Third-Party Risk Management (TPRM) ist 2026 ein Audit-Schwerpunkt: NIS-2 Art. 21(2)(d) macht Lieferketten-Sicherheit explizit zur Pflicht, ISO 27001 A.5.19–22 fordert strukturierte Lieferanten-Bewertung, DSGVO Art. 28 verlangt Auftragsverarbeitungsverträge mit dokumentierter Wirksamkeitsprüfung. Wer das ad-hoc per Mail-Verteiler organisiert, verliert die Übersicht und das Audit.
Was ein modernes TPRM-System leistet
- Lieferanten-Inventar: zentrale Liste mit Geschäftsbereich, Kritikalität, Vertragsstatus, Datenfluss-Richtung.
- Self-Service-Fragebögen: Lieferant beantwortet Sicherheits-Fragebogen direkt im Portal, statt PDF-Hin-und-Her per Mail.
- Evidence-Upload: Lieferant lädt Zertifikate (ISO 27001, SOC 2, BSI), Sub-Prozessor-Listen, Pen-Test-Reports hoch – mit automatischer Ablauf-Erinnerung vor dem Verfallsdatum.
- Risiko-Score: berechnet aus Antworten + Evidence + Kritikalitäts-Einstufung. Nachvollziehbare Formel statt Bauchgefühl.
- Re-Assessment-Cadence: jährliche Aktualisierung wird automatisch eingefordert; Eskalation bei Nichterfüllung.
Self-Service ist der eigentliche Game-Changer
Ein Sicherheits-Fragebogen klassisch: Compliance-Officer schickt PDF an Lieferant, Lieferant schickt drei Wochen später ein ausgefülltes PDF zurück, Compliance-Officer trägt Antworten manuell in das interne System ein. Mehrfach-Schleife, viel Excel.
Self-Service: Lieferant bekommt Login (passwordless via Magic-Link oder OIDC, falls beim Lieferant verfügbar), füllt Fragebogen direkt im Portal aus, lädt Belege als Datei hoch, signiert Bestätigungen digital. Compliance-Officer sieht Fortschritt live, kommentiert direkt im Antwort-Feld, fordert Klarstellungen ohne Mail-Hin-und-Her.
Risiko-Scoring, das nicht beliebig ist
Der Risiko-Score wird transparent berechnet aus:
- Datenklassifikation: welche Daten verarbeitet der Lieferant? (öffentlich → personenbezogen → besondere Kategorien)
- Zugriffstiefe: nur Auftragsdaten oder Production-Zugang?
- Geographie: EU-only, Drittstaat mit Angemessenheitsbeschluss, Drittstaat ohne?
- Zertifizierungs-Status: ISO 27001 vorhanden? SOC 2 Type II? BSI-Zertifizierung?
- Sub-Prozessor-Tiefe: wie viele Glieder in der Lieferkette?
Jeder Faktor ist konfigurierbar in der Plattform – Standard-Defaults entsprechen ISO-27001-Best-Practices.
Verzahnung mit dem ISMS
Lieferanten sind nicht isoliert; sie hängen mit Assets, Risiken und Maßnahmen zusammen:
- Asset-Verknüpfung: jedes Asset mit externem Anbieter verlinkt sich automatisch mit dem Lieferanten-Eintrag.
- Risiko-Auswirkung: Lieferanten-Risiken landen im zentralen Risiko-Register mit Auto-Vorschlag für Behandlungs-Maßnahmen.
- Review-Cycle: jährliche Lieferanten-Reviews laufen über den Review-Cycle-Manager – mit Multi-Channel-Reminders.
- Vertrags-Repository: AVV, NDA, Vertragsergänzungen werden mit Volltext-Suche in OnlyOffice gepflegt.
Was der Auditor gerne sieht
- Lieferanten-Liste mit Kritikalität-Sortierung als CSV-Export.
- Beleg-Verzeichnis pro Lieferant mit Ablaufdaten der Zertifikate.
- Audit-Trail der Risiko-Akzeptanz: wer hat wann den Lieferanten-Risiko-Score akzeptiert.
- Sub-Prozessor-Liste, automatisch in das Trust Center publiziert.
Realistische Setup-Erwartung
Für 50 aktive Lieferanten: 2 Tage initiale Konfiguration (Frage-Templates, Risiko-Formel), 1 Tag Bulk-Import bestehender Daten, danach ~2 Stunden pro Woche operativer Aufwand. Der ROI im ersten Audit allein deckt typischerweise die initialen Aufwände.
Fazit
TPRM ist 2026 keine optionale Disziplin mehr, sondern Audit-Pflichtfeld. Eine Self-Service-Portal-Lösung mit transparentem Risiko-Score, automatischer Re-Assessment-Cadence und Verzahnung in ISMS und Trust Center ist die einzige skalierbare Antwort. Mail-Verteiler-TPRM kollabiert spätestens beim 30. Lieferanten – Self-Service trägt 1.000.