Beziehungen zu Dritten sind unverzichtbar, können jedoch auch erhebliche Risiken mit sich bringen, die sich auf den Betrieb Ihres Unternehmens, die Datensicherheit und die Einhaltung gesetzlicher Vorschriften auswirken. Eine robuste Richtlinie zum Risikomanagement bei Dritten (Third-Party Risk Management, TPRM) bildet die Grundlage für die Identifizierung, Überwachung und Minderung dieser Risiken. In diesem Blogbeitrag wird die Bedeutung einer klar definierten TPRM-Richtlinie erläutert, deren wesentliche Komponenten aufgeschlüsselt und Best-Practice-Empfehlungen für die Entwicklung und Umsetzung einer solchen Richtlinie gegeben.
Was ist eine Richtlinie zum Risikomanagement durch Dritte?
Eine Richtlinie zum Risikomanagement von Drittanbietern (Third-Party Risk Management, TPRM) ist eine Reihe dokumentierter Leitlinien dafür, wie Unternehmen mit Risiken von Anbietern, Lieferanten und Partnern umgehen. Sie hilft ihnen dabei, Verfahren zur Bewertung, Überwachung, Minderung und Meldung dieser Risiken zu etablieren. Diese Richtlinien bilden die Grundlage für den Aufbau eines robusten und effektiven TPRM-Programms.
Warum TPRM-Richtlinien wichtig sind
Zahlreiche Unternehmen haben aufgrund von Verstößen durch Dritte, Vierte oder sogar N-te Parteien erhebliche Störungen und rechtliche Konsequenzen erlebt. Schwache TPRM-Praktiken können eine existenzielle Bedrohung für die Daten und die Lieferkette Ihres Unternehmens darstellen. Richtlinien zum Risikomanagement bei Dritten legen klare, standardisierte und umsetzbare Verfahren fest, um strengere Risikomanagementpraktiken zu unterstützen. Ein klar definierter Prozess zur Verwaltung und Minderung von Lieferantenrisiken ist eine wichtige Maßnahme, um Ihre Betriebsabläufe vor den heutigen Bedrohungen zu schützen.
Da Risiken durch Dritte immer komplexer und weit verbreiteter werden, benötigen Unternehmen Richtlinien zur Minimierung von Risiken im Zusammenhang mit Lieferanten sowie Verfahren zur Bewältigung von Vorfällen, wenn diese auftreten. Angesichts umfangreicher Lieferantennetzwerke und Beziehungen zu Dritten, die sich über mehrere Abteilungen erstrecken, müssen Risikomanagementrichtlinien praktisch sein, mit den Unternehmenszielen in Einklang stehen und auf verschiedene Risikoarten und Phasen des Lebenszyklus von Dritten anwendbar sein.
Wichtige Komponenten von Richtlinien zum Risikomanagement bei Drittanbietern
Klare Richtlinien stärken Ihre Risikomanagementpraktiken in Bezug auf Dritte und priorisieren Risiken während der gesamten Due Diligence und des Lieferantenlebenszyklus. Eine umfassende TPRM-Richtlinie sollte folgende Punkte behandeln:
- Zweck – Geben Sie das Ziel für die Einrichtung oder Umstrukturierung eines Risikomanagementprogramms für Dritte an.
- Rollen und Verantwortlichkeiten – Definieren Sie Ihre wichtigsten Stakeholder, Entscheidungsträger und die Personen, die für die Umsetzung und Verwaltung von Aktivitäten im Zusammenhang mit Lieferantenrisiken verantwortlich sind.
- Compliance-Anforderungen – Stellen Sie sicher, dass Ihre Richtlinien die wichtigsten Compliance-Vorschriften für Risiken durch Dritte und die regulatorischen Rahmenbedingungen Ihres Lieferantennetzwerks berücksichtigen.
- Risikotoleranz oder Risikobereitschaft – Definieren Sie das für Ihr Unternehmen akzeptable und nicht akzeptable Risikoniveau. Erwägen Sie, eine Erklärung zur Risikobereitschaft gegenüber Dritten als grundlegenden Bestandteil Ihrer TPRM-Richtlinien aufzunehmen. Lesen Sie hier unseren Leitfaden zu dieser Maßnahme.
