Rahmenwerke für das Risikomanagement bei Drittanbietern: Der Leitfaden

Es gibt keinen einzigen Ansatz, der für jede Organisation ideal ist, aber einige häufig verwendete Rahmenwerke dienen als solide Ausgangsbasis. Hier ist, was Sie wissen müssen.

TPRM-Rahmenwerke

Rahmenwerke für das Risikomanagement bei Drittanbietern befassen sich mit einem Problem, das immer größere Ausmaße annimmt.

Laut dem „Global Cybersecurity Outlook“ des Weltwirtschaftsforums nennen 54 % der großen Unternehmen Schwachstellen in der Lieferkette als ihr größtes Hindernis für die Cyber-Resilienz – noch vor Budgetengpässen, Personalmangel und technischer Komplexität.

Ein Datenleck bei einem Drittanbieter oder ein Versagen eines Lieferanten kann ein Unternehmen mit behördlichen Sanktionen, Benachrichtigungspflichten gegenüber Kunden und Reputationsschäden konfrontieren, die durch keine interne Kontrolle vollständig verhindert werden können. Ein Rahmenwerk für das Risikomanagement bei Drittanbietern gibt dieser Herausforderung eine klare Struktur.

Die verfügbaren Rahmenwerke unterscheiden sich erheblich hinsichtlich ihres Anwendungsbereichs, ihrer regulatorischen Ausrichtung und ihrer Eignung für neue Risikokategorien. Die meisten Organisationen benötigen mehr als eines.

Inhalt
  1. Was ist ein Rahmen für das Risikomanagement von Drittparteien?
  2. Warum Sie mehr als ein TPRM-Framework benötigen
  3. So wählen Sie ein TPRM-Framework aus
  4. Kernkonzepte des TPRM und der Risikomanagement-Rahmenwerke für die Lieferkette
  5. Wie sich regulatorische Anforderungen auf TPRM-Rahmenwerke abbilden
  6. Das Risiko durch KI-Anbieter als neue Priorität in TPRM-Rahmenwerken
  7. Ein Programm entwickeln, nicht fünf
  8. Häufig gestellte Fragen

Was ist ein Rahmen für das Risikomanagement von Drittparteien?

Ein Rahmenwerk für das Risikomanagement bei Drittanbietern ist ein strukturiertes System aus Kontrollmaßnahmen, Prozessen und Governance-Anforderungen, das Unternehmen nutzen, um Risiken in ihren Beziehungen zu Anbietern und Lieferanten zu identifizieren, zu bewerten und zu steuern. Rahmenwerke legen fest, was zu bewerten ist, wie diese Bewertung durchzuführen ist und wie die Ergebnisse in einen umsetzbaren Risikomanagementprozess integriert werden. Sie bilden die Grundlage, auf der ein TPRM-Programm aufbaut.

TPRM-Rahmenwerke lassen sich in drei Kategorien einteilen:

  1. Spezielle TPRM- und Supply-Chain-Risikomanagement-Rahmenwerke (SCRM) wie das „Shared Assessments TPRM Framework“ und NIST SP 800-161, die speziell für das Management von Beziehungen zu Drittanbietern auf Programmebene entwickelt wurden.
  2. Ergänzende Rahmenwerke für die Informationssicherheit, darunter NIST CSF 2.0, ISO 27001 und NIST SP 800-53, die Kontrollbibliotheken bereitstellen, anhand derer Organisationen Fragebögen zur Risikobewertung von Lieferanten entwerfen und die Sicherheitslage von Lieferanten bewerten können.
  3. Nicht-IT- und ESG-Rahmenwerke, darunter CSRD und GRI, die sich mit der Nachhaltigkeitsberichterstattung und den Sorgfaltspflichten in der Lieferkette außerhalb des traditionellen Bereichs der Cybersicherheit befassen

Ein TPRM-Rahmenwerk ist nicht dasselbe wie ein TPRM-Programm. Das Rahmenwerk legt die Standards und Kontrollmechanismen fest. Das Programm hingegen ist die organisatorische Infrastruktur: die Mitarbeiter, Prozesse und Technologien, mit denen diese Standards in die Praxis umgesetzt werden.

