Brauche ich für jeden Lieferanten einen eigenen Vertrag?

Einen eigenen Vertrag im engeren Sinne: nein. Aber jede Lieferantenbeziehung braucht dokumentierte Sicherheitsanforderungen — ob als eigener Vertrag, als Anlage zum Rahmenvertrag oder als verbindliche Sicherheitsvereinbarung. Unsere Vorlage enthält einen standardisierten Vertragsbaukasten, den du je nach Kritikalität des Lieferanten skalierst.

Was mache ich mit großen Cloud-Anbietern, die meine Vertragsbedingungen nicht akzeptieren?

Die Richtlinie unterscheidet explizit zwischen Lieferanten, bei denen du Anforderungen durchsetzen kannst, und solchen, bei denen das nicht möglich ist (Abschnitt 3.7). Für Letztere gilt: öffentlich verfügbare Audit-Berichte (SOC 2, C5) auswerten, kompensierende Maßnahmen im eigenen Risikoregister dokumentieren und bei der Auswahl die verfügbare Sicherheitsinformation berücksichtigen.

Wie oft muss ich Lieferanten überprüfen?

Das hängt von der Kritikalitätseinstufung ab. Hochkritische Lieferanten (z.B. Cloud-Provider für Produktionsdaten) werden mindestens jährlich auditiert oder über aktuelle Zertifizierungsnachweise geprüft. Für unkritische Lieferanten reicht ein jährlicher Self-Assessment-Fragebogen. Die Vorlage definiert die Prüfkadenz nach Risikoklasse.

Was ist ein SBOM und warum fordert die Richtlinie das?

Ein Software Bill of Materials listet alle Softwarekomponenten eines Produkts auf — inklusive Open-Source-Bibliotheken und deren Versionen. Damit kannst du bekannte Schwachstellen (CVEs) gegen die tatsächlich eingesetzten Komponenten abgleichen. Der EU Cyber Resilience Act macht SBOMs für Produkte mit digitalen Elementen verpflichtend.

Was passiert bei Vertragsende mit meinen Daten?

Die Richtlinie regelt das in Abschnitt 3.6: Alle Zugriffsrechte werden innerhalb eines Arbeitstages entzogen. Der Lieferant gibt sämtliche Daten in einem vereinbarten Format zurück oder vernichtet sie nachweisbar. Geheimhaltungspflichten gelten über das Vertragsende hinaus — typischerweise mindestens drei Jahre.

Richtlinie zur Lieferantensicherheit

Dein ISMS endet an den Grenzen deiner Organisation. Aber deine Daten tun das selten. Jeder Cloud-Dienst, jeder externe Entwickler und jeder Hosting-Provider verarbeitet, speichert oder transportiert Informationen, für deren Sicherheit du verantwortlich bleibst — unabhängig davon, wer die Infrastruktur betreibt.

Fünf Annex-A-Controls (A 5.19–5.23) widmet ISO 27001 dem Thema Lieferantensicherheit. NIS2 adressiert in Art. 21(2)(d) explizit die Sicherheit der Lieferkette. BSI IT-Grundschutz deckt das Thema mit den Bausteinen OPS.2.3 (Nutzung von Outsourcing) und OPS.2.2 (Cloud-Nutzung) ab. Weiter unten findest du die vollständige Vorlage auf Deutsch und Englisch.

Fünf ISO-27001-Controls in einem Dokument. Von der Lieferantenklassifizierung (A 5.19) über vertragliche Sicherheitsanforderungen (A 5.20) und ICT-Lieferkettensicherheit (A 5.21) bis zu laufender Überwachung (A 5.22) und Cloud-Diensten (A 5.23).
Risikobasierte Klassifizierung: Lieferanten werden nach Kritikalität eingestuft — je höher das Risiko, desto strenger die Anforderungen an Verträge, Prüfungen und Überwachung.
Vertragliche Absicherung ist Pflicht. Sicherheitsklauseln, Audit-Rechte, Vorfallmeldung innerhalb von 24 Stunden, Geheimhaltung über das Vertragsende hinaus.
Cloud-Dienste brauchen eine eigene Governance — mit dokumentiertem Shared-Responsibility-Modell, Exit-Strategie und regelmäßiger Neubewertung.
Unsere Vorlage deckt den gesamten Lieferanten-Lebenszyklus ab: Auswahl, Vertragsgestaltung, laufende Überwachung, Vorfallbehandlung und geordnete Beendigung.

Worum geht es konkret?

Die meisten Organisationen haben zwischen 20 und 200 aktive Lieferantenbeziehungen mit Informationssicherheits-Relevanz. Dazu gehören Cloud-Provider, Softwareanbieter, Hosting-Dienste, externe Berater, Outsourcing-Partner — und oft auch der Reinigungsdienst, der Zugang zu Büroräumen hat. Die Richtlinie definiert, wie du diese Beziehungen von der ersten Bewertung bis zur Vertragsbeendigung steuerst.

Im Kern beantwortet sie vier Fragen: Welche Lieferanten stellen ein Risiko dar? Welche Sicherheitsanforderungen müssen vertraglich verankert werden? Wie überwachst du die Einhaltung? Und was passiert, wenn ein Lieferant ausfällt oder die Zusammenarbeit endet?

Ohne dokumentierte Prozesse dafür entstehen tote Winkel. Der Cloud-Provider ändert seine Infrastruktur, ohne dass du informiert wirst. Ein Subunternehmer des Lieferanten verarbeitet deine Daten in einer Jurisdiktion, die du nie freigegeben hast. Und bei Vertragsende stellt sich heraus, dass niemand geklärt hat, in welchem Format du deine Daten zurückbekommst.

Warum ist sie so wichtig?

Angriffsfläche durch Dritte. Die meisten erfolgreichen Angriffe der letzten Jahre — SolarWinds, Kaseya, MOVEit — liefen über die Lieferkette. Ein kompromittierter Lieferant gibt Angreifern Zugang zu allen seinen Kunden gleichzeitig. Die Lieferantensicherheitsrichtlinie ist dein Rahmenwerk, um dieses Risiko systematisch zu adressieren.

Regulatorischer Druck wächst. NIS2 macht Lieferkettensicherheit zur expliziten Pflicht. Der EU Cyber Resilience Act verlangt von Anbietern digitaler Produkte durchgängige Schwachstellenprozesse und SBOMs. Wer diese Anforderungen an seine Lieferanten weitergibt, braucht eine dokumentierte Grundlage — und genau das ist diese Richtlinie.

Verantwortung lässt sich auslagern, Haftung selten. Du kannst Dienste auslagern, aber die Verantwortung für die Informationssicherheit bleibt bei dir. Wenn der Cloud-Provider einen Datenverlust verursacht, fragt dein Kunde dich — und der Auditor auch.

Was gehört in die Richtlinie?

Die Vorlage deckt sieben Kernbereiche ab:

Lieferantenbeziehungen und Klassifizierung (A 5.19) — Lieferantenregister, Risikobewertung nach Kritikalität, Evaluierung und Auswahl, Anforderungen an Personal- und physische Sicherheit, Vorfallbehandlung, geordnete Beendigung, Umgang mit Lieferanten ohne direkte Einflussmöglichkeit
Vertragliche Sicherheitsanforderungen (A 5.20) — Standardisierte Vertragsbausteine, Informationsklassifizierung im Vertrag, Sicherheitskontrollen, Audit-Rechte, Vorfallmeldung, Unterauftragsvergabe, Kündigungsklauseln
ICT-Lieferkettensicherheit (A 5.21) — Sicherheitsanforderungen bei der Beschaffung, Weitergabe an Unterlieferanten, Software Bill of Materials, Integritätsprüfung, Nachverfolgbarkeit kritischer Komponenten
Überwachung und Review (A 5.22) — Service-Level-Monitoring, regelmäßige Audits, Änderungsmanagement, Schwachstellenmanagement, Bewertung des Sicherheitsniveaus
Cloud-Dienste (A 5.23) — Shared-Responsibility-Modell, Auswahlkriterien, Datenlokalisierung, Exit-Strategie, Multi-Cloud-Governance
Rollen und Verantwortlichkeiten — Geschäftsleitung, Informationssicherheitsbeauftragte:r, Lieferantenmanager:in, Einkauf, IT-Betrieb, Recht
Review und Pflege — Jährliche Überprüfung, anlassbezogene Aktualisierung nach Vorfällen oder Änderungen in der Lieferantenlandschaft

So führst du die Richtlinie ein

01

Lieferantenregister aufbauen

Erfasse alle externen Parteien, die Zugang zu deinen Informationen, Systemen oder Räumlichkeiten haben. Für jeden Eintrag dokumentierst du: Lieferantentyp, betroffene Informationswerte, Kritikalitätseinstufung und interne Ansprechperson. Das Register muss nicht perfekt sein — aber vollständig genug, um die Lieferanten mit dem höchsten Risiko zu identifizieren.
02

Lieferanten nach Risiko klassifizieren

Bewerte jeden Lieferanten anhand der Daten, die er verarbeitet, der Systeme, auf die er zugreift, und der Auswirkung eines Ausfalls. Daraus ergibt sich eine Kritikalitätsstufe (z.B. hoch, mittel, niedrig), die bestimmt, welche Sicherheitsanforderungen im Vertrag stehen und wie oft geprüft wird. Hochkritische Lieferanten — typischerweise Cloud-Provider und Outsourcing-Partner — brauchen jährliche Audits oder aktuelle Zertifizierungsnachweise.
03

Verträge mit Sicherheitsklauseln versehen

Nutze die Vertragsbausteine aus der Vorlage: Sicherheitskontrollen, Audit-Recht, Vorfallmeldung innerhalb von 24 Stunden, Regelungen zur Unterauftragsvergabe, Geheimhaltung über das Vertragsende hinaus. Für bestehende Verträge ohne Sicherheitsklauseln: die nächste Vertragsverlängerung als Anlass nutzen oder eine separate Sicherheitsvereinbarung abschließen.
04

Überwachungsprozess etablieren

Definiere für jede Kritikalitätsstufe, wie und wie oft du prüfst: Zertifizierungsnachweise (ISO 27001, SOC 2, C5), Self-Assessment-Fragebögen, eigene Audits, Service-Level-Reports. Richte einen jährlichen Review-Zyklus ein und lege fest, wer Abweichungen eskaliert. Die Ergebnisse fließen zurück ins Lieferantenregister.
05

Exit-Strategie für kritische Lieferanten dokumentieren

Für jeden hochkritischen Lieferanten brauchst du einen dokumentierten Plan für den Fall, dass die Zusammenarbeit endet — ob geplant oder ungeplant. Der Plan umfasst: Datenrückgabe oder -vernichtung, Entzug aller Zugriffsrechte, Übergangszeitraum, alternative Lieferanten oder Eigenleistung. Teste die Exit-Strategie regelmäßig, zumindest auf dem Papier.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Kein Lieferantenregister. Die Organisation weiß, dass sie Cloud-Dienste nutzt, aber eine vollständige Liste aller Lieferanten mit Sicherheitsrelevanz existiert nicht. Ohne Register lässt sich weder die Kritikalität bewerten noch die Überwachung planen. Im Audit wird das sofort zum Finding.

2. Verträge ohne Sicherheitsklauseln. Der Lieferant verarbeitet personenbezogene Daten, aber im Vertrag steht nichts zu Zugriffskontrollen, Vorfallmeldung oder Audit-Rechten. Die Sicherheitsanforderungen existieren nur mündlich — oder gar nicht.