- Risikomanagementprozesse und -verfahren – Skizzieren Sie die wichtigsten Elemente Ihres Risikomanagementprogramms für Dritte, wie z. B.:
- Risikoidentifizierung
- Sorgfaltspflicht und Bewertung
- Risikobewertung
- Vertragsmanagement
- Kontinuierliche Überwachung
- Vorfallmanagement
- Kündigungsverfahren
Erfüllung von Compliance-Anforderungen in Richtlinien zum Risikomanagement bei Dritten
Überprüfen Sie Ihre internen Compliance-Maßnahmen und regulatorischen Anforderungen, bevor Sie mit der Ausarbeitung Ihrer Richtlinien zum Risikomanagement für Dritte beginnen. Berücksichtigen Sie bei der Ausarbeitung Ihrer Richtlinien relevante regionale Vorschriften wie CCPA und DSGVO, international anerkannte Rahmenwerke wie NIST- und ISO-Standards sowie branchenspezifische Vorschriften wie HIPAA und PCI DSS.
Zu den regulatorischen Anforderungen, die Sie in Ihre TPRM-Richtlinien aufnehmen sollten, können gehören:
Kalifornisches Verbraucherschutzgesetz (CCPA): Regelt die Erfassung und den Verkauf von Verbraucherdaten, um die sensiblen personenbezogenen Daten der Einwohner Kaliforniens zu schützen und ihnen die Kontrolle über deren Verwendung zu geben.
Cloud Security Alliance CAIQ: Ein branchenüblicher Fragebogen zur Dokumentation von Sicherheitskontrollen, der bei der Sicherheitsbewertung von IaaS-, PaaS-, SaaS- und anderen Cloud-Anbietern hilft.
Cybersecurity Maturity Model Certification (CMMC): Ein Rahmenwerk des US-Verteidigungsministeriums zum Schutz der industriellen Basis des Verteidigungssektors vor Cyberangriffen und zur Gewährleistung einer widerstandsfähigen nationalen Verteidigungslieferkette.
Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu Auslagerungsvereinbarungen: Enthält spezifische Governance- und Aufsichtsanforderungen für das Outsourcing im europäischen Bankensektor.
FCA FG 16/5: Leitlinien des Vereinigten Königreichs zur Unterstützung von Finanzunternehmen bei der Überwachung aller Phasen von Outsourcing-Vereinbarungen.
FFIEC-Handbuch für IT-Prüfungen: Legt einheitliche Grundsätze und Standards für die Prüfung von Finanzinstituten durch Bundesbehörden fest, einschließlich IT-Themen.
Datenschutz-Grundverordnung (DSGVO): Regelt die Verwendung, den Transfer und den Schutz personenbezogener Daten von EU-Bürgern und gilt für alle Organisationen weltweit, die mit EU-Daten umgehen.
HIPAA: Gewährleistet, dass sensible Gesundheitsdaten (PHI) geschützt sind und nicht ohne Zustimmung des Patienten weitergegeben werden.
ISO-Normen: Dazu gehören ISO 27001, 27002 und 27036-2, die internationale Standards für das Management und die Verbesserung der Informationssicherheit festlegen.
Interinstitutionelle Leitlinien zu Beziehungen zu Dritten: US-Leitlinien der Bundesbankbehörden zur Vereinheitlichung des Risikomanagements für Beziehungen zu Anbietern und Lieferanten im Bankwesen.
NERC CIP: Cybersicherheitsstandards für Elektrizitätsversorgungsunternehmen zur Aufrechterhaltung der Zuverlässigkeit des Großstromnetzes (BES).
NIST: Bietet Publikationen wie NIST 800-53, NIST 800-161 und das Cybersecurity Framework (CSF), um Unternehmen beim Management von Risiken in der Lieferkette zu unterstützen.
NY SHIELD Act: Verpflichtet Organisationen, die personenbezogene Daten von Einwohnern New Yorks verarbeiten, zur Verbesserung der Cybersicherheit und der Verfahren zur Meldung von Datenschutzverletzungen.