Warum Sie mehr als ein TPRM-Framework benötigen

Es gibt kein einziges Rahmenwerk, das alle Aspekte von Risiken durch Dritte abdeckt. Ein Unternehmen, das Finanzdienstleister in der EU verwaltet, benötigt DORA-konforme IKT-Kontrollen für Dritte, die Norm ISO 27001 für die Bewertung der Informationssicherheit von Lieferanten sowie die CSRD-Berichtspflichten zur Nachhaltigkeit in der Lieferkette.

Jedes Rahmenwerk befasst sich mit einer anderen regulatorischen Verpflichtung oder einer anderen Risikoart. Der praktische Ansatz besteht darin, Rahmenwerke zu kombinieren: Die meisten ausgereiften TPRM-Programme stützen sich gleichzeitig auf mehrere Rahmenwerke und setzen jedes dort ein, wo es den größten Nutzen bringt.

Eine Organisation könnte ihr Programm auf das TPRM-Framework von Shared Assessments für die Lebenszyklus-Governance stützen, jedoch NIST 800-161 zur Konzeption von Kontrollmaßnahmen für Technologieanbieter mit hohem Risiko heranziehen und die Anforderungen der ISO 27001 auf Fragebögen zur Lieferantenbewertung anwenden. Hinzu kommen noch gesetzliche Vorgaben.

Unternehmen, die in mehreren Rechtsräumen tätig sind, sehen sich mit einer zunehmenden Komplexität konfrontiert. Ein und derselbe Drittanbieter kann gleichzeitig Anforderungen an die IKT-Aufsicht gemäß DORA, Verpflichtungen zur Datenverarbeitung gemäß DSGVO sowie Berichtspflichten in der Lieferkette gemäß CSRD auslösen, die jeweils mit spezifischen Verpflichtungen hinsichtlich Bewertung, Dokumentation und laufender Überwachung verbunden sind. Ein Rahmenwerk, das unter Berücksichtigung dieser multijurisdiktionalen Situation konzipiert wurde, führt zu einer wesentlich besser begründbaren Compliance-Situation als ein Rahmenwerk, das lediglich zur Erfüllung eines einzigen Standards entwickelt wurde.

So wählen Sie ein TPRM-Framework aus

Bevor sich Unternehmen für ein Rahmenwerk entscheiden, müssen sie sich einen klaren Überblick über ihre Risiken verschaffen. Die Art der Risiken, die durch Beziehungen zu Dritten entstehen, bestimmt, welche Rahmenwerke die wesentlichsten Risiken abdecken: Cybersicherheit und Datenschutz, finanzielle, operative, rechtliche und regulatorische Risiken, Reputationsrisiken sowie ESG-Risiken.

Bei der Auswahl sollten mehrere praktische Faktoren eine Rolle spielen:

  • Regulatorische Anforderungen: Welche Rahmenwerke schreibt Ihr regulatorisches Umfeld vor oder auf die es Bezug nimmt? Finanzinstitute, die unter DORA fallen, Gesundheitsorganisationen, die der HIPAA unterliegen, und Zahlungsabwickler, die PCI DSS v4.0 einhalten, müssen jeweils spezifische Anforderungen der jeweiligen Rahmenwerke erfüllen.
  • Abstimmung auf die bestehende Risikomanagement-Infrastruktur: Ein Rahmenwerk, das sich nicht in Ihre unternehmensweiten Risikomanagementprozesse integrieren lässt, führt zu parallelen Arbeitsabläufen statt zu einer einheitlichen Risikofunktion.
  • Aktualisierungshäufigkeit: Frameworks, die mit den regulatorischen Änderungen nicht Schritt halten, werden zu einem Risiko. Überprüfen Sie, wann die einzelnen Frameworks zuletzt überarbeitet wurden, insbesondere in den Bereichen Cybersicherheit und ESG.
  • Risikoeinstufung: Ermöglicht das Rahmenwerk eine Unterscheidung zwischen Anbietern mit hohem, mittlerem und geringem Risiko? Die Anwendung derselben Bewertungsintensität auf alle Drittanbieter ist aus betrieblicher Sicht nicht tragbar.
  • Erwartungen von Kunden und Geschäftspartnern: Auf welche Rahmenwerke stützen sich Ihre Kunden oder Geschäftspartner bei ihren eigenen Due-Diligence-Prozessen für Lieferanten? Unternehmen, die Bewertungsanfragen versenden und erhalten, profitieren von einer Abstimmung der Rahmenwerke auf beiden Seiten der Geschäftsbeziehung. Dazu gehört auch die Verbreitung der Rahmenwerke: Weit verbreitete Rahmenwerke führen zu mehr vorgefertigten Antworten der Lieferanten und verkürzen die Zeit, die für die Durchführung von Bewertungen in großem Umfang benötigt wird.