3. Cloud-Dienste ohne Shared-Responsibility-Dokumentation. Die Organisation geht davon aus, dass der Cloud-Provider „alles absichert”. In Wirklichkeit liegt die Konfiguration von Zugriffskontrollen, Verschlüsselung und Backup beim Kunden. Ohne dokumentierte Verantwortungsteilung bleibt unklar, wer wofür zuständig ist.

4. Überwachung nur bei Onboarding. Der Lieferant wird bei Vertragsabschluss einmal geprüft — danach nie wieder. Zertifizierungen laufen ab, Subunternehmer wechseln, Rechenzentren werden verlagert. Ohne laufende Überwachung bekommst du diese Änderungen erst mit, wenn etwas schiefgeht.

5. Keine Exit-Strategie. Der Cloud-Provider stellt einen Dienst ein oder wird insolvent. Die Organisation stellt fest, dass es keinen Plan für Datenrückgabe gibt, kein vereinbartes Exportformat und keinen alternativen Anbieter. Die Migration unter Zeitdruck wird teuer und riskant.

Vorlage: Richtlinie zur Lieferantensicherheit

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Lieferantenbeziehungen:

A 5.19 — Informationssicherheit in Lieferantenbeziehungen
A 5.20 — Adressierung von Informationssicherheit in Lieferantenvereinbarungen
A 5.21 — Management der Informationssicherheit in der IKT-Lieferkette
A 5.22 — Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten
A 5.23 — Informationssicherheit bei der Nutzung von Cloud-Diensten

ISO/IEC 27036-3 — Informationssicherheit für Lieferantenbeziehungen.

BSI IT-Grundschutz:

OPS.2.3 (Outsourcing aus Kundensicht)
OPS.2.2 (Cloud-Nutzung)
OPS.3.2 (Outsourcing aus Dienstleistersicht)

Weitere jurisdiktionsspezifische Gesetze — insbesondere NIS2-Lieferkettenpflichten, der EU Cyber Resilience Act (für Produkte mit digitalen Elementen), Datenschutzrecht (DSGVO und Regeln zur grenzüberschreitenden Datenübermittlung), sektorspezifische Outsourcing-Vorschriften (z. B. Finanzdienstleistungen) und Vertragsrecht — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt den Rahmen für das Management von Informationssicherheitsrisiken aus Lieferantenbeziehungen bei [IHR_ORGANISATIONSNAME] fest. Sie deckt den gesamten Lieferantenlebenszyklus von der initialen Bewertung und Auswahl über die vertragliche Bindung und laufende Überwachung bis zur geordneten Beendigung oder Überleitung ab.

Die Richtlinie gilt für alle Kategorien externer Lieferanten, einschließlich IKT-Dienstleister, Cloud-Dienstleister, Software- und Hardwarelieferanten, Outsourcing-Partner, Berater und alle anderen Dritten, die auf organisatorische Informationen zugreifen, diese verarbeiten, speichern, übertragen oder Infrastrukturkomponenten bereitstellen, die die Vertraulichkeit, Integrität oder Verfügbarkeit organisatorischer Informationen beeinflussen. Alle Beschäftigten, Auftragnehmer und Personen, die an Lieferantenauswahl, -management oder -aufsicht beteiligt sind, sind an diese Richtlinie gebunden.

3. Lieferantenbeziehungen & Klassifizierung (A 5.19)

Prozesse und Verfahren sind etabliert, um Sicherheitsrisiken im Zusammenhang mit Lieferantenprodukten und -diensten zu verwalten. Ein risikoorientierter Ansatz regelt den gesamten Outsourcing-Lebenszyklus: Strategiedefinition, Eignungsprüfung potenzieller Anbieter, vertragliche Gestaltung, operatives Management und geordnete Beendigung. Die Verantwortung für Informationssicherheit verbleibt jederzeit bei der Organisation, unabhängig davon, welche Aktivitäten ausgelagert werden.

3.1 Lieferantentypen & Risikobewertung

Register der Lieferantentypen: Ein Lieferantenregister klassifiziert alle Lieferanten in definierte Kategorien: IKT-Dienstleister, Cloud-Dienstleister, Software- und Hardwarelieferanten, Logistikpartner, Versorgungsunternehmen, Finanzdienstleister und Lieferanten von IKT-Infrastrukturkomponenten. Jeder Eintrag erfasst den Lieferantentyp, die Informationswerte und Systeme, die der Lieferant beeinflussen kann, die Kritikalitätseinstufung und die zuständige interne Ansprechperson.
Informations- & Infrastrukturumfang: Für jede Lieferantenbeziehung werden die spezifischen Informationswerte, IKT-Dienste und die physische Infrastruktur dokumentiert, auf die der Lieferant zugreift, die er überwacht, steuert oder nutzt. Der Zugriff ist auf den für die Leistungserbringung erforderlichen Mindestumfang beschränkt.
Bewertung der Auswirkung von IKT-Komponenten: Von Lieferanten bereitgestellte IKT-Infrastrukturkomponenten und -dienste werden nach ihrer potenziellen Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit klassifiziert. Komponenten, die sensible Daten verarbeiten oder übertragen, erhalten eine höhere Kritikalitätseinstufung und unterliegen strengeren Sicherheitsanforderungen.
Erwartungen an Personal- & physische Sicherheit: Für jede Lieferantenkategorie werden Mindestanforderungen an Personal- und physische Sicherheit definiert. Lieferanten, die sensible Informationen handhaben, erfüllen Standards, die den internen Anforderungen gleichwertig sind, einschließlich Hintergrundüberprüfungen von Schlüsselpersonal, soweit rechtlich zulässig, und angemessener physischer Zugangskontrollen an ihren Standorten.

3.2 Bewertung & Auswahl

Bewertungs- & Auswahlprozess: Lieferanten werden auf Basis der Sensibilität der beteiligten Informationen, Produkte und Dienste bewertet und ausgewählt. Der Bewertungsprozess umfasst Marktanalyse, Kundenreferenzen, Dokumentenprüfung, Zertifizierungen (ISO 27001, SOC 2, C5 oder gleichwertig) und, bei hochkritischen Lieferanten, Sicherheitsbewertungen vor Ort. Bewertungsergebnisse werden im Lieferantenregister mit einer formalen Eignungsfeststellung dokumentiert.
Sicherheitsbewertung von Produkten & Diensten: Vor dem Onboarding werden die Informationssicherheits- und Datenschutzmaßnahmen von Lieferantenprodukten und -diensten bewertet. Die Bewertung verifiziert die Richtigkeit und Vollständigkeit der vom Lieferanten umgesetzten Maßnahmen, mit besonderem Augenmerk auf Maßnahmen zum Schutz der Integrität der Informationsverarbeitung. Ergebnisse werden erfasst und vor Vertragsabschluss geprüft.

3.3 Risikomanagement & Compliance

Lieferantenrisikobewertung: Informationssicherheitsrisiken, die mit jeder Lieferantenbeziehung verbunden sind, werden bewertet und verwaltet, einschließlich Risiken durch potenziell böswilliges Lieferantenpersonal, fehlerhafte oder verwundbare Produkte (einschließlich eingebetteter Softwarekomponenten und Unterkomponenten) und unzureichender Sicherheitspraktiken. Lieferantenrisikobewertungen werden mindestens jährlich und nach wesentlichen Änderungen der Lieferantenbeziehung oder Bedrohungslage aktualisiert.
Compliance-Überwachung: Die Einhaltung etablierter Informationssicherheitsanforderungen wird für jeden Lieferantentyp und jede Zugriffskategorie überwacht. Überwachungsmethoden umfassen Drittaudits, unabhängige Attestierungsberichte (SOC 2, ISO-27001-Zertifikate), Produktvalidierung und periodische Selbstbewertungsfragebögen. Die Überwachungshäufigkeit ist proportional zur Kritikalität der Lieferantenbeziehung.
Behebung von Nichtkonformitäten: Wenn Nichtkonformität eines Lieferanten durch Überwachung, Audit oder auf andere Weise festgestellt wird, wird ein definierter Eskalationsprozess ausgelöst. Der Lieferant erhält eine formale Nichtkonformitätsmitteilung mit spezifischen Behebungsanforderungen und einer Frist. Nicht behobene Nichtkonformitäten werden zur Entscheidung über Risikoakzeptanz, Vertragsverhandlung oder Kündigung an die Geschäftsleitung eskaliert.

3.4 Vorfallbehandlung & Kontinuität

Vorfallbehandlung: Verantwortlichkeiten für die Behandlung von Informationssicherheitsvorfällen sind sowohl für die Organisation als auch für jeden Lieferanten definiert. Lieferantenvereinbarungen spezifizieren Meldefristen, Zusammenarbeitsverfahren während der Behebung und Nachmeldepflichten. Lieferanten melden Sicherheitsvorfälle, die organisatorische Daten betreffen, innerhalb von 24 Stunden nach Entdeckung.
Resilienz & Contingency: Die Lieferantenresilienz wird als Teil des Onboarding-Prozesses bewertet. Wo erforderlich, werden Wiederherstellungs- und Contingency-Maßnahmen vereinbart, um die fortwährende Verfügbarkeit der Lieferanten-Informationsverarbeitung sicherzustellen. Für kritische Lieferanten werden alternative Lieferanten oder interne Ausweichkapazitäten im Voraus identifiziert, um Unterbrechungen zu vermeiden, wenn der Lieferant nicht mehr liefern kann.

3.5 Sensibilisierung & Übergänge

Sensibilisierung & Schulung des Personals: Personen, die mit Lieferantenpersonal interagieren, erhalten Schulungen zu den geltenden Spielregeln, themenspezifischen Richtlinien, Prozessen und erwarteten Verhaltensweisen. Schulungsinhalte sind auf den Lieferantentyp und die Zugriffsebene zugeschnitten. Schulungen werden vor der ersten Interaktion durchgeführt und jährlich aufgefrischt.
Informationsübertragung & Übergänge: Wenn Informationen, Werte oder Verantwortlichkeiten zu oder von einem Lieferanten übertragen werden, wird die Übertragung über einen dokumentierten Übergangsplan gesteuert. Informationssicherheit und Datenschutz werden während des gesamten Übertragungszeitraums aufrechterhalten, einschließlich Zwischenmaßnahmen in Übergangsphasen.