NY CRR 500: Legt Cybersicherheitsanforderungen für Finanzdienstleistungen in New York fest, wobei der Schwerpunkt auf dem Schutz von Kundendaten und der Integrität von IT-Systemen liegt.
PCI DSS: Globaler Standard für die Sicherung von Karteninhaberdaten, der für alle Unternehmen gilt, die diese Daten speichern, verarbeiten oder übertragen.
SOC 2: Industriestandard-Rahmenwerk zum Nachweis der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten. SOC 2-Audits werden für die interne Kontrollberichterstattung und die Berichterstattung über Sicherheitsvorkehrungen in Bezug auf Infrastruktur, Software, Personen, Verfahren und Daten verwendet.
Verstehen Sie Ihr regulatorisches Umfeld
Berücksichtigen Sie bei der Ausarbeitung von Richtlinien und Verfahren allgemeine Compliance-Anforderungen, die sich auf den Geschäftsbetrieb auswirken. Wenn Ihr Unternehmen beispielsweise geschützte Gesundheitsdaten (Protected Health Information, PHI) verarbeitet, sollten Ihre Richtlinien zum Risikomanagement für Dritte festlegen, wie und wann diese Informationen an andere Organisationen weitergegeben werden dürfen. Gemäß HIPAA müssen Dritte – und alle weiteren beteiligten Parteien – beim Umgang mit PHI dieselben Sicherheitsvorkehrungen treffen wie Ihr Unternehmen. Die Nichteinhaltung dieser Vorschriften kann zu erheblichen Geldstrafen für Ihr Unternehmen und alle Geschäftspartner führen.
Viele Anforderungen an die Informationssicherheit schränken die Arten von Daten, die Sie an Dritte weitergeben dürfen, stark ein. Berücksichtigen Sie auch die spezifischen Anforderungen einzelner Geschäftsbereiche. So schreibt beispielsweise die DSGVO strenge Regeln für die Speicherung, den Schutz und die Übermittlung von Daten europäischer Staatsangehöriger vor. In vielen Fällen darf nur eine Abteilung mit europäischen Daten umgehen. Anstatt sich auf Branchenannahmen zu verlassen, sollten Sie die Arten und Mengen der in Ihrem Unternehmen gesammelten Daten bewerten, um die genauen Compliance-Anforderungen zu ermitteln.
Legen Sie in Ihren Richtlinien klar fest, welche Informationen Sie an Dritte weitergeben, wann Sie diese weitergeben und welche Protokolle zu deren Schutz gelten. Die Verpflichtung von Drittorganisationen, die mit sensiblen Daten umgehen, zur Einhaltung von Standards wie SOC 2 oder HIPAA kann die Sicherheit erhöhen. Ohne diese Sicherheitsvorkehrungen riskieren Sie die Nichteinhaltung gesetzlicher Vorschriften und einen möglichen Reputationsschaden, wenn es zu einer Datenverletzung durch Dritte kommt. Führen Sie immer eine gründliche Due Diligence durch, bevor Sie sensible Informationen an Dritte weitergeben.
Stützen Sie Ihre Richtlinien zum Risikomanagement von Drittanbietern auf allgemein anerkannte Standards.
Glücklicherweise müssen Sie nicht alle Kontrollen selbst entwickeln. Bei der Planung Ihres Risikomanagementprogramms für Dritte können Sie auf allgemein anerkannte Rahmenwerke für das Risikomanagement von Dritten zurückgreifen, wie beispielsweise NIST SP 800-161 oder Shared Assessments TPRM Framework.
Vorgefertigte Frameworks bieten eine hervorragende Orientierungshilfe für die Kontrollen, die Sie in Ihre Richtlinien zum Risikomanagement für Dritte aufnehmen sollten. Risiken durch Dritte können verschiedene Formen annehmen. Durch die Einhaltung eines bewährten Frameworks können Sie sicherstellen, dass Ihr Risikomanagement für Lieferanten umfassend ist.