Kernelemente des TPRM und Rahmenkonzept für Lieferkettenrisiken

Die Rahmenwerke lassen sich in vier Kategorien unterteilen: Risiken in der Lieferkette, Lieferantenbewertung, KI-Governance und ESG-Berichterstattung.

Gemeinsame Bewertungen – TPRM-Rahmenwerk und SIG

Das TPRM-Framework von Shared Assessments ist eines der wenigen Frameworks, das speziell für Risiken durch Dritte und nicht für die Informationssicherheit im weiteren Sinne oder das Lieferkettenmanagement konzipiert wurde. Es deckt den gesamten Lebenszyklus des Lieferantenrisikomanagements ab, von der Outsourcing-Analyse und der Due Diligence bis hin zur laufenden Überwachung und dem Ausstiegsmanagement. Das Framework gliedert sich in Grundlagen, die Governance und die Akzeptanz des Programms abdecken, sowie in acht Prozessfamilien.

Der standardisierte Fragebogen zur Informationserhebung (SIG) von Shared Assessments ist das Bewertungsinstrument, mit dem das Rahmenwerk in die Praxis umgesetzt wird. Er ist direkt auf ISO, HIPAA, NIST, DSGVO und PCI DSS abgestimmt und eignet sich daher besonders für Unternehmen, die einheitliche Risikobewertungen für Anbieter durchführen, die unterschiedlichen regulatorischen Rahmenbedingungen unterliegen. Unternehmen, die ein TPRM-Programm von Grund auf neu aufbauen, werden feststellen, dass die vorgefertigten Kontrollzuordnungen des SIG die Zeit bis zur Betriebsreife erheblich verkürzen.

NIST SP 800-161

NIST SP 800-161 enthält Leitlinien zum Risikomanagement in der Lieferkette, die für US-Bundesbehörden entwickelt wurden. Die Norm integriert C-SCRM-Kontrollen in das NIST-Risikomanagement-Rahmenwerk und bietet Organisationen damit einen systematischen Ansatz für Lieferkettenrisiken, der über die Cybersicherheit hinausgeht und auch die Betriebskontinuität, die finanzielle Solidität der Lieferanten sowie geopolitische Risiken umfasst.

Unternehmen der Privatwirtschaft mit komplexen, mehrstufigen Lieferketten schätzen NIST 800-161 durchweg als nützliche Grundlage für ihre Programme, auch wenn keine bundesweite Compliance-Verpflichtung besteht. Durch die ausführliche Behandlung von Konzentrationsrisiken und Risiken durch Viertparteien schließt es Lücken, die eng gefasste Cybersicherheits-Rahmenwerke offen lassen.

NIST CSF 2.0, NIST SP 800-53 und NIST RMF 800-37

Für Fragebögen zur Risikobewertung von Lieferanten gilt nach wie vor der NIST CSF 2.0 als Referenzstandard. Seine sechs Funktionen – „Govern“, „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ – bieten einen einheitlichen Rahmen für die Bewertung der Cybersicherheitslage und -reife eines Lieferanten. Unternehmen mit strengen Anforderungen an den Datenschutz und die Einhaltung gesetzlicher Vorschriften stellen fest, dass auf dem NIST CSF basierende Fragebögen umsetzbarere Risikoergebnisse liefern als allgemeine Alternativen.

