← Lieferkette
Zweck · SUP-02

Dieses Dokument unterstützt die dokumentierte Bewertung von Lieferanten nach §30 Abs. 2 Nr. 4 BSIG. Es ordnet Kritikalität, Zugriff, Datenbezug, Verfügbarkeitswirkung, Nachweisstand und offene Punkte ein und schafft eine Grundlage für Freigabe, Auflagen, Nachforderung oder Wiedervorlage.

Anwendung · Vier Schritte
  1. Lieferant einordnen: Rolle, Leistung, Zugriff, Datenbezug und Abhängigkeit erfassen.
  2. Kritikalität bewerten: Prüftiefe aus Systemzugriff, Verfügbarkeitswirkung und Ersetzbarkeit ableiten.
  3. Nachweise anfordern: Angaben, Unterlagen, offene Punkte und Fristen dokumentieren.
  4. Entscheidung festhalten: Freigabe, Auflagen, Nachforderung, Eskalation und Wiedervorlage festlegen.
Methodik · Ableitung aus dem Lieferantenklassifikator

Die Bewertung folgt derselben operativen Risikologik wie der NIS2 Lieferantenklassifikator: Systemzugriff, Datenbezug, Verfügbarkeitswirkung, Abhängigkeit, Nachweisstand sowie Incident- und Vertragslage. Die Einstufung ist eine interne Arbeitsklassifizierung für die Lieferantenbewertung nach §30 BSIG. Sie ist keine gesetzliche NIS2-Kategorie. — NIS2 Lieferantenklassifikator öffnen

Lieferkette · §30 BSIG
SUP-02 · Arbeitsdokument

Lieferantenbewertung
§30 BSIG

Arbeitsdokument zur Klassifizierung, Nachweisanforderung und Freigabe von Lieferanten nach Kritikalität, Zugriff, Datenbezug und Verfügbarkeitswirkung.

SUP-02 · Lieferantenbewertung §30 Abs. 2 Nr. 4 BSIG Kritikalität · Nachweis · Entscheidung
A · Stammdaten

Lieferant und Prüfkontext

SUP-02-A
Lieferant
Unternehmen
[Firma, Rechtsform]
Ansprechpartner
[Name, Funktion]
Leistungsart
[IT-Betrieb / Cloud / Software / Sonstiges]
Vertrag seit
[TT.MM.JJJJ]
Prüfung
Prüfdatum
[TT.MM.JJJJ]
Prüfer
[Name, Funktion]
Prüfart
[Selbstauskunft / Fragebogen / Dokumentenprüfung / Vor-Ort-Prüfung]
Wiedervorlage
[TT.MM.JJJJ — Intervall: 6 / 12 Monate]
B · Kritikalität und Prüftiefe

Prüfkategorie nach Systemzugriff, Datenbezug und Abhängigkeit

SUP-02-B

Die Kritikalität bestimmt, welche Nachweise angefordert werden, welche Prüftiefe angemessen ist und wann eine Wiedervorlage erforderlich wird.

Kategorie A — vertiefte Lieferantenbewertung Direkter Systemzugang, privilegierte Rechte, Datenbezug, Verfügbarkeitswirkung oder kritische Abhängigkeit. Beispiele: MSP, Cloud-Betrieb, ERP-Hosting, Softwareentwicklung mit Produktivzugang.
Kat. A
Kategorie B — Basisbewertung mit Nachweisen Relevanter Einfluss auf Prozesse, Daten oder Verfügbarkeit, aber begrenztere Zugriffstiefe oder geringere Abhängigkeit. Beispiele: Wartungsdienstleister, Fachanwendung, externer Support, Dienstleister mit eingeschränktem Datenzugriff.
Kat. B
Kategorie C — vereinfachte Dokumentation Unterstützende Leistung mit begrenzter Sicherheits- oder Betriebsrelevanz. Keine privilegierten Zugriffe, keine wesentliche Verfügbarkeitswirkung.
Kat. C
Kategorie D — keine vertiefte §30-Relevanz erkennbar Keine erkennbare sicherheitsbezogene Relevanz für Systeme, Daten, Verfügbarkeit oder Wiederanlauf. Die Entscheidung sollte dennoch dokumentiert werden.
Kat. D
Einstufung dieses Lieferanten
Kritikalität
[Kategorie A / B / C / D — Begründung: ___]
Systemzugang
[Ja / Eingeschränkt / Nein — Systeme: ___]
Datenkategorien
[Personaldaten / Kundendaten / Betriebsdaten / Keine]
Ersetzbarkeit
[Kurzfristig / Mit Aufwand / Kritische Abhängigkeit]
C · Nachweisanforderung