Darüber hinaus können Sie andere Frameworks wie NIST CSF 2.0 und ISO 27036 nutzen, um Ihre Fragebögen zur Risikobewertung von Lieferanten zu erstellen. Fragebögen sind für den Lebenszyklus des Lieferantenrisikomanagements unerlässlich und sollten für alle neuen Dienstleister obligatorisch sein. Richtlinien zum Risikomanagement von Drittanbietern sollten festlegen, wie und wann Geschäftsbereiche Sicherheitsfragebögen verwalten müssen, und akzeptable Restrisikoniveaus definieren.
Wir empfehlen Ihnen, Shared Assessments und NIST 800-161 zu lesen, um die Ausrichtung Ihres Programms und die Art der zu integrierenden Kontrollen zu planen. Anschließend können Sie bestimmte Kontrollen aus Standard-Informationssicherheits-Frameworks auswählen. Oftmals stützen sich US-amerikanische Unternehmen auf NIST, während Unternehmen in Europa, Asien und Afrika eher ISO wählen.
Standardisierte Dokumentation durch Dritte erforderlich
Stellen Sie sicher, dass Ihr Unternehmen bei der Zusammenarbeit mit Dritten auf der Grundlage eines einheitlichen Dokumentationssatzes arbeitet. Geheimhaltungsvereinbarungen, Fragebögen zu Risiken durch Dritte und Service Level Agreements (SLAs) sollten während des gesamten Beschaffungszyklus einheitlich sein. Die Standardisierung ist besonders wichtig bei der Erstellung des Fragebogens zur Risikobewertung von Lieferanten Ihres Unternehmens. Ohne einen standardisierten Lieferantenbewertungsprozess können Sie verschiedene Lieferanten nicht anhand des Risikos vergleichen, das sie für Ihr Unternehmen darstellen.
Richtlinien zu Risiken durch Dritte sollten eine Bewertung von Drittanbietern auf der Grundlage ihres Risikograds vorschreiben und Abhilfemaßnahmen für Anbieter mit hohem Risiko verlangen, bevor diese in die Lieferkette aufgenommen werden. Überwachen Sie Anbieter während der gesamten Geschäftsbeziehung kontinuierlich auf Risiken in Bezug auf Cybersicherheit, Betrieb und Compliance. Nur weil ein Unternehmen zum Zeitpunkt der Aufnahme ein geringes Risiko aufwies, bedeutet dies nicht, dass dies auch weiterhin der Fall sein wird.
Berücksichtigen Sie vierte Parteien in Ihren Risikopolitiken
Größere Unternehmen mit umfangreichen Netzwerken von Drittanbietern sind besonders anfällig für Sicherheitsrisiken. Wenn ein Drittanbieter einen vierten Anbieter als Subunternehmer beauftragt, können schwache Sicherheitspraktiken auf jeder Ebene die Daten Ihres Unternehmens böswilligen Akteuren aussetzen. Kriminelle Gruppen nutzen häufig Schwachstellen in diesen erweiterten Netzwerken aus und arbeiten sich über Subunternehmer vor, um an sensible Informationen zu gelangen.
Um diese Risiken zu mindern, müssen Verträge mit Lieferanten Bestimmungen für vierte Parteien enthalten. Wenn ein Drittanbieter Unteraufträge vergeben darf, sollte das SLA vorschreiben, dass die vierte Partei dieselben Cybersicherheitsrichtlinien wie das Hauptunternehmen befolgt. Die Aufsichtsbehörden können ein Unternehmen weiterhin haftbar machen und Geldstrafen verhängen, wenn eine vierte Partei einen Datenverlust verursacht, selbst wenn das Unternehmen davon keine Kenntnis hatte.
Checkliste für die Risikopolitik gegenüber Lieferanten
Hier sind einige empfohlene Kontrollen, die Sie in Ihre Richtlinie zum Risikomanagement für Dritte aufnehmen sollten:
Allgemein
-
Verlangen Sie von Anbietern, dass sie vor der Aufnahme einen standardisierten Fragebogen zur Risikobewertung ausfüllen.
-
Verwenden Sie Profiling und Tiering, um eine einheitliche Methodik zur Lieferantenbewertung zu etablieren.
-
Bewerten und verfolgen Sie inhärente und verbleibende Risiken, um die Anbieter zu identifizieren, die das größte Risiko darstellen.
-
Überwachen Sie Anbieter nach der Einarbeitung kontinuierlich.