NIST SP 800-53 und das NIST-Risikomanagement-Framework (NIST RMF 800-37) erweitern das Bewertungsinstrumentarium für Organisationen, die über die vom CSF bereitgestellten Kontrollspezifikationen hinausgehende Details benötigen. Viele Organisationen kombinieren alle drei: 800-161 für die Steuerung von Lieferkettenprogrammen, CSF für die Gestaltung der Lieferantenbewertung und 800-53 oder RMF für detaillierte Angaben auf Kontrollebene zu risikoreichen Dritten.

ISO 27001/27002 und ISO 27036-2

Die Normen ISO 27001 und 27002 legen Anforderungen an ein Informationssicherheits-Managementsystem fest, wobei umfangreiche Bestimmungen zum Lieferantenrisiko integriert sind. Sie sind besonders nützlich für Organisationen mit einem internationalen Portfolio an Drittanbietern, da die ISO-Zertifizierung eine gemeinsame Sprache für die Erwartungen an die Informationssicherheit über verschiedene Rechtsräume hinweg schafft.

Die Norm ISO 27036-2 regelt die Anforderungen an die Informationssicherheit in Lieferantenbeziehungen über den gesamten Lebenszyklus hinweg, von der Beschaffung bis zum Ausscheiden.

KI-Risikomanagement-Rahmenwerke: NIST AI RMF und ISO 42001

Da KI-Anbieter zu einer wesentlichen Kategorie innerhalb von Drittanbieter-Ökosystemen werden, benötigen TPRM-Teams Bewertungsrahmen, die über Standardfragebögen zur Cybersicherheit hinausgehen. Das NIST AI Risk Management Framework (AI RMF) bietet einen strukturierten Ansatz zur Identifizierung, Bewertung und Steuerung von KI-spezifischen Risiken über den gesamten KI-Lebenszyklus hinweg; seine Funktionen „Map“ und „Govern“ lassen sich am unmittelbarsten auf das TPRM anwenden.

Die Norm ISO 42001, die internationale Norm für KI-Managementsysteme, ist auf die Norm ISO 27001 abgestimmt und legt Governance-Anforderungen für Organisationen fest, die KI entwickeln oder einsetzen. Damit ist sie der maßgebliche Maßstab, wenn ein KI-Anbieter eine strukturierte KI-Governance beansprucht. Zusammen bieten sie TPRM-Teams eine fundierte Grundlage für die Bewertung von KI-Anbietern.

Umwelt-, Sozial- und Governance-Rahmenbedingungen

Das Risikomanagement bei Drittparteien (TPRM) konzentrierte sich traditionell auf Cybersicherheit, Betriebskontinuität und die Einhaltung gesetzlicher Vorschriften. ESG-Rahmenwerke erweitern diesen Anwendungsbereich: Gesetze zur Sorgfaltspflicht in der Lieferkette schaffen rechtliche Verpflichtungen zur Identifizierung, Bewertung und Behebung von Menschenrechts- und Umweltrisiken in Lieferantenbeziehungen, und die Berichterstattung über Scope-3-Emissionen ist ohne eine strukturierte Datenerhebung bei Lieferanten nicht möglich. Beide Verpflichtungen machen die ESG-Leistung zu einem direkten Bestandteil des TPRM und nicht mehr zu einer separaten Nachhaltigkeitsfunktion.

