Lieferantenmanagement: Sicherheit in der Lieferkette nachweisen

Marcel Rieger

Managing Director, Cyber Risk

NIS2 und Lieferantenrisiken: So managen Sie Lieferkettenrisiken in der Praxis

Für CISOs und IT-Leiter im Mittelstand ist die Absicherung der Lieferkette nicht nur eine Best Practice, sondern unter NIS2 eine gesetzliche Anforderung, die durch die neue Gesetzgebung in den Fokus gerückt wird.

Sie fordert von betroffenen Unternehmen, die Sicherheit ihrer Zulieferer und Dienstleister umfassend zu bewerten und zu managen. Dabei ist ein holistischer Ansatz essenziell, der über reine Fragebögen hinausgeht.

Jamorie unterstützt Sie dabei, ein effektives Lieferantenmanagement-Programm zu implementieren, das den regulatorischen Anforderungen gerecht wird und gleichzeitig pragmatisch im Mittelstand umsetzbar ist. Wir setzen auf bewährte Bewertungsmodelle, fordern klare Nachweise und sorgen für einen reibungslosen Betriebsablauf.

Ein fundiertes Bewertungsmodell für Ihre Lieferanten

Ein effektives Lieferantenmanagement beginnt mit einem standardisierten, risikobasierten Bewertungsmodell. Wir entwickeln mit Ihnen einen Ansatz, der speziell auf Ihre Unternehmensgröße, Ihr Risikoprofil und die Kritikalität Ihrer Lieferanten zugeschnitten ist.

Dies beinhaltet:

• Risikokategorisierung der Lieferanten: Basierend auf Kritikalität (z.B. Zugriff auf sensitive Daten, Prozessabhängigkeit) und inhärentem Risiko.
• Angepasste Assessment-Frameworks: Von Self-Assessments (Fragebögen basierend auf NIST CSF, ISO 27001, BSI IT-Grundschutz) bis hin zu detaillierten Audits, exakt auf die Risikokategorie abgestimmt.
• Reifegrad-Bewertung und Scoring: Klares System zur Bewertung der Sicherheitslage der Lieferanten mit nachvollziehbarem Scoring-Modell.
• Periodische Neubewertung: Definition von Intervallen für die wiederkehrende Bewertung von Lieferanten.

Evidenz und Artefakte: Nachweise fordern und prüfen

Ein Papier-Audit reicht unter NIS2 nicht mehr aus. Es bedarf belastbarer Nachweise (Evidenz) und Artefakte, um die tatsächliche Sicherheitslage zu verifizieren.

Wir unterstützen Sie bei der Definition, Einholung und Validierung dieser Beweismittel:

• Standardisierte Anforderung von Evidenz: Beispiele wie Scans von Zertifikaten (ISO 27001), Penetrationstest-Reports (Executive Summary), ISMS-Richtlinienauszüge, Notfallwiederherstellungspläne, Nachweise über Schulungen (Awareness).
• Methoden zur Evidenzprüfung: Von der stichprobenartigen Überprüfung bis zur Durchführung von On-Site-Audits bei kritischen Lieferanten.
• Management von Findings: Unterstützung bei der Nachverfolgung von gefundenen Schwachstellen und der Verpflichtung zur Mängelbeseitigung.

Reporting und KPIs: Transparenz und steuerbare Sicherheit

Um den Erfolg Ihres Lieferantenmanagement-Programms sichtbar zu machen und kontinuierlich zu verbessern, sind aussagekräftige Kennzahlen (Key Performance Indicators, KPIs) unerlässlich. Wir entwickeln mit Ihnen ein Reporting, mit dem Sie optimal steuern und mit Ihrer Geschäftsleitung oder den Aufsichtsbehörden kommunizieren können.

• Risikobasierte KPIs: z.B. Anzahl kritischer Lieferanten ohne gültiges Assessment, durchschnittlicher Reifegrad der Lieferanten nach Risikokategorie, Anzahl offener Findings bei Top-Risiko-Lieferanten.
• Compliance-Reporting: Nachweis der Erfüllung der NIS2-Anforderungen im Bereich Lieferkettenmanagement.
• Regelmäßige Statusberichte: Für verschiedene Zielgruppen (Operativ, Management, Board), mit klaren Handlungsempfehlungen.
• Kontinuierliche Verbesserung: KPIs als Basis für die Identifizierung von Schwachstellen und die iterative Optimierung Ihres Lieferantenmanagement-Prozesses.

Ihr zuverlässiger Partner für NIS2-konformes Lieferantenmanagement

Jamorie bringt die Expertise mit, die Ihr mittelständisches Unternehmen für ein robustes und NIS2-konformes Lieferantenmanagement benötigt. Wir verstehen die spezifischen Herausforderungen und bieten pragmatische, umsetzbare Lösungen, die Ihre Lieferkette sichern und Ihre Compliance gewährleisten.

Lassen Sie uns sprechen über die Implementierung eines zukunftssicheren Lieferantenmanagements in Ihrem Unternehmen.