3.6 Sichere Beendigung

Entzug von Zugriffsrechten: Alle dem Lieferanten gewährten Zugriffsrechte werden innerhalb eines Werktages nach Beendigung der Beziehung widerrufen. Der Entzug umfasst logische Zugriffe (Konten, VPN, API-Schlüssel) und physischen Zugang (Ausweise, Schlüssel, Tokens). Der Abschluss wird durch ein Zugriffsaudit verifiziert.
Informationsbehandlung bei Beendigung: Bei Beendigung werden alle vom Lieferanten gehaltenen organisatorischen Informationen in einem vereinbarten Format zurückgegeben oder sicher vernichtet. Der Lieferant stellt eine schriftliche Vernichtungsbestätigung mit einer Beschreibung der verwendeten Methode bereit.
Eigentum an geistigem Eigentum: Das Eigentum an geistigem Eigentum, das während der Beauftragung entwickelt wurde, wird in der Lieferantenvereinbarung bestimmt. Bei Beendigung werden alle IP-Lieferungen, Quellcode und Dokumentation gemäß den Vereinbarungen an die Organisation übertragen oder entsorgt.
Informationsportabilität: Vereinbarungen enthalten Bestimmungen zur Informationsportabilität im Falle eines Lieferantenwechsels oder einer Insourcing-Entscheidung. Datenformate, Exportverfahren und Fristen werden festgelegt, um einen nahtlosen Übergang zu einem alternativen Lieferanten oder in den internen Betrieb zu ermöglichen.
Aufbewahrung von Aufzeichnungen: Aufbewahrungsfristen und Handhabungsverfahren für während der Lieferantenbeziehung erzeugte Aufzeichnungen sind definiert. Bei Beendigung werden Aufzeichnungen an die Organisation übergeben oder gemäß den vereinbarten Zeiträumen und rechtlichen/regulatorischen Anforderungen vom Lieferanten aufbewahrt.
Rückgabe von Werten: Alle organisatorischen Werte (Hardware, Tokens, Dokumentation, Medien), die der Lieferant hält, werden innerhalb des in der Vereinbarung festgelegten Zeitraums zurückgegeben. Eine Rückgabecheckliste verifiziert die Vollständigkeit.
Sichere Entsorgung: Informationen und zugehörige Werte, die nicht zurückgegeben werden, werden mit Methoden sicher entsorgt, die der Klassifizierungsstufe der Informationen entsprechen. Der Lieferant stellt für jeden Posten ein Entsorgungszertifikat bereit.
Fortbestehende Vertraulichkeit: Vertraulichkeitspflichten überdauern die Beendigung der Lieferantenbeziehung. Geheimhaltungsvereinbarungen bleiben für den im Vertrag festgelegten Zeitraum in Kraft, typischerweise mindestens drei Jahre nach Beendigung.

3.7 Lieferanten mit begrenztem Einfluss

Auf Leitlinien basierende Auswahl: Wo die Organisation einem Lieferanten keine direkten Sicherheitsanforderungen auferlegen kann (z. B. Versorgungsunternehmen, große Plattformanbieter), berücksichtigen Lieferantenauswahlentscheidungen die in dieser Richtlinie etablierten Sicherheitsleitlinien. Verfügbare Sicherheitsinformationen, öffentliche Auditberichte und bekannte Schwachstellen des Lieferanten werden vor der Beauftragung bewertet.
Kompensierende Maßnahmen: Für Lieferanten, bei denen keine direkten Anforderungen gestellt werden können, werden auf Grundlage einer Risikobewertung kompensierende Maßnahmen umgesetzt. Diese Maßnahmen mildern das Restrisiko aus der Sicherheitslage des Lieferanten und werden im Risikoregister dokumentiert.

4. Vertragliche Sicherheitsanforderungen (A 5.20)

Lieferantenvereinbarungen werden dokumentiert, um sicherzustellen, dass beide Parteien ein klares Verständnis ihrer Pflichten in Bezug auf Informationssicherheit haben. Für alle Lieferantenvereinbarungen wird eine standardisierte Vertragsvorlage verwendet, die Basissicherheitsklauseln enthält, die auf Basis des Risikoprofils und der Kritikalität der spezifischen Lieferantenbeziehung angepasst werden. Verträge werden vor der Unterzeichnung von Vertretern der Informationssicherheit, der Rechtsabteilung und der Beschaffung geprüft.

4.1 Information & Klassifizierung

Beschreibung der Information & Zugriffsmethoden: Jede Vereinbarung beschreibt die spezifischen bereitzustellenden oder zugegriffenen Informationen und die Methoden der Bereitstellung oder des Zugriffs. Datenflüsse werden dokumentiert, einschließlich Schnittstellen, Protokolle und Übertragungsmechanismen.
Informationsklassifizierung: Vereinbarungen verpflichten den Lieferanten, Informationen gemäß dem Klassifizierungsschema der Organisation zu behandeln. Klassifizierte Informationen werden vor der Übertragung gekennzeichnet und während ihres gesamten Lebenszyklus entsprechend der Klassifizierungsstufe gehandhabt.
Klassifizierungs-Mapping: Wenn der Lieferant ein eigenes Klassifizierungsschema verwendet, wird ein formales Mapping zwischen den beiden Schemata erstellt und in der Vereinbarung dokumentiert, um eine einheitliche Handhabung der Informationen zu gewährleisten.

4.2 Recht & Compliance

Rechtliche & regulatorische Anforderungen: Vereinbarungen spezifizieren geltende rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen, einschließlich Datenschutzpflichten, Umgang mit personenbezogenen Daten (PII), Rechten des geistigen Eigentums und Urheberrechtsbestimmungen. Die Vereinbarung beschreibt, wie die Einhaltung sichergestellt und verifiziert wird.
Regeln zur akzeptablen Nutzung: Regeln zur akzeptablen und nicht akzeptablen Nutzung der Informationen und zugehörigen Werte der Organisation sind in der Vereinbarung definiert. Der Lieferant erkennt diese Regeln an und stellt sicher, dass sein Personal informiert ist.

4.3 Sicherheitsmaßnahmenpflichten

Kontrollpflichten: Jede Vereinbarung spezifiziert die Sicherheitsmaßnahmen, die beide Parteien umsetzen, einschließlich Zugriffskontrolle, Leistungsüberprüfung, Überwachung, Berichterstattung und Auditierung. Die Verpflichtung des Lieferanten, den Informationssicherheitsanforderungen der Organisation zu entsprechen, ist ausdrücklich und vertraglich bindend festgelegt.
Sicherheit der IKT-Infrastruktur: Mindestanforderungen an die Informationssicherheit der IKT-Infrastruktur des Lieferanten werden für jeden Informations- und Zugriffskategorie-Typ definiert. Diese Anforderungen dienen als Grundlage für individuelle Vereinbarungen und werden auf Basis von Geschäftsbedarf und Risikokriterien skaliert. Für externe kryptographische Dienstleister (Zertifizierungsstellen, HSM-Anbieter, Cloud-KMS) adressieren spezifische SLA-Bestimmungen Schlüsselverfügbarkeit, Escrow-Vereinbarungen und Reaktionszeiten bei Vorfällen.
Personalautorisierung: Verfahren zur Autorisierung und zum Widerruf der Autorisierung von Lieferantenpersonal für die Nutzung organisatorischer Informationen und Werte sind definiert. Eine explizite Liste autorisierter Lieferantenmitarbeiter wird geführt und vierteljährlich überprüft. Änderungen an der Liste der autorisierten Mitarbeiter erfordern eine vorherige Benachrichtigung.
Personalüberprüfung: Soweit rechtlich zulässig, verpflichten Vereinbarungen zur Hintergrundüberprüfung von Lieferantenpersonal, das auf sensible Informationen zugreift. Die Vereinbarung definiert die Überprüfungsverantwortlichkeiten, Verifizierungsverfahren und Meldepflichten, wenn eine Überprüfung nicht abgeschlossen wurde oder die Ergebnisse Bedenken aufwerfen.
Physische Sicherheitsmaßnahmen: Physische Sicherheitsmaßnahmen an den Lieferantenstandorten sind der Klassifizierungsstufe der verarbeiteten Informationen angemessen. Anforderungen umfassen Zugangskontrolle, Umweltschutz, Besuchermanagement und Handhabung von Medien.
Schutz der Informationsübertragung: Maßnahmen zum Schutz von Informationen bei physischer und logischer Übertragung sind spezifiziert, einschließlich Verschlüsselungsstandards, sicherer Transportmethoden und Chain-of-Custody-Dokumentation.

4.4 Audit, Vorfälle & Schulung

Klauseln zum Vorfallmanagement: Vereinbarungen definieren Anforderungen an das Vorfallmanagement, einschließlich verpflichtender Meldung innerhalb von 24 Stunden nach Entdeckung, Zusammenarbeitsverfahren während der Vorfallbehebung, Beweissicherungspflichten und Nachmeldung.
Schulungs- & Sensibilisierungsanforderungen: Vereinbarungen verpflichten den Lieferanten sicherzustellen, dass sein Personal Schulungen zu den spezifischen Verfahren und Informationssicherheitsanforderungen der Organisation absolviert, einschließlich Incident-Response-Verfahren und Autorisierungsprozessen.
Drittparteien-Attestierungen: Vereinbarungen verpflichten den Lieferanten, Nachweise und Gewährleistungen über anerkannte Drittparteien-Attestierungsmechanismen (ISO-27001-Zertifizierung, SOC-2-Typ-II-Berichte, C5-Attestierung) bereitzustellen, die relevante Informationssicherheitsanforderungen abdecken. Unabhängige Berichte über die Wirksamkeit der Maßnahmen werden mindestens jährlich bereitgestellt.
Auditrecht: Die Organisation behält das Recht, die Prozesse und Maßnahmen des Lieferanten im Zusammenhang mit der Vereinbarung entweder direkt oder durch einen unabhängigen Auditor zu auditieren. Auditumfang, -häufigkeit und -ankündigungsanforderungen sind in der Vereinbarung spezifiziert.
Periodische Wirksamkeitsberichte: Der Lieferant ist verpflichtet, periodische Berichte über die Wirksamkeit der Maßnahmen zu liefern. In den Berichten identifizierte relevante Probleme werden innerhalb vereinbarter Fristen behandelt, wobei Behebungspläne bis zum Abschluss nachverfolgt werden.

4.5 Unterauftragsvergabe & Behebung

Bestimmungen zur Unterauftragsvergabe: Vereinbarungen enthalten Bestimmungen zur Unterauftragsvergabe. Unterlieferanten sind an dieselben Sicherheitspflichten gebunden wie der Primärlieferant. Der Lieferant führt eine aktuelle Liste der Unterlieferanten und benachrichtigt die Organisation vor jeder Änderung. Vor der Beauftragung neuer Unterlieferanten für Dienste mit organisatorischen Daten ist eine vorherige Genehmigung erforderlich.
Schadenersatz & Behebung: Vereinbarungen definieren Schadenersatz und Behebungsmaßnahmen bei Nichterfüllung der Sicherheitsanforderungen. Strafklauseln sind proportional zur Kritikalität des Dienstes und zur Schwere des Verstoßes. Behebungsfristen sind für verschiedene Schweregradkategorien spezifiziert.
Mängelbeseitigung & Konfliktlösung: Ein strukturierter Mängelbeseitigungsprozess mit definierten Schweregradstufen und Reaktionszeiten ist etabliert. Konfliktlösungsverfahren umfassen Eskalationspfade, Mediationsbestimmungen und, als letzte Option, Schiedsklauseln.
Sicherheitsansprechpersonen: Die Vereinbarung identifiziert relevante Kontakte, einschließlich einer benannten Ansprechperson für Informationssicherheitsfragen sowohl auf der Lieferanten- als auch auf der Organisationsseite. Kontaktdaten werden aktuell gehalten und vierteljährlich überprüft.

4.6 Kontinuität & Wiederherstellung

Sicherungsbestimmungen: Vereinbarungen verpflichten den Lieferanten, Sicherungen im Einklang mit den Anforderungen der Organisation hinsichtlich Häufigkeit, Typ und Speicherort bereitzustellen. Sicherungsverfahren sind dokumentiert und die Wiederherstellung wird regelmäßig getestet.
Disaster-Recovery-Standort: Für kritische Dienste verpflichten Vereinbarungen zu einem Ausweichstandort (Disaster-Recovery-Standort), der nicht denselben Bedrohungen unterliegt wie der Primärstandort. Fallback-Maßnahmen sind für den Fall definiert, dass primäre Maßnahmen ausfallen.
Änderungsmanagement: Vereinbarungen enthalten einen Änderungsmanagement-Prozess, der die rechtzeitige Benachrichtigung der Organisation über alle den Dienst betreffenden Änderungen sicherstellt. Die Organisation behält sich das Recht vor, Änderungen abzulehnen, die die Informationssicherheit negativ beeinflussen.