  • CSRD: Die CSRD verpflichtet große EU-Unternehmen, unter Berücksichtigung einer doppelten Wesentlichkeitsbetrachtung über Nachhaltigkeitsaspekte zu berichten und dabei sowohl die finanziellen Auswirkungen von Nachhaltigkeitsrisiken auf das Geschäft als auch die eigenen Auswirkungen des Unternehmens auf Mensch und Umwelt zu bewerten. Nach der Omnibus-I-Richtlinie, die am 18. März 2026 in Kraft getreten ist, gilt die CSRD nun für Unternehmen mit mehr als 1.000 Mitarbeitern und einem Jahresnettoumsatz von über 450 Millionen Euro. Für TPRM-Teams ist die unmittelbarste Verpflichtung die Berichterstattung über Scope-3-Emissionen, die eine strukturierte Erhebung von ESG-Daten bei Lieferanten erfordert. Die Sorgfaltspflicht in Bezug auf Menschenrechte und Umwelt in der Lieferkette wird separat durch die CSDDD geregelt (beide Verpflichtungen werden im Abschnitt „Regulierungsübersicht“ weiter unten behandelt).
  • Global Reporting Initiative (GRI): Die GRI ist eines der am häufigsten genutzten freiwilligen ESG-Rahmenwerke. Sie bietet umfassende Standards für die Berichterstattung zu wirtschaftlichen, ökologischen und sozialen Themen. Dank der modularen Struktur der GRI können Organisationen die Standards auswählen, die für ihre wesentlichen Themen am relevantesten sind, was sie zu einem flexiblen und breit einsetzbaren Rahmenwerk macht.
  • Carbon Disclosure Project (CDP): Das CDP ist eine Plattform zur Offenlegung von Informationen mit den Schwerpunkten Umwelt-Governance und -politik, Risiko- und Chancenmanagement sowie Umweltziele. Es bietet detaillierte Fragebögen zu den Themen Klimawandel, Wasser und Wälder, deren Auswertung anhand der CDP-eigenen Bewertungsmethodik erfolgt. Das CDP ist besonders wertvoll für Organisationen, die die Transparenz und Rechenschaftspflicht ihrer Umweltpraktiken verbessern möchten.

Wie sich regulatorische Anforderungen auf TPRM-Rahmenwerke abbilden

In den regulatorischen Vorgaben wird festgelegt, was Organisationen erreichen müssen, nicht jedoch, welches Rahmenwerk sie verwenden sollen. Die Organisationen müssen selbst entscheiden, welches Rahmenwerk oder welche Kombination von Rahmenwerken die jeweiligen Anforderungen erfüllt.