Von Lieferanten anzufordernde Angaben und Nachweise

SUP-02-C

Bitte fordern Sie die folgenden Angaben an, damit Rolle, Kritikalität und Nachweisfähigkeit des Lieferanten risikobasiert eingeordnet werden können. Die konkrete Tiefe richtet sich nach Prüfkategorie, Zugriff, Datenbezug und Verfügbarkeitswirkung.

1Rolle und Leistung
  • erbrachte Leistung und betroffene Prozesse
  • Ansprechpartner für Informationssicherheit und Betrieb
  • Rolle in der Lieferkette
  • eingesetzte Subdienstleister
2Zugriff und Daten
  • Art und Umfang des Systemzugriffs
  • betroffene Datenarten und Verarbeitungsorte
  • Berechtigungen, administrative Zugriffe und Fernzugänge
  • Abgrenzung zwischen Provider-Verantwortung und Kundenverantwortung
3Sicherheits- und Betriebsnachweise
  • Sicherheitsmaßnahmen oder Sicherheitskonzept
  • Rollen- und Verantwortlichkeitsmodell
  • Incident-Prozess, Meldewege und Ansprechpartner
  • Backup-, Wiederanlauf- oder Exit-Regelungen
  • vorhandene Zertifikate, Testate oder Prüfnachweise
4Offene Punkte und Wiedervorlage
  • offene Maßnahmen und geplante Umsetzungsfristen
  • Einschränkungen oder Annahmen der Angaben
  • Auflagen für die weitere Zusammenarbeit
  • Termin für erneute Bewertung

Fehlende Angaben sollten als offene Punkte mit Auflage, Verantwortlichkeit und Wiedervorlage dokumentiert werden.

Evidence-Matrix

Prüffrage, erwarteter Nachweis und Aktion bei Lücke

Prüffrage Erwarteter Nachweis Relevant ab Aktion bei Lücke
Hat der Lieferant Systemzugang?Rollen- und ZugriffsbeschreibungKat. BNachweis nachfordern
Hat der Lieferant privilegierte Rechte?Berechtigungskonzept, Adminrollen, FreigabeprozessKat. Avertieft prüfen
Verarbeitet der Lieferant relevante Daten?Datenfluss, AVV, Verarbeitungsort, SchutzmaßnahmenKat. BDatenschutz-/Security-Prüfung ergänzen
Beeinflusst der Lieferant Verfügbarkeit oder Wiederanlauf?SLA, Backup-/Wiederanlauf- oder Exit-RegelungKat. AAuflage oder Eskalation
Nutzt der Lieferant Subdienstleister?Subdienstleisterübersicht, WeitergaberegelungKat. BVertragsklärung
Gibt es einen Incident-Prozess?Meldewege, Ansprechpartner, ReaktionszeitenKat. BFreigabe mit Auflage
Liegen Sicherheitsnachweise vor?ISMS, Sicherheitskonzept, Zertifizierung o. Ä.Kat. BNachforderung
Besteht kritische Abhängigkeit?Exit-Option, Alternativen, WiederanlaufplanKat. AManagemententscheidung erforderlich
Selbstauskunft des Lieferanten

Wenn Angaben oder Nachweise fehlen, kann der Lieferant gebeten werden, eine strukturierte Statusdarstellung vorzulegen. Der SUP-01 Statuspass unterstützt die Darstellung von Rolle, Leistung, Sicherheitsmaßnahmen, Cloud-/Subdienstleistern, Incident-Prozess, offenen Punkten und Wiedervorlage. — SUP-01 Statuspass öffnen

D · Sicherheitsbewertung

Sicherheitsbewertung nach Prüftiefe

SUP-02-D

Prüfumfang richtet sich nach der in Abschnitt B festgelegten Prüfkategorie. Nicht jedes Feld ist für jeden Lieferanten relevant.