4.7 Kündigungsklauseln

Kündigungsklauseln: Vereinbarungen enthalten Kündigungsklauseln, die die Verwaltung von Aufzeichnungen, die Rückgabe von Werten, die sichere Entsorgung von Informationen und zugehörigen Werten sowie fortbestehende Vertraulichkeitspflichten abdecken. Exit-Fristen und Pflichten zur Übergangsunterstützung sind spezifiziert.
Sichere Datenvernichtung: Die Vereinbarung definiert eine Methode, mit der der Lieferant organisatorische Informationen sicher vernichtet, sobald sie nicht mehr benötigt werden. Die Vernichtung wird zertifiziert, und die Methode entspricht der Klassifizierungsstufe der Daten.
Übergangsunterstützung: Am Vertragsende leistet der Lieferant Übergangsunterstützung an einen anderen Lieferanten oder an die Organisation selbst. Ein Übergangsplan mit Meilensteinen, Lieferungen und Abnahmekriterien wird vor Inkrafttreten der Beendigung vereinbart.

4.8 Vereinbarungsregister & Überprüfung

Vereinbarungsregister: Ein zentrales Register aller Vereinbarungen mit externen Parteien (Verträge, Absichtserklärungen, Vereinbarungen zum Informationsaustausch, NDAs) wird geführt. Das Register verfolgt, wo organisatorische Informationen geteilt oder verarbeitet werden, und wird mindestens halbjährlich überprüft.
Regelmäßige Vereinbarungsüberprüfung: Vereinbarungen mit externen Parteien werden mindestens jährlich überprüft, validiert und aktualisiert, um sicherzustellen, dass sie weiterhin erforderlich, zweckmäßig und mit aktuellen Informationssicherheitsklauseln versehen sind. Veraltete oder unnötige Vereinbarungen werden beendet.

5. Management der IKT-Lieferkette (A 5.21)

IKT-Produkte und -Dienste werden nur aus seriösen Quellen mit dokumentierten Qualitätssicherungs- und Sicherheitspraktiken bezogen. Die Organisation arbeitet mit ihren Lieferanten zusammen, um die Struktur der IKT-Lieferkette zu verstehen, und identifiziert Angelegenheiten, die die bereitgestellten Produkte und Dienste wesentlich beeinflussen. Sicherheitsanforderungen werden über die gesamte Lieferkette hinweg weitergegeben, indem Lieferanten verpflichtet werden, gleichwertige Pflichten an ihre Unterlieferanten weiterzugeben. Die IKT-Lieferkette umfasst Cloud-Dienste, IoT-Geräte, Hosting-Dienste und alle eingebetteten Hardware- und Softwarekomponenten. Wo der EU Cyber Resilience Act (CRA) anwendbar ist, stellen Lieferanten von Produkten mit digitalen Elementen Konformitätsdokumentation bereit, unterhalten Schwachstellen-Handhabungsprozesse und liefern Sicherheitsupdates für den definierten Supportzeitraum.

5.1 Beschaffung & Weitergabe in der Lieferkette

Sicherheitsanforderungen bei der Beschaffung: Informationssicherheitsanforderungen werden für jede Beschaffung von IKT-Produkten oder -Diensten definiert. Die Anforderungen sind proportional zur Kritikalität des Produkts oder Dienstes und decken Vertraulichkeits-, Integritäts- und Verfügbarkeitsaspekte ab. Beschaffungsvorlagen enthalten einen verpflichtenden Abschnitt zu Informationssicherheitsanforderungen.
Weitergabe durch Dienstlieferanten: IKT-Dienstleister werden vertraglich verpflichtet, die Sicherheitsanforderungen der Organisation über die Lieferkette hinweg weiterzugeben, wenn sie Teile des Dienstes in Unterauftrag vergeben. Die Compliance der Unterauftragnehmer wird über das Attestierungs- oder Auditprogramm des Primärlieferanten verifiziert.
Weitergabe durch Produktlieferanten: IKT-Produktlieferanten geben angemessene Sicherheitspraktiken über die Lieferkette hinweg weiter für Produkte, die Komponenten von anderen Lieferanten enthalten, einschließlich Unterauftragnehmern für Softwareentwicklung und Lieferanten von Hardwarekomponenten. Nachweise der Weitergabe werden während des Bewertungsprozesses angefordert.

5.2 Transparenz & Komponentendokumentation

Software Bill of Materials (SBOM): IKT-Produktlieferanten stellen Informationen bereit, die die in ihren Produkten verwendeten Softwarekomponenten beschreiben, einschließlich eines SBOM, sofern verfügbar. Das SBOM wird auf bekannte Schwachstellen geprüft und als Teil der Produktsicherheitsdokumentation gepflegt. Für Produkte, die unter den EU Cyber Resilience Act fallen, ist ein SBOM eine verpflichtende Lieferung.
Dokumentation von Sicherheitsfunktionen: IKT-Produktlieferanten stellen Dokumentation bereit, die die umgesetzten Sicherheitsfunktionen ihrer Produkte und die für den sicheren Betrieb erforderliche Konfiguration beschreibt. Diese Dokumentation wird beim Onboarding geprüft und in operativen Sicherheitsverfahren referenziert.
Informationsaustausch in der Lieferkette: Regeln für den Austausch von Informationen über die Lieferkette, potenzielle Probleme und Kompromittierungen werden zwischen der Organisation und ihren Lieferanten festgelegt. Kommunikationskanäle und Eskalationsverfahren für Lieferkettenvorfälle sind definiert.

5.3 Validierung & Integrität

Compliance-Validierung: Ein Überwachungsprozess validiert, dass gelieferte IKT-Produkte und -Dienste den genannten Sicherheitsanforderungen entsprechen. Validierungsmethoden umfassen Penetrationstests, unabhängige Sicherheitsbewertungen und die Überprüfung von Drittparteien-Attestierungen für den Informationssicherheitsbetrieb des Lieferanten.
Nachverfolgung kritischer Komponenten: Ein Prozess identifiziert und dokumentiert Produkt- oder Dienstkomponenten, die für die Aufrechterhaltung der Funktionsfähigkeit kritisch sind. Diese Komponenten erhalten verstärkte Prüfung und Nachverfolgung, insbesondere wenn sie außerhalb der Organisation entwickelt werden oder wenn der Lieferant die Komponentenentwicklung an andere Parteien auslagert.
Rückverfolgbarkeit in der Lieferkette: Es wird sichergestellt, dass kritische Komponenten und ihre Herkunft über die gesamte Lieferkette hinweg rückverfolgt werden können. Rückverfolgbarkeitsaufzeichnungen werden für alle als hochkritisch klassifizierten Komponenten geführt.
Funktionsintegrität: Gelieferte IKT-Produkte werden daraufhin überprüft, dass sie wie erwartet funktionieren, ohne unerwartete oder unerwünschte Funktionen. Verifizierungsmethoden umfassen Sicherheitstests, Code-Review für individuell entwickelte Komponenten und Vergleich mit der dokumentierten Spezifikation.
Manipulationsschutz & -erkennung: Prozesse stellen sicher, dass Komponenten von Lieferanten echt und unverändert gegenüber ihrer Spezifikation sind. Zu den Maßnahmen gehören Anti-Manipulations-Etiketten, kryptographische Hash-Verifizierung, Validierung digitaler Signaturen und die Überwachung auf außerhalb der Spezifikation liegende Leistung. Der Manipulationsschutz wird über mehrere Phasen des Systementwicklungslebenszyklus hinweg adressiert.
Sicherheitszertifizierung: Für kritische IKT-Produkte wird durch formale Zertifizierungs- oder Bewertungsschemata wie das Common Criteria Recognition Arrangement, BSI-Zertifizierung oder gleichwertige Frameworks sichergestellt, dass Produkte die erforderlichen Sicherheitsniveaus erreichen.

5.4 Komponenten-Lebenszyklusmanagement

Komponenten-Lebenszyklusmanagement: Spezifische Prozesse verwalten den Lebenszyklus und die Verfügbarkeit von IKT-Komponenten und die damit verbundenen Sicherheitsrisiken. Dies umfasst die Planung für Komponenten, die möglicherweise nicht mehr verfügbar sind, weil ein Lieferant den Betrieb einstellt oder ein Produkt aufgrund technologischer Veränderungen abkündigt. Alternative Lieferanten werden im Voraus identifiziert, und der Prozess zur Übertragung von Software und Kompetenz an einen alternativen Lieferanten ist dokumentiert.

6. Überwachung, Überprüfung & Änderungsmanagement (A 5.22)

Lieferantendienste werden kontinuierlich überwacht und periodisch überprüft, um sicherzustellen, dass Informationssicherheits-Vertragsbedingungen eingehalten werden, Vorfälle und Probleme ordnungsgemäß bearbeitet werden und Änderungen bei Lieferantendiensten oder Geschäftsstatus die Dienstleistung nicht beeinträchtigen. Eine benannte Lieferantenbeziehungs-Managerin bzw. ein benannter Lieferantenbeziehungs-Manager koordiniert die Überwachungsaktivitäten und berichtet an die Geschäftsleitung. Ausreichende technische Fähigkeiten und Ressourcen stehen zur Verifizierung der Einhaltung der Vertragsanforderungen zur Verfügung. Das Outsourcing-Register konsolidiert alle aktiven Beziehungen mit Status, Leistungsmetriken und Risikobewertungen.

6.1 Zu prüfende Änderungskategorien

Dienstverbesserungen: Verbesserungen der aktuellen Dienste des Lieferanten werden vor der Umsetzung auf Sicherheitsauswirkungen bewertet. Der Lieferant stellt eine vorherige Benachrichtigung und Dokumentation aller geplanten Verbesserungen bereit.
Neue Anwendungen & Systeme: Die Entwicklung neuer Anwendungen und Systeme durch den Lieferanten unterliegt dem Änderungsprüfprozess der Organisation. Sicherheitsanforderungen werden vor Beginn der Entwicklung kommuniziert.
Änderungen an Richtlinien & Verfahren: Änderungen oder Aktualisierungen der Sicherheitsrichtlinien und -verfahren des Lieferanten werden auf potenzielle Auswirkungen auf die Sicherheitslage der Organisation überprüft. Wesentliche Änderungen erfordern eine vorherige Genehmigung.
Änderungen an Sicherheitsmaßnahmen: Neue oder geänderte Maßnahmen, die zur Behebung von Vorfällen oder zur Verbesserung der Informationssicherheit eingeführt werden, werden auf Übereinstimmung mit den Sicherheitsanforderungen der Organisation bewertet.
Netzwerkänderungen: Änderungen und Erweiterungen der Netzwerke des Lieferanten, einschließlich solcher, die die Konnektivität zur Organisation beeinflussen, unterliegen einer vorherigen Benachrichtigung und Sicherheitsprüfung.
Neue Technologien: Die Einführung neuer Technologien durch den Lieferanten wird auf potenzielle Sicherheitsimplikationen bewertet, einschließlich Änderungen des Risikoprofils und der Kompatibilität mit der Infrastruktur der Organisation.
Produktversionsänderungen: Die Einführung neuer Produkte oder neuerer Versionen und Releases durch den Lieferanten wird auf Sicherheitsauswirkungen geprüft, einschließlich der potenziellen Einführung neuer Schwachstellen oder Änderungen an Sicherheitskonfigurationen.
Änderungen an Entwicklungswerkzeugen: Neue vom Lieferanten verwendete Entwicklungswerkzeuge und -umgebungen werden auf Sicherheits-Compliance bewertet, insbesondere wenn sie organisatorische Daten verarbeiten oder speichern.
Standortverlagerung: Änderungen am physischen Standort der Lieferanten-Dienststätten werden auf Einhaltung der Datenstandort-Anforderungen, physischen Sicherheitsstandards und jurisdiktionellen Pflichten bewertet.
Änderungen bei Unterlieferanten: Änderungen bei den Unterlieferanten des Lieferanten unterliegen einer vorherigen Benachrichtigung. Die Organisation überprüft die Sicherheitslage neuer Unterlieferanten vor der Genehmigung.
Weitere Unterauftragsvergabe: Die Unterauftragsvergabe von Diensten an zusätzliche Lieferanten erfordert eine vorherige schriftliche Genehmigung. Die Organisation bewertet die Sicherheitsauswirkungen und stellt sicher, dass der neue Unterauftragnehmer gleichwertige Sicherheitsanforderungen erfüllt.