-
Bewerten Sie Lieferanten regelmäßig neu, um Änderungen des Risikoniveaus zu beurteilen.
-
Automatisieren Sie die Kommunikation mit Workflows und Ticketing.
-
Verwenden Sie flexible Risikogewichtungen, um die Bedeutung einzelner Risiken anzugeben.
Einhaltung der Vorschriften
-
Bewerten Sie Drittanbieter vor der Aufnahme hinsichtlich Compliance-Problemen.
-
Dokumentieren und bewahren Sie Aufzeichnungen aller Daten auf, die an Dritte weitergegeben werden.
-
Verlangen Sie von Dritten, die über Unternehmensdaten verfügen, dass sie nicht konforme Praktiken korrigieren, bevor sie auf sensible Informationen zugreifen.
-
Überwachen Sie Geschäftsentwicklungen anhand umfangreicher Quellen, um regulatorische, reputationsbezogene oder rechtliche Risiken zu identifizieren.
-
Empfehlung: Verlangen Sie von Anbietern, dass sie vor der Aufnahme in Ihr Unternehmen Zertifizierungen für Informationssicherheit erwerben.
Informationssicherheit
-
Überwachen Sie Lieferanten während der gesamten Vertragslaufzeit kontinuierlich auf Cybersicherheitsrisiken.
-
Verpflichten Sie Ihre Lieferanten vertraglich, das Unternehmen über alle Sicherheitsverletzungen oder vermuteten Sicherheitsverletzungen zu informieren.
-
Überprüfen Sie die Sicherheitsrichtlinien der Anbieter gründlich und vergleichen Sie diese mit den Antworten auf den Fragebogen.
-
Stellen Sie sicher, dass Anbieter bei Vertragsende alle Unternehmensdaten löschen.
-
Nehmen Sie klare Datenschutzklauseln in alle Verträge mit Dritten auf.
-
Lösen Sie Aktionen wie Benachrichtigungen, Aufgaben, Anpassungen der Risikobewertung und beschleunigte Risikominderung aus.
-
Verwandeln Sie Cyber- und Geschäftsereignisdaten von Anbietern in umsetzbare Risiken für Echtzeit-Transparenz.
-
Führen Sie ein einheitliches Risikoregister, um Cyber- und Geschäftsrisiken mit Bewertungsergebnissen zu korrelieren und die Kontrolldaten der Lieferanten zu validieren.
-
Nutzen Sie Cyber-Monitoring im Deep/Dark Web für Echtzeit-Risikoinformationen.
Betrieb
-
Verlangen Sie von Ihren Lieferanten, dass sie Sie über wichtige Mitarbeiter, Finanzdaten und andere Faktoren, die sich auf die Lieferkette auswirken, auf dem Laufenden halten.
-
Lassen Sie jede Abteilung ihre Lieferantendaten an ein zentrales Repository übermitteln.
-
Risikoreiche Anbieter müssen Risiken auf ein akzeptables Maß reduzieren, um ihre Zusammenarbeit aufrechterhalten zu können.
-
Vertraglich verpflichten Sie Drittanbieter, die Offboarding-Verfahren einzuhalten, einschließlich der Rückgabe von Geräten und Ausweisen sowie der Löschung sensibler Informationen.
-
Berücksichtigen Sie bei der Ausarbeitung von SLAs und anderen wichtigen Verträgen auch vierte Parteien und darüber hinausgehende Parteien.
Risikomanagementrichtlinien und -praktiken für Dritte Nächste Schritte
Durch die Einführung von Strategien und Verfahren zur Risikokontrolle durch Dritte kann Ihr Unternehmen die Komplexität der Lieferantenrisiken bewältigen, strengere Sicherheitspraktiken unterstützen und die Compliance in allen Phasen des Lieferantenlebenszyklus aufrechterhalten. Nutzen Sie eine spezielle TPRM-Lösung, um diese kritischen Prozesse zu optimieren und zu automatisieren.
Entdecken Sie, wie Sie mit Prevalent das Risikomanagement für Drittanbieter vereinfachen können. Vereinbaren Sie noch heute einen Termin für ein Strategiegespräch oder eine Demo.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
