Drittanbieterrisiko (Third-Party Risk / Vendor Risk)

Drittanbieterrisiko bezeichnet die Gefahr, dass Sicherheits-, Datenschutz- oder Verfügbarkeitsprobleme bei externen Dienstleistern oder Lieferanten auf die eigene Organisation durchschlagen. Im IT-Vergabekontext tritt es auf, wenn Auftragnehmer ihrerseits Sub-Dienstleister einsetzen, deren Sicherheitsniveau der Auftraggeber nicht direkt kontrollieren kann. Das BSI und die ENISA empfehlen, Drittanbieterrisiken durch vertragliche Mindestanforderungen, regelmäßige Nachweise (z.B. ISO 27001-Zertifikate) und das Recht zur Auditierung in Ausschreibungsunterlagen abzusichern.