  • DORA (EU-Verordnung 2022/2554, in Kraft seit dem 17. Januar 2025) schreibt Finanzunternehmen gemäß Artikel 28 Anforderungen hinsichtlich IKT-Drittrisiken vor. Finanzunternehmen müssen eine dokumentierte Strategie zu IKT-Drittrisiken verabschieden, ein Verzeichnis aller vertraglichen Vereinbarungen mit Dritten im IKT-Bereich führen, vor Vertragsabschluss eine Due-Diligence-Prüfung potenzieller Anbieter durchführen und Ausstiegsstrategien für kritische Funktionen vorhalten.
  • Die HIPAA schreibt vor, dass betroffene Einrichtungen und Geschäftspartner Sicherheitsvorkehrungen treffen müssen, die regeln, wie Drittpartner mit geschützten Gesundheitsdaten umgehen. Die SIG „Shared Assessments“ enthält auf die HIPAA abgestimmte Kontrollmaßnahmen und ist damit ein praktischer Ausgangspunkt für Organisationen im Gesundheitswesen bei der Erstellung ihres Fragebogens zur Risikobewertung von Lieferanten.
  • PCI DSS v4.0 erlegt Organisationen, die Karteninhaberdaten verarbeiten, speichern oder übertragen, ausdrückliche Verpflichtungen hinsichtlich der Einbindung von Drittanbietern auf. Anforderung 12.8 schreibt dokumentierte Richtlinien für den Umgang mit Drittanbietern vor, einschließlich regelmäßiger Risikobewertungen und einer aktuellen Liste der aktiven Anbieter.
  • Die FFIEC- Leitlinien verlangen von Finanzinstituten, dass sie bei Beziehungen zu Dritten, die die Sicherheit, Solidität oder die Einhaltung von Verbraucherschutzvorschriften beeinträchtigen könnten, eine gründliche Sorgfaltsprüfung durchführen und eine kontinuierliche Überwachung gewährleisten. Sowohl NIST SP 800-161 als auch das TPRM-Rahmenwerk von Shared Assessments stehen in engem Einklang mit den Erwartungen der FFIEC.
  • Die DSGVO schreibt Organisationen, die Dritte mit der Verarbeitung personenbezogener Daten beauftragen, den Abschluss einer Datenverarbeitungsvereinbarung vor. Bei der Risikobewertung von Dienstleistern im Rahmen der DSGVO müssen Datenübertragungsmechanismen, Ketten von Unterauftragsverarbeitern und die Möglichkeiten zur Meldung von Datenschutzverletzungen berücksichtigt werden.
  • CSRD und CSDDD verfolgen unterschiedliche Ansätze, die leicht miteinander verwechselt werden können. Der ESRS-S2-Standard der CSRD schreibt die Offenlegung wesentlicher Auswirkungen auf die Arbeitnehmer in der Wertschöpfungskette vor: eine Berichtspflicht. Artikel 8 der CSDDD verlangt eine aktive Sorgfaltspflicht in Bezug auf Menschenrechte und Umweltauswirkungen entlang der gesamten Lieferkette: eine operative Verpflichtung.
    Hinweis: Gemäß der Omnibus-I-Richtlinie (Richtlinie (EU) 2026/470, in Kraft seit dem 18. März 2026) gelten die Anforderungen der CSDDD an die aktive Sorgfaltspflicht nun für einen einzigen, enger gefassten Kreis von Organisationen: solche mit mehr als 5.000 Beschäftigten und einem weltweiten Nettoumsatz von 1,5 Milliarden Euro (für EU-Unternehmen) oder einem in der EU erzielten Nettoumsatz von 1,5 Milliarden Euro (für Nicht-EU-Unternehmen). Alle betroffenen Unternehmen müssen die Anforderungen bis zu einer einheitlichen Frist am 26. Juli 2029 erfüllen. Die Frist für die Umsetzung durch die Mitgliedstaaten endet am 26. Juli 2028.

Das Risiko durch KI-Anbieter als neue Priorität in TPRM-Rahmenwerken

 

In TPRM-Rahmenwerken besteht eine KI-Lücke

Standard-TPRM-Rahmenwerke befassen sich schon seit Langem mit Anforderungen im Zusammenhang mit KI – so bildete beispielsweise die Norm ISO 27001 die Grundlage für die Norm ISO 42001, die etablierte Kontrollmaßnahmen zur Informationssicherheit speziell auf KI-Managementsysteme abbildet. Was sich jedoch verändert, ist die Direktheit und Spezifität, mit der Rahmenwerke KI-Anbieter nun als eigenständige Bewertungskategorie behandeln. Die SIG 2026 enthält KI-spezifische Fragen zu Einsatzpraktiken und Daten-Governance. Weniger ausgeprägt sind hingegen Leitlinien auf Programmebene dazu, wie KI-Anbieter angesichts der besonderen Risikomerkmale von KI-Systemen – Modelldrift, Herkunft der Trainingsdaten, algorithmische Transparenz und haftungsrechtliche Auswirkungen KI-generierter Ergebnisse – anders als herkömmliche IKT-Anbieter behandelt werden sollten.

Der „State of AI 2025“-Bericht von McKinsey kommt zu dem Ergebnis, dass 88 % der Unternehmen mittlerweile KI regelmäßig in mindestens einem Geschäftsbereich einsetzen. Die meisten TPRM-Programme halten damit nicht Schritt: Die „2025 Global Third-Party Risk Management Survey“ von EY ergab, dass nur 13 % der Unternehmen in ihren TPRM-Programmen einen optimierten Reifegrad in Bezug auf Technologie und Automatisierung aufweisen. Der „Cost of a Data Breach Report 2025“ von IBM zeigt, was diese Lücke kostet: 97 % der Organisationen, bei denen es zu KI-bezogenen Sicherheitsverletzungen kam, verfügten nicht über angemessene Zugriffskontrollen, und 63 % hatten keine festgelegten Governance-Richtlinien eingeführt.