6.2 Laufende Überwachung & Überprüfung

Service-Level-Überwachung: Die Dienstleistungsniveaus werden gegen die vereinbarten Metriken überwacht. Abweichungen lösen einen dokumentierten Ausnahmeprozess mit Ursachenanalyse und Planung von Korrekturmaßnahmen aus.
Serviceberichte & Fortschrittsgespräche: Vom Lieferanten erstellte Serviceberichte werden geprüft. Regelmäßige Fortschrittsgespräche werden gemäß der Vereinbarung durchgeführt, mit dokumentierten Protokollen und Aktionspunkten.
Lieferantenaudits: Audits von Lieferanten und Unterlieferanten werden periodisch durchgeführt, ergänzt durch die Überprüfung unabhängiger Auditorberichte, sofern verfügbar. Feststellungen werden über den Korrekturmaßnahmenprozess bis zum Abschluss nachverfolgt.
Austausch von Vorfallinformationen: Informationen über Informationssicherheitsvorfälle werden gemäß der Vereinbarung zwischen der Organisation und dem Lieferanten ausgetauscht. Vorfalltrends werden in regelmäßigen Service-Meetings überprüft.
Prüfung von Audit-Trails: Audit-Trails des Lieferanten und Aufzeichnungen über Sicherheitsereignisse, Betriebsprobleme, Ausfälle und Dienstunterbrechungen werden geprüft. Ursachenanalysen werden für signifikante Ereignisse angefordert.
Incident Response: Identifizierte Informationssicherheitsereignisse oder -vorfälle im Zusammenhang mit Lieferantendiensten werden über den Vorfallmanagement-Prozess der Organisation behandelt und verwaltet, mit Lieferantenkoordination wie in der Vereinbarung definiert.
Schwachstellenmanagement: Informationssicherheitsschwachstellen in Produkten und Diensten des Lieferanten werden identifiziert, bewertet und verwaltet. Kritische Schwachstellen werden über den Schwachstellenmanagement-Prozess der Organisation mit definierten Behebungsfristen eskaliert.
Sicherheitsüberprüfung von Unterlieferanten: Die Informationssicherheitsaspekte der Beziehungen des Lieferanten zu seinen eigenen Lieferanten werden geprüft. Die Organisation verifiziert, dass die Sicherheitsstandards der Unterlieferanten denen entsprechen, die vom Primärlieferanten gefordert werden.
Zusicherung der Dienstkontinuität: Der Lieferant unterhält eine ausreichende Dienstleistungsfähigkeit sowie umsetzbare Pläne, um nach wesentlichen Ausfällen oder Katastrophen die vereinbarten Dienstkontinuitätsniveaus zu gewährleisten. Business-Continuity-Pläne und Disaster-Recovery-Fähigkeiten werden jährlich überprüft.
Compliance-Verantwortung: Lieferanten benennen konkrete Personen, die für die Überprüfung der Einhaltung und die Durchsetzung der Anforderungen der Vereinbarung verantwortlich sind. Kontaktdaten werden aktuell gehalten und der Organisation mitgeteilt.
Bewertung des Sicherheitsniveaus: Die Angemessenheit des Informationssicherheitsniveaus des Lieferanten wird regelmäßig durch eine Kombination aus Selbstbewertungen, Drittparteien-Attestierungen und direkten Audits bewertet. Ergebnisse werden im Lieferantenregister erfasst und fließen in die jährliche Neubewertung des Lieferantenrisikos ein.

7. Cloud-Dienste (A 5.23)

Die Nutzung von Cloud-Diensten beinhaltet eine geteilte Verantwortung für Informationssicherheit zwischen dem Cloud-Dienstleister und der Organisation. Die Verantwortlichkeiten beider Parteien sind klar definiert und dokumentiert. Vor der Einführung eines Cloud-Dienstes wird eine Sicherheitsanalyse durchgeführt, die das Dienstmodell (IaaS, PaaS, SaaS), das Bereitstellungsmodell (öffentlich, privat, hybrid) und die anwendbare Rechtsordnung bewertet. Cloud-Dienstvereinbarungen werden geprüft, um sicherzustellen, dass sie die Anforderungen der Organisation an Vertraulichkeit, Integrität, Verfügbarkeit und Informationshandhabung mit angemessenen Service-Level-Zielen und Qualitätszielen adressieren.

7.1 Governance von Cloud-Diensten

Informationssicherheitsanforderungen: Alle relevanten Informationssicherheitsanforderungen, die mit jedem Cloud-Dienst verbunden sind, werden dokumentiert, einschließlich Datenklassifizierungsbeschränkungen, regulatorischer Pflichten und technischer Sicherheitsmaßnahmen. Anforderungen werden vor der Beschaffung des Dienstes definiert und in die Bewertungskriterien aufgenommen.
Auswahlkriterien & Nutzungsumfang: Auswahlkriterien für Cloud-Dienste decken Sicherheitszertifizierungen (ISO 27001, SOC 2, C5), Datenstandortoptionen, Verschlüsselungsfähigkeiten, Zugriffskontrollfunktionen, API-Sicherheit und Incident-Response-Reife ab. Der zulässige Nutzungsumfang für jeden Cloud-Dienst wird definiert und an die Nutzer kommuniziert.
Cloud-Rollen & -Verantwortlichkeiten: Rollen und Verantwortlichkeiten für die Nutzung und Verwaltung jedes Cloud-Dienstes sind dokumentiert. Die Zuordnung umfasst Dienstadministration, Sicherheitskonfiguration, Zugriffsmanagement, Überwachung, Vorfallbehandlung und Kostenmanagement.
Shared-Responsibility-Modell: Für jeden Cloud-Dienst dokumentiert eine Shared-Responsibility-Matrix, welche Informationssicherheitsmaßnahmen vom Cloud-Dienstleister und welche von der Organisation verwaltet werden. Die Matrix wird bei jeder Vertragsverlängerung und nach wesentlichen Dienstveränderungen überprüft.
Sicherheitsfähigkeiten des Anbieters: Die Organisation identifiziert und nutzt die von jedem Cloud-Dienstleister bereitgestellten Informationssicherheitsfähigkeiten, einschließlich Verschlüsselung, Identitätsmanagement, Protokollierung, Überwachung und Bedrohungserkennung. Die Konfiguration ist auf die Sicherheitsanforderungen der Organisation abgestimmt.
Assurance-Mechanismen: Assurance über die Sicherheitsmaßnahmen des Cloud-Anbieters wird durch anerkannte Zertifizierungs-Frameworks (C5, ISO 27001, SOC 2 Typ II), vom Cloud-Dienstleister bereitgestellte Compliance-Dashboards und, wo erforderlich, unabhängige Drittbewertungen erlangt.
Multi-Cloud-Management: Wenn mehrere Cloud-Dienste von verschiedenen Anbietern genutzt werden, verwaltet ein konsistenter Ansatz Maßnahmen, Schnittstellen und Änderungen über alle Dienste hinweg. Integrationspunkte werden dokumentiert und Sicherheitskonfigurationen werden harmonisiert, um Lücken zwischen Anbieterumgebungen zu vermeiden.
Cloud-Vorfallverfahren: Verfahren zur Behandlung von Informationssicherheitsvorfällen, die im Zusammenhang mit Cloud-Diensten auftreten, sind dokumentiert. Die Verfahren definieren Kommunikationskanäle mit dem Anbieter, Schritte zur Beweissicherung, forensische Unterstützungsarrangements und Meldepflichten.
Laufendes Cloud-Risikomanagement: Die Organisation überwacht, überprüft und bewertet die fortlaufende Nutzung von Cloud-Diensten zur Steuerung von Informationssicherheitsrisiken. Überprüfungen umfassen Bewertungen der Sicherheitslage, Analysen der Dienstleistungen und mindestens jährliche Verifizierung des Compliance-Status.
Exit-Strategie: Jeder Cloud-Dienst verfügt über eine dokumentierte Exit-Strategie, die Datenexportverfahren, Formatspezifikationen, Terminanforderungen, Löschbestätigung und den Übergang zu einem alternativen Anbieter oder zu interner Infrastruktur abdeckt. Exit-Strategien werden periodisch auf Umsetzbarkeit getestet. Das Konzentrationsrisiko wird bewertet, um kritische Abhängigkeit von einem einzelnen Anbieter zu vermeiden.

