Drittparteien- und Lieferantensicherheitsrichtlinie – KMU

Die P26S – Drittparteien- und Lieferantensicherheitsrichtlinie ist speziell auf KMU zugeschnitten und berücksichtigt eine Governance-Struktur, in der dedizierte IT-Rollen wie CISO oder Security Operations Center (SOC) typischerweise fehlen. Stattdessen wird die Verantwortung unter dem General Manager (GM) zentralisiert, was die Rechenschaftspflicht vereinfacht und gleichzeitig eine starke Einhaltung von ISO/IEC 27001:2022 und weiteren zentralen regulatorischen Rahmenwerken sicherstellt. Dieses Design gewährleistet eine robuste Sicherheitsaufsicht auch für kleinere Organisationen ohne spezialisiertes Personal. Der Hauptzweck der Richtlinie besteht darin, wesentliche Sicherheitsmaßnahmen zu formalisieren und durchzusetzen, wann immer Beziehungen zu Drittparteien und Lieferanten eingegangen, verwaltet oder beendet werden, die mit den Daten, Systemen oder Diensten der Organisation interagieren oder diese beeinflussen. Abgedeckte Lieferanten reichen von IT- und Cloud-Diensten bis hin zu Softwareentwicklern sowie HR- oder Finanzberatern. Durch die Klärung von Sicherheitserwartungen, die Dokumentation von Lieferantenrisiken vor der Gewährung von Zugriff und die Anforderung durchsetzbarer vertraglicher Schutzmaßnahmen minimiert die Richtlinie die Risiken von Datenlecks, nicht genehmigten Systemänderungen, regulatorischen Verstößen und Betriebsunterbrechungen. Die Richtlinie definiert ihren Geltungsbereich ausdrücklich so, dass sowohl alle Drittparteien mit potenziellem Zugriff auf Informationssysteme der Organisation als auch internes Personal umfasst sind, das an Lieferantenauswahl, Aufsicht, Lieferanten-Onboarding, Vertragsabschluss oder Überprüfung beteiligt ist. Zentralisierte Rollen umfassen den General Manager, den IT-Anbieter oder internen Sicherheitskontakt sowie Beschaffungs- oder administrative Ansprechpartner, wodurch eine klare Rechenschaftspflicht über den gesamten Lieferantenlebenszyklus hinweg sichergestellt wird. Der Lieferant ist verpflichtet, schriftlich zuzustimmen, Sicherheitsverpflichtungen einzuhalten und Vorfälle zu melden. Zentrale Governance-Anforderungen umfassen Lieferantenrisikoüberprüfungen vor der Beauftragung, verpflichtende Sicherheitsklauseln in allen Verträgen, die Pflege eines detaillierten Lieferantenregisters sowie Verfahren zur Überwachung von Änderungen der Eigentumsverhältnisse, des Leistungsumfangs oder der Unterauftragsvergabe. Umsetzungsschritte verlangen, dass keinem Lieferanten jemals Zugriff gewährt wird, bevor eine Lieferantensorgfaltsprüfung durchgeführt wurde und ohne ausdrückliche Genehmigung, dass nur minimaler System-/Datenzugriff gewährt wird und dass jede Datenübertragung ordnungsgemäß verschlüsselt ist. Laufende Anforderungen umfassen regelmäßige Audits und Überprüfungen, mindestens jährlich für Hochrisiko-Lieferanten, sowie strenge Verfahren zur Beendigung von Verträgen und zum Entzug von Zugriffsrechten. Die Richtlinie integriert einen strukturierten Prozess für Risikobehandlung und Ausnahmen und stellt sicher, dass etwaige Lücken mit kompensierenden Kontrollen gemanagt werden und dass keine Ausnahme rechtliche oder regulatorische Verpflichtungen (z. B. Anforderungen der DSGVO oder DORA) verletzen kann. Die Durchsetzung ist klar beschrieben, mit vorgesehenen Sanktionen bis hin zur Vertragsbeendigung und rechtlichen Schritten. Auditbereitschaft ist verankert und erfordert eine Dokumentation, die für das Bestehen von Audits nach ISO 27001, DSGVO und verwandten Normen ausreicht. Schließlich stellen der jährliche Überprüfungszyklus und die Verknüpfung mit eng verwandten Informationssicherheitsrichtlinien sicher, dass die Richtlinie aktuell, wirksam und in das übergeordnete Sicherheitsrahmenwerk integriert bleibt.