Unternehmen sollten das Risiko durch KI-Anbieter als eigenständige Bewertungskategorie innerhalb ihres TPRM-Rahmenwerks behandeln und nicht als Teilbereich des standardmäßigen IKT-Anbieterrisikos. Fragebögen zur Anbieterbewertung sollten zumindest folgende Aspekte abdecken: Governance-Praktiken für Modelle, Datenhoheit, die Verwendung von Kundendaten beim Modelltraining, die Erklärbarkeit von KI-Systemen sowie die Einhaltung der Anforderungen des EU-KI-Gesetzes für KI-Systeme mit hohem Risiko, die für die meisten dieser Systeme im August 2026 in Kraft treten.

Ein Programm entwickeln, nicht fünf

Kein einzelnes Rahmenwerk deckt alle Aspekte ab. NIST SP 800-161 und ISO 27036-2 bilden die Grundlage für Risikokontrollen in der Lieferkette. NIST CSF und ISO 27001 prägen die Gestaltung der Lieferantenbewertung. Die SIG stellt eine standardisierte Fragebogenvorlage bereit, die nun um KI- und geopolitische Risiken erweitert wurde. ESG-Rahmenwerke verknüpfen Lieferantendaten mit Ihren eigenen Berichtspflichten. NIST AI RMF und ISO 42001 gewinnen an Bedeutung, da KI-Anbieter in Ihr Drittanbieter-Ökosystem eintreten.

Die meisten Programme haben nicht mit der Auswahl des Rahmens zu kämpfen, sondern mit der operativen Umsetzung. Mit jeder neuen Auflage muss das Team die Arbeitsabläufe und Fragebögen von Grund auf neu erstellen. Programmmanager, die dies richtig angehen, führen für alle diese Aufgaben ein einziges Bewertungsprogramm durch.

Mitratech Prevalent ordnet vorgefertigte Arbeitsabläufe und Fragebögen den in diesem Beitrag behandelten Rahmenwerken zu, sodass Teams weniger Zeit für die Programmgestaltung und mehr Zeit für Risikobewertungen aufwenden können.
Sehen Sie selbst, wie es funktioniert.

Ein Programm. Mehrere Risikokonzeptionen.

Sehen Sie es in Aktion

Häufig gestellte Fragen

Müssen alle Drittanbieter dem gleichen Maß an Risikobewertung unterzogen werden?
Nein. Die meisten etablierten TPRM-Rahmenwerke, darunter Shared Assessments und NIST 800-161, sehen eine Risikostufung in ihrer Struktur vor. Anbieter mit hohem Risiko – definiert durch die Sensibilität der Daten, auf die sie zugreifen, die Kritikalität der von ihnen unterstützten Funktionen oder den Grad der Systemintegration – erfordern eine strengere anfängliche Due-Diligence-Prüfung und häufigere fortlaufende Neubewertungen. Bei Anbietern mit geringem Risiko können längere Zyklen angewendet werden. Die Anwendung derselben Bewertungsintensität auf alle Beziehungen zu Drittanbietern ist operativ nicht tragbar und führt zu einer Fehlallokation der begrenzten Bewertungsressourcen.

Welches TPRM-Rahmenwerk ist für die Einhaltung der DORA-Vorschriften erforderlich?
Die DORA (EU-Verordnung 2022/2554, in Kraft seit dem 17. Januar 2025) schreibt kein bestimmtes Rahmenwerk vor. Artikel 28 legt die erforderlichen Ergebnisse fest: eine dokumentierte Strategie zum Management von IKT-Risiken durch Dritte, ein umfassendes Lieferantenregister, eine Due-Diligence-Prüfung vor Vertragsabschluss sowie Ausstiegsstrategien für kritische Funktionen. In der Praxis nutzen die meisten Finanzinstitute ISO 27001/27036 oder NIST 800-161, um das strukturelle Gerüst zu schaffen, das Artikel 28 erfüllt, ergänzt durch die DORA-eigenen technischen Regulierungsstandards zu Untervergabe und IKT-Konzentrationsrisiken.