7.2 Pflichten der Cloud-Dienstleister

Architekturstandards: Cloud-Dienstleister liefern Lösungen auf Basis branchenweit akzeptierter Standards für Architektur und Infrastruktur. Die Einhaltung anerkannter Frameworks wird durch Zertifizierung oder unabhängige Bewertung verifiziert.
Zugriffskontrollen: Die Zugriffskontrollen des Cloud-Dienstes werden so konfiguriert, dass sie den Anforderungen der Organisation entsprechen, einschließlich Multi-Faktor-Authentifizierung, rollenbasierter Zugriffskontrolle, Zuweisung des geringsten Privilegs und Sitzungsmanagement. Administrativer Zugriff ist eingeschränkt und wird protokolliert.
Malware-Schutz: Der Cloud-Dienstleister setzt dem Dienstmodell angemessene Malware-Überwachungs- und Schutzlösungen um. Bei IaaS setzt die Organisation ihren eigenen Endpunktschutz auf bereitgestellten Ressourcen ein.
Datenstandort: Sensible Informationen der Organisation werden nur an genehmigten Standorten innerhalb definierter geografischer Regionen oder Rechtsordnungen verarbeitet und gespeichert. Anforderungen an den Datenstandort sind in der Vereinbarung spezifiziert und werden durch technische Maßnahmen oder Anbieterattestierung verifiziert.
Dedizierte Vorfallunterstützung: Der Cloud-Dienstleister leistet im Falle eines Informationssicherheitsvorfalls in der Cloud-Umgebung dedizierte Unterstützung. Die Unterstützung umfasst eine benannte Sicherheitskontaktperson, definierte Reaktionszeiten und Zusammenarbeitsverfahren für forensische Untersuchungen.
Governance der Unterauftragsvergabe: Die Sicherheitsanforderungen der Organisation bleiben erhalten, wenn Cloud-Dienste weiter an externe Lieferanten untervergeben werden. Die Vereinbarung legt fest, ob Unterauftragsvergabe zulässig ist und, wenn ja, unter welchen Bedingungen. Wo erforderlich, ist die Unterauftragsvergabe untersagt.
Unterstützung bei digitalen Beweisen: Der Cloud-Dienstleister unterstützt die Organisation bei der Sammlung digitaler Beweise unter Berücksichtigung der Gesetze und Vorschriften für digitale Beweise in den geltenden Rechtsordnungen. Beweissicherungsverfahren und Zugriffsmechanismen sind in der Vereinbarung definiert.
Exit-Unterstützung & Dienstkontinuität: Der Cloud-Dienstleister leistet angemessene Unterstützung und erhält die Dienstverfügbarkeit für einen angemessenen Übergangszeitraum aufrecht, wenn die Organisation den Dienst beenden möchte. Mindestübergangszeiträume sind in der Vereinbarung spezifiziert.
Sicherung & Wiederherstellung: Der Cloud-Dienstleister liefert die erforderliche Sicherung von Daten und Konfigurationsinformationen und verwaltet Sicherungen sicher. Sicherungsumfang, -häufigkeit und -aufbewahrung sind auf die Anforderungen der Organisation abgestimmt. Die Wiederherstellungsfähigkeit wird mindestens jährlich getestet.
Rückgabe von Daten & Konfiguration: Der Cloud-Dienstleister gibt Informationen wie Konfigurationsdateien, Quellcode und Daten, die der Organisation gehören, auf Anfrage während der Diensterbringung oder bei Beendigung zurück. Rückgabeformate und -verfahren sind in der Vereinbarung spezifiziert.

7.3 Anforderungen zur Änderungsmeldung

Infrastrukturänderungen: Der Cloud-Dienstleister benachrichtigt die Organisation im Voraus über Änderungen an der technischen Infrastruktur, die das Cloud-Dienstangebot beeinflussen, einschließlich Verlagerung, Rekonfiguration oder Änderungen an Hardware oder Software. Der Benachrichtigungszeitraum und der Genehmigungsmechanismus sind in der Vereinbarung definiert.
Jurisdiktionsänderungen: Die Verarbeitung oder Speicherung von Informationen in einer neuen geografischen oder rechtlichen Jurisdiktion erfordert eine vorherige Benachrichtigung und ausdrückliche Genehmigung der Organisation. Die Sicherheits- und Compliance-Implikationen der Jurisdiktionsänderung werden vor der Genehmigung bewertet.
Änderungen bei Unterauftragnehmern: Der Cloud-Dienstleister benachrichtigt die Organisation vor der Nutzung neuer oder der Änderung bestehender Unterauftragnehmer für die Erbringung von Cloud-Diensten. Die Organisation prüft die Sicherheitslage der neuen Partei vor der Genehmigung.

Die Organisation pflegt engen Kontakt zu ihren Cloud-Dienstleistern. Diese Kontakte ermöglichen den gegenseitigen Austausch von Informationen über Informationssicherheit bei der Nutzung von Cloud-Diensten, einschließlich Mechanismen, mit denen beide Parteien Dienstmerkmale überwachen und Versäumnisse bei der Erfüllung vereinbarter Dienstziele melden können.

8. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, die Outsourcing-Strategie und Risikoakzeptanzentscheidungen für Lieferantenbeziehungen. Stellt Ressourcen für das Lieferanten-Sicherheitsmanagement bereit.
Informationssicherheitsbeauftragte/r (ISB): Definiert Informationssicherheitsanforderungen für Lieferantenvereinbarungen, führt oder koordiniert Sicherheitsbewertungen von Lieferanten durch, prüft Auditergebnisse und berät zu Risikobehandlungsentscheidungen im Zusammenhang mit Lieferanten.
Lieferantenbeziehungs-Manager/in: Pflegt das Lieferanten- und Outsourcing-Register, koordiniert laufende Überwachungsaktivitäten, verwaltet den Lebenszyklus von Vereinbarungen und erstellt regelmäßige Lieferantenstatusberichte für die Geschäftsleitung.
Beschaffung: Stellt sicher, dass die standardisierte Vertragsvorlage mit Sicherheitsklauseln für alle Lieferantenvereinbarungen verwendet wird. Bezieht Informationssicherheits- und Rechtsvertreter in Vertragsverhandlungen ein.
IT-Betrieb: Setzt technische Maßnahmen für den Lieferantenzugriff um und verwaltet sie, überwacht sicherheitsrelevante Ereignisse im Zusammenhang mit Lieferanten und koordiniert mit Lieferanten bei Incident Response und Schwachstellenbehebung.
Recht & Compliance: Prüft vertragliche Klauseln auf rechtliche Hinlänglichkeit, berät zu Datenschutz- und regulatorischen Pflichten und unterstützt Streitbeilegungsprozesse.
Prozesseigentümer: Definieren geschäftliche Anforderungen an ausgelagerte Dienste, nehmen an Lieferantenbewertungen teil und genehmigen Service-Level-Ziele für ihre jeweiligen Prozesse.
Alle Beschäftigten: Befolgen die Spielregeln für Lieferanteninteraktionen und melden vermutete Sicherheitsvorfälle im Zusammenhang mit Lieferantenpersonal oder -diensten.

9. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Nach wesentlichen Informationssicherheitsvorfällen mit Lieferantenbezug.
Wenn sich die Lieferantenlandschaft wesentlich ändert, einschließlich Onboarding neuer kritischer Lieferanten oder Beendigung wesentlicher Beziehungen.
Nach Änderungen rechtlicher, regulatorischer oder vertraglicher Anforderungen, die das Lieferantenmanagement betreffen.
Nach Auditfeststellungen, die wesentliche Lücken im Lieferanten-Sicherheitsmanagement aufdecken.
Wenn Threat Intelligence erhöhte Risiken in der Lieferkette signalisiert.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Supplier Relationships:

A 5.19 — Information Security in Supplier Relationships
A 5.20 — Addressing Information Security Within Supplier Agreements
A 5.21 — Managing Information Security in the ICT Supply Chain
A 5.22 — Monitoring, Review and Change Management of Supplier Services
A 5.23 — Information Security for Use of Cloud Services

ISO/IEC 27036-3 — Information Security for Supplier Relationships.

BSI IT-Grundschutz:

OPS.2.3 (Outsourcing for Customers)
OPS.2.2 (Cloud Usage)
OPS.3.2 (Outsourcing for Service Providers)

Additional jurisdiction-specific laws — in particular NIS2 supply chain obligations, the EU Cyber Resilience Act (for products with digital elements), data protection law (GDPR and cross-border transfer rules), sector-specific outsourcing regulations (e.g. financial services) and contract law — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes the framework for managing information security risks arising from supplier relationships at [YOUR_ORGANISATION_NAME]. It covers the entire supplier lifecycle from initial assessment and selection, through contractual engagement and ongoing monitoring, to orderly termination or transition.

The policy applies to all categories of external suppliers, including ICT service providers, cloud service providers, software and hardware vendors, outsourcing partners, consultants and any other third party that accesses, processes, stores, transmits or provides infrastructure components affecting the confidentiality, integrity or availability of organisational information. All employees, contractors and personnel involved in supplier selection, management or oversight are bound by this policy.

3. Supplier Relationships & Classification (A 5.19)

Processes and procedures are implemented to manage security risks associated with supplier products and services. A risk-oriented approach governs the entire outsourcing lifecycle: strategy definition, suitability assessment of potential providers, contractual arrangement, operational management and orderly termination. The responsibility for information security remains with the organisation at all times, regardless of which activities are outsourced.

3.1 Supplier Types & Risk Assessment

Supplier Type Registry: A supplier registry classifies all suppliers into defined categories: ICT service providers, cloud service providers, software and hardware vendors, logistics partners, utilities, financial service providers and ICT infrastructure component suppliers. Each entry records the supplier type, the information assets and systems the supplier can affect, the criticality rating and the responsible internal contact.
Information & Infrastructure Scope: For each supplier relationship, the specific information assets, ICT services and physical infrastructure that the supplier accesses, monitors, controls or uses are documented. Access is limited to the minimum scope required for service delivery.
ICT Component Impact Assessment: ICT infrastructure components and services provided by suppliers are classified by their potential impact on confidentiality, integrity and availability. Components that process or transmit sensitive data receive a higher criticality rating and are subject to stricter security requirements.
Personnel & Physical Security Expectations: Minimum personnel security and physical security levels are defined for each supplier category. Suppliers handling sensitive information meet standards equivalent to the internal requirements, including background verification of key personnel where legally permissible and appropriate physical access controls at their facilities.

3.2 Evaluation & Selection

Evaluation & Selection Process: Suppliers are evaluated and selected based on the sensitivity of the information, products and services involved. The evaluation process includes market analysis, customer references, document review, certifications (ISO 27001, SOC 2, C5 or equivalent) and, for high-criticality suppliers, on-site security assessments. Evaluation results are documented in the supplier registry with a formal suitability determination.
Product & Service Security Assessment: Before onboarding, the information security and privacy controls of supplier products and services are evaluated. The assessment verifies the accuracy and completeness of the supplier's implemented controls, with particular attention to controls that protect the integrity of information processing. Results are recorded and reviewed before contract execution.

3.3 Risk Management & Compliance

Supplier Risk Assessment: Information security risks associated with each supplier relationship are assessed and managed, including risks from potentially malicious supplier personnel, malfunctioning or vulnerable products (including embedded software components and sub-components) and inadequate security practices. Supplier risk assessments are updated at least annually and after significant changes to the supplier relationship or threat landscape.
Compliance Monitoring: Compliance with established information security requirements is monitored for each supplier type and access category. Monitoring methods include third-party audits, independent attestation reports (SOC 2, ISO 27001 certificates), product validation and periodic self-assessment questionnaires. Monitoring frequency is proportional to the criticality of the supplier relationship.
Non-Compliance Remediation: When supplier non-compliance is detected through monitoring, audit or any other means, a defined escalation process is triggered. The supplier receives a formal non-compliance notice with specific remediation requirements and a deadline. Unresolved non-compliance is escalated to management for risk acceptance, contract renegotiation or termination decision.

3.4 Incident Handling & Continuity

Incident Handling: Responsibilities for information security incident handling are defined for both the organisation and each supplier. Supplier agreements specify notification timeframes, collaboration procedures during remediation and post-incident reporting obligations. Suppliers report security incidents affecting organisational data within 24 hours of detection.
Resilience & Contingency: Supplier resilience is assessed as part of the onboarding process. Where necessary, recovery and contingency measures are agreed to ensure the continued availability of supplier information processing. For critical suppliers, alternative suppliers or in-house fallback capabilities are identified in advance to avoid disruption if the supplier becomes unable to deliver.

3.5 Awareness & Transitions

Staff Awareness & Training: Personnel who interact with supplier staff receive training on the applicable rules of engagement, topic-specific policies, processes and expected behaviour. Training content is tailored to the supplier type and the level of access granted. Training is provided before the first interaction and refreshed annually.
Information Transfer & Transitions: When information, assets or responsibilities are transferred to or from a supplier, the transfer is managed through a documented transition plan. Information security and privacy are maintained throughout the entire transfer period, including interim controls during handover phases.