Prüffeld Status Nachweis / Unterlage Offene Punkte Ab Kat.
Für alle Kategorien
Sicherheitsmaßnahmen dokumentiert
§30 BSIG — Risikomanagement
 [Status] [Selbstauskunft / Zertifikat / Audit]   Alle
Vertragliche Sicherheitspflichten
AVV, NDA, Sicherheitsanforderungen
 [Status] [Vertragsdatum / Klauselreferenz]   Alle
Subunternehmer bekannt
Weitergabe sicherheitsrelevanter Leistungen
 [Status] [Liste / Vertragsklausel]   Alle
Wiedervorlage
Termin für erneute Bewertung
 [Status] [Datum: ___]   Alle
Zusätzlich ab Kategorie B — bei Datenzugang oder Verfügbarkeitswirkung
Incident-Prozess und Meldewege
Ansprechpartner, Reaktionszeiten, Eskalation
 [Status] [Vertragsklausel / Prozessbeschreibung]   Kat. B
Datenverarbeitung und Speicherort
Datenarten, AVV, Verarbeitungsort
 [Status] [AVV-Datum / Datenfluss]   Kat. B
Zugriff und Berechtigungen
Fernzugänge, Rollenbeschreibung
 [Status] [Berechtigungskonzept / Rollenliste]   Kat. B
Letzte Sicherheitsprüfung
intern oder extern durchgeführt
 [Status] [Datum: ___ / Ergebnis: ___]   Kat. B
Zusätzlich ab Kategorie A — bei privilegiertem Zugriff oder kritischer Betriebswirkung
Sicherheitskonzept oder ISMS
ISO 27001, BSI Grundschutz, SOC2 oder vergleichbar
 [Status] [Zertifikat, Gültig bis: ___]   Kat. A
Backup, Wiederanlauf, Exit
SLA, Notfallkonzept, Exit-Regelung
 [Status] [SLA / Notfallplan]   Kat. A
Auditrecht vereinbart
Recht zur Prüfung oder Prüfung durch Dritte
 [Status] [Vertragsparagraph]   Kat. A
E · Bewertungsentscheidung

Freigabe, Auflagen und Wiedervorlage

SUP-02-D
Prüfkategorie
[—]
Hoch / Mittel / Gering
Sicherheitsniveau
[—]
Ausreichend / Lücken / Unbekannt
Entscheidung
[—]
Freigabe / Auflagen / Ablehnung
Entscheidungsbegründung
Begründung
[Freitext — Zusammenfassung der Bewertung, offene Punkte, Auflagen]
Auflagen
[Keine / Auflage 1: ___ bis TT.MM.JJJJ / Auflage 2: ___]
Nächste Prüfung
[TT.MM.JJJJ — Anlass: Wiedervorlage / Vertragsreview / Vorfall]
Prüfer · Unterschrift
[Name, Funktion] · [Datum]
Restrisiko und Eskalation
Restrisiko akzeptiert
[Ja / Nein / nicht entschieden — Begründung: ___]
Eskalation GF erforderlich
[Ja / Nein]
Auflagen und Frist
Auflagen
[_________________________________________________]
Verantwortlich
[Name / Funktion]
Frist
[TT.MM.JJJJ]
Freigabe · Verantwortliche Stelle
[Name, Funktion] · [Datum] — Bei kritischen Lieferanten: GF einbinden
Hinweis zur Verwendung

SUP-02 ist eine operative Arbeitsvorlage nach §30 Abs. 2 Nr. 4 BSIG. Das Dokument dokumentiert die kaufmännisch-organisatorische Risikobewertung und die Entscheidung über die weitere Zusammenarbeit. Es ersetzt kein vollständiges technisches Audit. Ergebnisse sind im Kontext der Gesamtbewertung des Lieferantenportfolios zu sehen. Khosla Compliance · Hamburg · khosla-compliance.de

Weiter im Pfad
ContentLieferkette §30 DokumentSUP-01 Statuspass VerbindungMaßnahmen §30