Gilt NIST SP 800-161 nur für Bundesbehörden oder können auch Organisationen aus der Privatwirtschaft diese Richtlinie anwenden?
NIST SP 800-161 wurde als Leitfaden für Informationssysteme der US-Bundesbehörden entwickelt, doch gelten die darin enthaltenen Kontrollmaßnahmen zum Risikomanagement in der Lieferkette für jede Organisation, die komplexe Lieferantenbeziehungen verwaltet. Unternehmen der Privatwirtschaft in den Bereichen kritische Infrastruktur, Finanzdienstleistungen und Fertigung nutzen NIST 800-161 regelmäßig als Programmrahmen. Für die Anwendung sind weder eine Lizenz noch eine Zugehörigkeit zu einer Bundesbehörde erforderlich.

Schreibt die CSRD ein TPRM-Rahmenwerk vor, oder überschneidet sie sich mit der Sorgfaltspflicht in der Lieferkette gemäß CSDDD?
Sie regeln unterschiedliche Verpflichtungen. Der ESRS-S2-Standard der CSRD verlangt die Offenlegung wesentlicher Auswirkungen auf Arbeitnehmer in der Wertschöpfungskette: eine Berichtspflicht. Artikel 8 der CSDDD verlangt die aktive Ermittlung und Bewertung negativer Auswirkungen auf Menschenrechte und Umwelt entlang der gesamten Lieferkette: eine Anforderung an die operative Sorgfaltspflicht.

Gemäß der Omnibus-I-Richtlinie (in Kraft seit dem 18. März 2026) wurde die stufenweise Umstrukturierung durch eine einheitliche Umsetzungsfrist bis zum 26. Juli 2029 ersetzt. Die Frist für die Umsetzung durch die Mitgliedstaaten endet am 26. Juli 2028. Der Anwendungsbereich wurde eingeschränkt: Die CSDDD gilt nun für Organisationen mit mehr als 5.000 Beschäftigten und einem weltweiten Nettoumsatz von 1,5 Milliarden Euro.

Wie oft sollten Drittanbieter im Rahmen eines TPRM-Konzepts neu bewertet werden?
Die Häufigkeit der Neubewertung sollte sich nach der Risikostufe richten und nicht nach einem festen Zeitplan. Anbieter mit hohem Risiko, die Zugriff auf sensible Daten haben, kritische betriebliche Abhängigkeiten aufweisen oder einem sich rasch ändernden regulatorischen Umfeld ausgesetzt sind, erfordern mindestens eine jährliche Neubewertung, ergänzt durch eine kontinuierliche Echtzeitüberwachung hinsichtlich Änderungen der Sicherheitslage, der finanziellen Solidität oder des regulatorischen Status. Bei Anbietern mit mittlerem und geringem Risiko können Zyklen von 18 bis 24 Monaten zugrunde gelegt werden. Artikel 28 Absatz 3 der DORA verpflichtet Finanzinstitute, den Aufsichtsbehörden jährlich die Anzahl der im Laufe des Jahres neu abgeschlossenen IKT-Vereinbarungen mit Drittanbietern zu melden. Dies schreibt keine jährliche Neubewertung aller Anbieter vor – die Häufigkeit der Neubewertung bleibt risikobasiert –, schafft jedoch einen regelmäßigen Berichtsrhythmus, der eine jährliche Überprüfung des Anbieterverzeichnisses unterstützt.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das Unternehmen Prevalent, eine KI-gestützte Plattform für das Risikomanagement bei Drittanbietern. Der Inhalt wurde aktualisiert, um den Produktangeboten von Mitratech, den aktuellen regulatorischen Entwicklungen und den Änderungen im Bereich Compliance Rechnung zu tragen.