3.6 Secure Termination

Access De-Provisioning: All access rights granted to the supplier are revoked within one business day of relationship termination. The de-provisioning covers logical access (accounts, VPN, API keys) and physical access (badges, keys, tokens). Completion is verified through an access audit.
Information Handling at Termination: At termination, all organisational information held by the supplier is returned in an agreed format or securely destroyed. The supplier provides written confirmation of destruction with a description of the method used.
Intellectual Property Ownership: Ownership of intellectual property developed during the engagement is determined in the supplier agreement. At termination, all IP deliverables, source code and documentation are transferred to the organisation or disposed of as specified in the agreement.
Information Portability: Agreements include provisions for information portability in case of supplier change or insourcing. Data formats, export procedures and timelines are specified to enable a seamless transition to an alternative supplier or internal operation.
Records Management: Retention periods and handling procedures for records generated during the supplier relationship are defined. At termination, records are transferred to the organisation or retained by the supplier for the agreed period in accordance with legal and regulatory requirements.
Return of Assets: All organisational assets (hardware, tokens, documentation, media) held by the supplier are returned within the period specified in the agreement. A return checklist verifies completeness.
Secure Disposal: Information and associated assets that are not returned are securely disposed of using methods that comply with the information classification level. The supplier provides a disposal certificate for each item.
Ongoing Confidentiality: Confidentiality obligations survive the termination of the supplier relationship. Non-disclosure agreements remain in effect for the period specified in the contract, typically a minimum of three years after termination.

3.7 Limited-Influence Suppliers

Guidance-Based Selection: Where the organisation cannot place direct security requirements on a supplier (e.g. utility providers, large platform vendors), supplier selection decisions consider the security guidance established in this policy. Available security information, public audit reports and known vulnerabilities of the supplier are evaluated before engagement.
Compensating Controls: For suppliers where direct requirements cannot be imposed, compensating controls are implemented based on a risk assessment. These controls mitigate the residual risk from the supplier's security posture and are documented in the risk register.

4. Contractual Security Requirements (A 5.20)

Supplier agreements are documented to ensure both parties have a clear understanding of their obligations regarding information security. A standardised contract template is used for all supplier agreements, incorporating baseline security clauses that are adapted based on the risk profile and criticality of the specific supplier relationship. Contracts are reviewed by information security, legal and procurement representatives before signing.

4.1 Information & Classification

Information Description & Access Methods: Each agreement describes the specific information to be provided or accessed and the methods of provision or access. Data flows are documented, including interfaces, protocols and transfer mechanisms.
Information Classification: Agreements require the supplier to handle information according to the organisation's classification scheme. Classified information is labelled before transfer and handled in accordance with the classification level throughout its lifecycle.
Classification Mapping: Where the supplier operates its own classification scheme, a formal mapping between the two schemes is established and documented in the agreement to ensure consistent handling of information.

4.2 Legal & Compliance

Legal & Regulatory Requirements: Agreements specify applicable legal, statutory, regulatory and contractual requirements, including data protection obligations, handling of personally identifiable information (PII), intellectual property rights and copyright provisions. The agreement describes how compliance is ensured and verified.
Acceptable Use Rules: Rules for acceptable and unacceptable use of the organisation's information and associated assets are defined in the agreement. The supplier acknowledges these rules and ensures their personnel are informed.

4.3 Security Control Obligations

Control Obligations: Each agreement specifies the security controls that both parties implement, including access control, performance review, monitoring, reporting and auditing. The supplier's obligation to comply with the organisation's information security requirements is explicitly stated and contractually binding.
ICT Infrastructure Security: Minimum information security requirements are defined for the supplier's ICT infrastructure for each type of information and access category. These requirements serve as the baseline for individual agreements and are scaled based on business needs and risk criteria. For external cryptographic service providers (certificate authorities, HSM providers, cloud KMS), specific SLA provisions address key availability, escrow arrangements and incident response times.
Personnel Authorisation: Procedures for authorising and removing authorisation for supplier personnel to use organisational information and assets are defined. An explicit list of authorised supplier personnel is maintained and reviewed quarterly. Changes to the authorised personnel list require prior notification.
Personnel Screening: Where legally permissible, agreements require background screening of supplier personnel who access sensitive information. The agreement defines screening responsibilities, verification procedures and notification requirements when screening has not been completed or results raise concerns.
Physical Security Controls: Physical security controls at supplier facilities are commensurate with the classification level of the information processed. Requirements cover access control, environmental protection, visitor management and media handling.
Information Transfer Protection: Controls for protecting information during physical and logical transfer are specified, including encryption standards, secure transport methods and chain-of-custody documentation.

4.4 Audit, Incident & Training

Incident Management Clauses: Agreements define incident management requirements, including mandatory notification within 24 hours of detection, collaboration procedures during incident remediation, evidence preservation obligations and post-incident reporting.
Training & Awareness Requirements: Agreements require the supplier to ensure their personnel complete training on the organisation's specific procedures and information security requirements, including incident response procedures and authorisation processes.
Third-Party Attestations: Agreements require the supplier to provide evidence and assurance through recognised third-party attestation mechanisms (ISO 27001 certification, SOC 2 Type II reports, C5 attestation) covering relevant information security requirements. Independent reports on control effectiveness are provided at least annually.
Right to Audit: The organisation retains the right to audit the supplier's processes and controls related to the agreement, either directly or through an independent auditor. Audit scope, frequency and notification requirements are specified in the agreement.
Periodic Effectiveness Reports: The supplier is obligated to deliver periodic reports on control effectiveness. Relevant issues identified in reports are addressed within agreed timelines, with remediation plans tracked to completion.

4.5 Sub-Contracting & Remediation

Sub-Contracting Provisions: Agreements include provisions governing sub-contracting. Sub-suppliers are bound by the same security obligations as the primary supplier. The supplier maintains a current list of sub-suppliers and notifies the organisation before any change. Prior approval is required before engaging new sub-suppliers for services involving organisational data.
Indemnities & Remediation: Agreements define indemnities and remediation measures for failure to meet security requirements. Penalty clauses are proportional to the criticality of the service and the severity of the breach. Remediation timelines are specified for different severity categories.
Defect Resolution & Conflict Resolution: A structured defect resolution process with defined severity levels and response times is established. Conflict resolution procedures include escalation paths, mediation provisions and, as a last resort, arbitration clauses.
Security Contact Points: The agreement identifies relevant contacts, including a designated contact person for information security issues on both the supplier and organisation side. Contact details are kept current and reviewed quarterly.

4.6 Continuity & Recovery

Backup Provisions: Agreements require the supplier to provide backup aligned with the organisation's requirements in terms of frequency, type and storage location. Backup procedures are documented and restoration is tested regularly.
Disaster Recovery Site: For critical services, agreements require an alternate facility (disaster recovery site) that is not subject to the same threats as the primary facility. Fallback controls are defined for the event that primary controls fail.
Change Management: Agreements include a change management process that ensures advance notification to the organisation of any changes affecting the service. The organisation retains the right to reject changes that negatively impact information security.

4.7 Termination Clauses

Termination Clauses: Agreements contain termination clauses covering records management, return of assets, secure disposal of information and associated assets and ongoing confidentiality obligations. Exit timelines and transition support obligations are specified.
Secure Data Destruction: The agreement defines a method for the supplier to securely destroy organisational information as soon as it is no longer required. Destruction is certified and the method complies with the classification level of the data.
Handover Support: At contract end, the supplier provides transition support to another supplier or to the organisation itself. A transition plan with milestones, deliverables and acceptance criteria is agreed before termination takes effect.

4.8 Agreement Register & Review

Agreement Register: A central register of all agreements with external parties (contracts, memoranda of understanding, information-sharing agreements, NDAs) is maintained. The register tracks where organisational information is shared or processed and is reviewed at least semi-annually.
Regular Agreement Review: Agreements with external parties are reviewed, validated and updated at least annually to ensure they remain required, fit for purpose and include current information security clauses. Outdated or unnecessary agreements are terminated.

5. ICT Supply Chain Management (A 5.21)

ICT products and services are acquired only from reputable sources with documented quality control and security practices. The organisation works with its suppliers to understand the ICT supply chain structure and identifies matters that significantly affect the products and services being provided. Security requirements are propagated throughout the supply chain by requiring suppliers to cascade equivalent obligations to their sub-suppliers. The ICT supply chain encompasses cloud services, IoT devices, hosting services and all embedded hardware and software components. Where the EU Cyber Resilience Act (CRA) applies, suppliers of products with digital elements provide conformity documentation, maintain vulnerability handling processes and supply security updates for the defined support period.

5.1 Acquisition & Supply Chain Propagation

Acquisition Security Requirements: Information security requirements are defined for every ICT product or service acquisition. Requirements are proportional to the criticality of the product or service and cover confidentiality, integrity and availability aspects. Procurement templates include a mandatory information security requirements section.
Service Supplier Propagation: ICT service suppliers are contractually required to propagate the organisation's security requirements throughout the supply chain when they sub-contract parts of the service. Compliance of sub-contractors is verified through the primary supplier's attestation or audit programme.
Product Supplier Propagation: ICT product suppliers propagate appropriate security practices throughout the supply chain for products that include components purchased from other suppliers, including sub-contracted software developers and hardware component providers. Evidence of propagation is requested during the evaluation process.

5.2 Transparency & Component Documentation

Software Bill of Materials (SBOM): ICT product suppliers provide information describing the software components used in their products, including an SBOM where available. The SBOM is reviewed for known vulnerabilities and maintained as part of the product security documentation. For products falling under the EU Cyber Resilience Act, an SBOM is a mandatory deliverable.
Security Function Documentation: ICT product suppliers provide documentation describing the implemented security functions of their products and the configuration required for secure operation. This documentation is reviewed during onboarding and referenced in operational security procedures.
Supply Chain Information Sharing: Rules for sharing information about the supply chain, potential issues and compromises are established between the organisation and its suppliers. Communication channels and escalation procedures for supply chain incidents are defined.

5.3 Validation & Integrity

Compliance Validation: A monitoring process validates that delivered ICT products and services comply with stated security requirements. Validation methods include penetration testing, independent security assessments and verification of third-party attestations for the supplier's information security operations.
Critical Component Tracking: A process identifies and documents product or service components that are critical for maintaining functionality. These components receive increased scrutiny and follow-up, particularly when built outside the organisation or when the supplier outsources component development to other parties.
Supply Chain Traceability: Assurance is obtained that critical components and their origin can be traced throughout the supply chain. Traceability records are maintained for all components classified as high-criticality.
Functional Integrity: Delivered ICT products are verified to function as expected without unexpected or unwanted features. Verification methods include security testing, code review for custom-developed components and comparison against documented specifications.
Tamper Prevention & Detection: Processes ensure that components from suppliers are genuine and unaltered from their specification. Measures include anti-tamper labels, cryptographic hash verification, digital signature validation and monitoring for out-of-specification performance. Tamper prevention is addressed across multiple stages of the system development lifecycle.
Security Certification: For critical ICT products, assurance is obtained that products achieve required security levels through formal certification or evaluation schemes such as the Common Criteria Recognition Arrangement, BSI certification or equivalent frameworks.

5.4 Component Lifecycle Management

Component Lifecycle Management: Specific processes manage the lifecycle and availability of ICT components and associated security risks. This includes planning for components that may become unavailable because a supplier ceases operations or discontinues a product due to technology changes. Alternative suppliers are identified in advance and the process for transferring software and competence to an alternative supplier is documented.

