operative Widerstandsfähigkeit: DORA

Der Digital Operational Resilience Act (DORA), der im Januar 2025 vollständig in Kraft treten wird, soll sicherstellen, dass der europäische Finanzsektor auch bei schwerwiegenden Betriebsstörungen widerstandsfähig bleibt. Die DORA schafft einen Rechtsrahmen für die digitale operationelle Widerstandsfähigkeit im Finanzsektor, in dem alle Unternehmen bestätigen müssen, dass sie einem breiten Spektrum von IKT-Störungen und Cyber-Bedrohungen standhalten, auf sie reagieren und sich von ihnen erholen können.

Das Gesetz legt einheitliche Anforderungen an die Sicherheit von Netz- und Informationssystemen fest. In Kapitel V werden Anforderungen an kritische Dritte formuliert, die Informations- und Kommunikationstechnologien (IKT) wie Cloud-Plattformen oder Datenanalysedienste für die Finanzdienstleistungsbranche bereitstellen.

Gemäß DORA müssen Organisationen Vorfälle klassifizieren, eine transparente Meldung von Vorfällen ermöglichen und einen strukturierten Rahmen für das Risikomanagement entwickeln, der die Prüfung von Werkzeugen, Systemen und Prozessen umfasst. Im Fragebogen der SIG 2025 wird in der Kontrolle J.11 gefragt, ob die Organisation ihre Verantwortlichkeiten für die Meldung von Vorfällen an einen externen Dienstleister ausgelagert hat, um Artikel 18 des DORA zu erfüllen, der vorschreibt, dass Finanzunternehmen größere IKT-bezogene Vorfälle an die jeweils zuständige Behörde melden müssen.

Sicherheit der Lieferkette: NIST CSF 2.0

Seit ihrer Veröffentlichung im Jahr 2024 ist die neueste Version des NIST CSF zu einem Maßstab für Unternehmen geworden, die nach Leitlinien und bewährten Verfahren zur Verbesserung der Sicherheit ihrer Lieferkette und ihrer Cybersicherheitsabläufe suchen. Die NIST CSF ist eng an die NIST 800-53 angelehnt, die bereits in der SIG verankert ist.

NIST CSF 2.0 fügte eine neue Governance-Funktion hinzu, stärkte die Rolle der Rechts- und Compliance-Teams und enthielt erweiterte Leitlinien zu Risiken in der Lieferkette. Die Einführung der Governance-Funktion ist vor allem für das Risikomanagement von Drittanbietern relevant und verdeutlicht, wie wichtig Cybersecurity Governance für das Management und die Reduzierung von Cybersecurity-Risiken in Lieferketten ist. Eine spezielle Governance-Funktion hilft dabei, die Cybersecurity-Aktivitäten und -Prozesse von Drittanbietern über das Risikomanagement von Drittanbietern, das Risikomanagement von Unternehmen und die Rechtsteams hinweg abzustimmen und zu integrieren, was zur Aufnahme dieser Funktion in die neuesten SIG 2025-Fragebögen führte.

Cybersecurity in kritischen Industrien: NIS2

Die Europäische Union hat erkannt, dass Schwachstellen in Lieferketten die Sicherheit wichtiger Dienste gefährden können, und hat daher im Dezember 2022 die Richtlinie über Netz- und Informationssicherheit 2 (NIS2) verabschiedet. NIS2 schreibt vor, dass Organisationen robuste Maßnahmen zur Verwaltung und Minderung von Risiken im Zusammenhang mit ihren Beziehungen zu Dritten ergreifen müssen. Die NIS2-Richtlinie trat im Oktober 2024 in Kraft. Der SIG 2025 wurden Zuordnungen zu NIS2 hinzugefügt, um die Anforderungen von NIS2 zu erfüllen:

  • Festlegung von Sicherheitsrichtlinien für die Lieferkette.
  • Durchführung von Risikoanalysen und -bewertungen.
  • Sicherstellung solider Verfahren für die Behandlung von Zwischenfällen mit Dritten und für die Berichterstattung.
  • Kontinuierliche Überwachung und Bewertung von Drittparteien.
  • Durchsetzung der vertraglichen Verpflichtungen Dritter.

So wurden beispielsweise die Kontrollen C.11 und C.12 von SIG 2025 hinzugefügt, um Artikel 29 der NIS-Richtlinie Rechnung zu tragen, der den Austausch von Cybersicherheitsinformationen über Cyberbedrohungen, Beinaheunfälle, Schwachstellen, Techniken und Verfahren vorschreibt.

Was bedeuten die SIG 2025 Updates für TPRM?

Die Ergänzung des Fragebogens der SIG 2025 um die Themen betriebliche Ausfallsicherheit und Sicherheit der Lieferkette spiegelt den Schwerpunkt auf die Risiken der Cybersicherheit und der Lieferkette wider, die die moderne Unternehmenslandschaft durchdringen. Unternehmen müssen immer häufiger Datenverletzungen durch Dritte feststellen, was ein umfassendes Verständnis der Cybersecurity-Lieferkette erfordert.

Der Fragebogen von SIG 2025 versucht, einige dieser Bedenken zu zerstreuen, und gibt Ihnen die Gewissheit, dass die Kontrollen, die in den Schutzmaßnahmen Ihrer Lieferanten eingebaut sind, gut funktionieren. Da sich das regulatorische Umfeld weltweit verändert, wird SIG wahrscheinlich im nächsten Jahr weitere Inhaltszuordnungen hinzufügen.

Wie Mitratech helfen kann

Mitratech bietet die Fragebögen SIG Core und SIG Lite zusammen mit über 800 weiteren standardbasierten Bewertungsvorlagen als Teil der Prevalent Third-Party Risk Management-Lösung an. Diese Vorlagenbibliothek ermöglicht es den Kunden von Mitratech, gemeinsame Daten zu nutzen und den Prozess der Risikobewertung zu rationalisieren.

Zusätzlich zu diesen Bewertungen bietet die Prevalent-Lösung Prozessautomatisierungen, Berichte, Compliance-Mapping und integrierte Anleitungen zur Behebung von Problemen, um das Risikomanagement für Dritte zu optimieren. Ein Teil des Problems bei TPRM besteht darin, zu verstehen, wie auftretende Probleme gelöst werden können. Mit den Abhilfeanleitungen der Prevalent-Lösung ist die Behebung des Problems nicht mehr so schwierig.

Schließlich umfasst die Prevalent-Lösung auch eine kontinuierliche Überwachungsintelligenz, die Sie bei der Überwachung der laufenden Risiken in Ihrem Drittanbieter-Ökosystem unterstützt. Es ist für jeden TPRM-Programmmanager nahezu unmöglich, selbst mit allen möglichen Risiken Schritt zu halten, weshalb die Prevalent-Lösung dies für Sie übernimmt.

Laden Sie den SIG 2025 Definitive Guide herunter, um besser zu verstehen, wie Sie den SIG-Fragebogen in Ihrem TPRM-Programm anwenden können, oder fordern Sie noch heute eine Demo an, um zu erfahren, wie die Prevalent-Lösung Ihr TPRM-Programm unterstützen kann.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.