A.5 Organisatorische Maßnahmen

A.5.20

Adressierung der Sicherheit in Lieferantenvereinbarungen

ISO 27001NIS2TISAXDSGVOBSI

Relevante Informationssicherheitsanforderungen müssen mit jedem Lieferanten je nach Art der Lieferantenbeziehung festgelegt und vereinbart werden.

Was fordert dieses Control?

Relevante Informationssicherheitsanforderungen müssen mit jedem Lieferanten je nach Art der Lieferantenbeziehung festgelegt und vereinbart werden.

Warum ist das wichtig?

Nur vertraglich verankerte Sicherheitsanforderungen sind durchsetzbar. Verträge müssen Pflichten, Meldewege und Kontrollrechte klar regeln.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX6.1.1Direkt
DSGVOArt. 28Direkt
BSIOPS.2.3Direkt

Was der Auditor erwartet

  1. 1Sicherheitsklauseln in Lieferantenverträgen
  2. 2AVV bei Verarbeitung personenbezogener Daten
  3. 3Regelung von Melde-, Audit- und Subunternehmerpflichten

Audit-Checkliste

Dokumente

  • Vertragsvorlagen mit Sicherheitsklauseln

    Pflichten, Meldewege, Audit- und Löschregelungen

  • AVV-Vorlagen

    DSGVO-konforme Auftragsverarbeitungsverträge

Nachweise

  • Abgeschlossene Verträge / AVV

    Stichprobe für kritische Lieferanten

  • Dokumentierte Abweichungen

    Nicht durchsetzbare Anforderungen mit begründeter Risikoakzeptanz

  • Vereinbarte Meldepflicht

    Vertragsklausel zur fristgebundenen Vorfallmeldung durch den Lieferanten

Praxis-Tipps zur Umsetzung

1

Standardklauseln nutzen

Sicherheits- und AVV-Bausteine als wiederverwendbare Vorlagen pflegen.

2

Subunternehmer regeln

Weitergabe an Subdienstleister vertraglich einschränken und transparent machen.

3

Kontrollrechte sichern

Audit- und Nachweisrechte für kritische Lieferanten vereinbaren.

Häufige Fehler

AVV fehlt

Personenbezogene Daten werden ohne Auftragsverarbeitungsvertrag verarbeitet.

Keine Meldepflicht

Verträge regeln nicht, dass Lieferanten Vorfälle melden müssen.

Häufig gestellte Fragen

Wann braucht man einen AVV?

Sobald ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist er nach Art. 28 DSGVO Pflicht.

Was gehört in die Sicherheitsklauseln?

Schutzanforderungen, Meldepflichten, Audit- und Kontrollrechte sowie Lösch- und Subunternehmerregelungen.

Gilt das für alle Lieferanten?

Umfang und Tiefe richten sich nach der Kritikalität der Beziehung.

So hilft CompliantDesk bei A.5.20

Verwalten Sie AVV und Sicherheitsvereinbarungen als verknüpfte Dokumente je Lieferant inklusive Fristen und Statusüberblick.