6. Monitoring, Review & Change Management (A 5.22)

Supplier services are continuously monitored and periodically reviewed to ensure that information security terms and conditions are met, incidents and problems are managed properly and changes in supplier services or business status do not affect service delivery. A designated supplier relationship manager coordinates monitoring activities and reports to management. Sufficient technical skills and resources are available to verify compliance with agreement requirements. The outsourcing register consolidates all active relationships with status, performance metrics and risk ratings.

6.1 Change Categories Under Review

Service Enhancements: Enhancements to the supplier's current services are assessed for security impact before implementation. The supplier provides advance notification and documentation of all planned enhancements.
New Applications & Systems: Development of new applications and systems by the supplier is subject to the organisation's change review process. Security requirements are communicated before development begins.
Policy & Procedure Changes: Modifications or updates of the supplier's security policies and procedures are reviewed for potential impact on the organisation's security posture. Material changes require prior approval.
Security Control Changes: New or changed controls introduced to resolve incidents or improve information security are evaluated to ensure alignment with the organisation's security requirements.
Network Changes: Changes and enhancements to the supplier's networks, including those affecting connectivity to the organisation, are subject to advance notification and security review.
New Technologies: Adoption of new technologies by the supplier is assessed for potential security implications, including changes to the risk profile and compatibility with the organisation's infrastructure.
Product Version Changes: Adoption of new products or newer versions and releases by the supplier is reviewed for security impact, including potential introduction of new vulnerabilities or changes to security configurations.
Development Tool Changes: New development tools and environments used by the supplier are evaluated for security compliance, particularly where they process or store organisational data.
Facility Relocation: Changes to the physical location of supplier service facilities are assessed for compliance with data residency requirements, physical security standards and jurisdictional obligations.
Sub-Supplier Changes: Changes to the supplier's sub-suppliers are subject to advance notification. The organisation reviews the security posture of new sub-suppliers before approval.
Further Sub-Contracting: Sub-contracting of services to additional suppliers requires prior written approval. The organisation assesses the security impact and ensures the new sub-contractor meets equivalent security requirements.

6.2 Ongoing Monitoring & Review

Service Level Monitoring: Service performance levels are monitored against the agreed metrics. Deviations trigger a documented exception process with root-cause analysis and corrective action planning.
Service Reports & Progress Meetings: Service reports produced by the supplier are reviewed. Regular progress meetings are conducted as required by the agreement, with documented minutes and action items.
Supplier Audits: Audits of suppliers and sub-suppliers are conducted periodically, complemented by review of independent auditor reports where available. Findings are tracked through the corrective action process until closure.
Incident Information Sharing: Information about information security incidents is exchanged between the organisation and the supplier as required by the agreement. Incident trends are reviewed in regular service meetings.
Audit Trail Review: Supplier audit trails and records of security events, operational problems, failures and service disruptions are reviewed. Root-cause analyses are requested for significant events.
Incident Response: Identified information security events or incidents related to supplier services are responded to and managed through the organisation's incident management process, with supplier coordination as defined in the agreement.
Vulnerability Management: Information security vulnerabilities in supplier products and services are identified, assessed and managed. Critical vulnerabilities are escalated through the organisation's vulnerability management process with defined remediation timelines.
Sub-Supplier Security Review: The information security aspects of the supplier's relationships with its own suppliers are reviewed. The organisation verifies that sub-supplier security standards are equivalent to those required of the primary supplier.
Service Continuity Assurance: The supplier maintains sufficient service capability together with workable plans to ensure agreed service continuity levels following major failures or disasters. Business continuity plans and disaster recovery capabilities are reviewed annually.
Compliance Ownership: Suppliers assign named individuals responsible for reviewing compliance with and enforcing the requirements of the agreement. Contact details are kept current and communicated to the organisation.
Security Level Evaluation: The adequacy of the supplier's information security level is evaluated regularly through a combination of self-assessments, third-party attestations and direct audits. Results are recorded in the supplier registry and inform the annual supplier risk reassessment.

7. Cloud Services (A 5.23)

The use of cloud services involves shared responsibility for information security between the cloud service provider and the organisation. The responsibilities of both parties are clearly defined and documented. Before adopting a cloud service, a security analysis is conducted that assesses the service model (IaaS, PaaS, SaaS), the deployment model (public, private, hybrid) and the applicable legal jurisdiction. Cloud service agreements are reviewed to ensure they address the organisation's confidentiality, integrity, availability and information handling requirements with appropriate service level objectives and quality targets.

7.1 Cloud Service Governance

Information Security Requirements: All relevant information security requirements associated with each cloud service are documented, including data classification constraints, regulatory obligations and technical security controls. Requirements are defined before service procurement and incorporated into the evaluation criteria.
Selection Criteria & Usage Scope: Cloud service selection criteria cover security certifications (ISO 27001, SOC 2, C5), data residency options, encryption capabilities, access control features, API security and incident response maturity. The scope of permitted usage for each cloud service is defined and communicated to users.
Cloud Roles & Responsibilities: Roles and responsibilities for the use and management of each cloud service are documented. The assignment covers service administration, security configuration, access management, monitoring, incident handling and cost management.
Shared Responsibility Model: For each cloud service, a shared responsibility matrix documents which information security controls are managed by the cloud service provider and which are managed by the organisation. The matrix is reviewed at each contract renewal and after significant service changes.
Provider Security Capabilities: The organisation identifies and utilises the information security capabilities provided by each cloud service provider, including encryption, identity management, logging, monitoring and threat detection features. Configuration is aligned with the organisation's security requirements.
Assurance Mechanisms: Assurance on cloud provider security controls is obtained through recognised certification frameworks (C5, ISO 27001, SOC 2 Type II), compliance dashboards provided by the cloud service provider and, where necessary, independent third-party assessments.
Multi-Cloud Management: When multiple cloud services from different providers are used, a consistent approach manages controls, interfaces and changes across all services. Integration points are documented and security configurations are harmonised to prevent gaps between provider environments.
Cloud Incident Procedures: Procedures for handling information security incidents that occur in connection with cloud services are documented. The procedures define communication channels with the provider, evidence preservation steps, forensic support arrangements and notification obligations.
Ongoing Cloud Risk Management: The organisation monitors, reviews and evaluates the ongoing use of cloud services to manage information security risks. Reviews include security posture assessments, service performance analysis and compliance status verification at least annually.
Exit Strategy: Each cloud service has a documented exit strategy that covers data export procedures, format specifications, timeline requirements, deletion confirmation and transition to an alternative provider or in-house infrastructure. Exit strategies are tested periodically to validate feasibility. Concentration risk is assessed to avoid critical dependency on a single provider.

7.2 Cloud Service Provider Obligations

Architecture Standards: Cloud service providers deliver solutions based on industry-accepted standards for architecture and infrastructure. Compliance with recognised frameworks is verified through certification or independent assessment.
Access Controls: Access controls of the cloud service are configured to meet the organisation's requirements, including multi-factor authentication, role-based access control, least-privilege assignment and session management. Administrative access is restricted and logged.
Malware Protection: The cloud service provider implements malware monitoring and protection solutions appropriate to the service model. For IaaS, the organisation deploys its own endpoint protection on provisioned resources.
Data Residency: The organisation's sensitive information is processed and stored only at approved locations within defined geographic regions or legal jurisdictions. Data residency requirements are specified in the agreement and verified through technical controls or provider attestation.
Dedicated Incident Support: The cloud service provider delivers dedicated support in the event of an information security incident in the cloud environment. Support includes a named security contact, defined response times and collaboration procedures for forensic investigation.
Sub-Contracting Governance: The organisation's security requirements are maintained when cloud services are further sub-contracted to external suppliers. The agreement specifies whether sub-contracting is permitted and, if so, under what conditions. Where required, sub-contracting is prohibited.
Digital Evidence Support: The cloud service provider supports the organisation in gathering digital evidence, taking into account laws and regulations for digital evidence across applicable jurisdictions. Evidence preservation procedures and access mechanisms are defined in the agreement.
Exit Support & Service Continuity: The cloud service provider delivers appropriate support and maintains service availability for an adequate transition period when the organisation decides to exit the service. Minimum transition periods are specified in the agreement.
Backup & Recovery: The cloud service provider delivers the required backup of data and configuration information and securely manages backups. Backup scope, frequency and retention are aligned with the organisation's requirements. Restoration capability is tested at least annually.
Data & Configuration Return: The cloud service provider returns information such as configuration files, source code and data owned by the organisation upon request during the service provision or at termination. Return formats and procedures are specified in the agreement.

7.3 Change Notification Requirements

Infrastructure Changes: The cloud service provider notifies the organisation in advance of changes to the technical infrastructure that affect the cloud service offering, including relocation, reconfiguration or changes in hardware or software. The notification period and approval mechanism are defined in the agreement.
Jurisdictional Changes: Processing or storing information in a new geographic or legal jurisdiction requires advance notification and explicit approval from the organisation. The security and compliance implications of the jurisdictional change are assessed before approval.
Sub-Contractor Changes: The cloud service provider notifies the organisation before using new or changing existing sub-contractors for the delivery of cloud services. The organisation reviews the security posture of the new party before granting approval.

The organisation maintains close contact with its cloud service providers. These contacts enable mutual exchange of information about information security for the use of cloud services, including mechanisms for both parties to monitor service characteristics and report failures to meet agreed service objectives.

8. Roles & Responsibilities

Top Management: Approves this policy, the outsourcing strategy and risk acceptance decisions for supplier relationships. Allocates resources for supplier security management.
Information Security Officer (ISO): Defines information security requirements for supplier agreements, conducts or coordinates supplier security assessments, reviews audit results and advises on supplier-related risk treatment decisions.
Supplier Relationship Manager: Maintains the supplier and outsourcing register, coordinates ongoing monitoring activities, manages the agreement lifecycle and produces regular supplier status reports for management.
Procurement: Ensures the standardised contract template with security clauses is used for all supplier agreements. Involves information security and legal representatives in contract negotiations.
IT Operations: Implements and manages technical controls for supplier access, monitors supplier-related security events and coordinates with suppliers on incident response and vulnerability remediation.
Legal & Compliance: Reviews contractual clauses for legal sufficiency, advises on data protection and regulatory obligations and supports dispute resolution processes.
Process Owners: Define business requirements for outsourced services, participate in supplier evaluations and approve service level targets for their respective processes.
All Employees: Follow the rules of engagement for supplier interactions and report suspected security incidents involving supplier personnel or services.

9. Review & Maintenance

This policy is reviewed:

At least annually, as part of the ISMS management review cycle.
After significant information security incidents involving suppliers.
When the supplier landscape changes materially, including onboarding of critical new suppliers or termination of key relationships.
Following changes to legal, regulatory or contractual requirements affecting supplier management.
After audit findings that reveal material gaps in supplier security management.
When threat intelligence indicates elevated risks in the supply chain.

Quellen

ISO/IEC 27002:2022 Abschnitte 5.19–5.23 — die Controls hinter der Lieferantensicherheitsrichtlinie
ISO/IEC 27036-3 — Informationssicherheit für Lieferantenbeziehungen
BSI IT-Grundschutz OPS.2.3 — Nutzung von Outsourcing
BSI IT-Grundschutz OPS.2.2 — Cloud-Nutzung
NIS2-Richtlinie (EU 2022/2555) — Art. 21(2)(d) Sicherheit der Lieferkette