Lieferantenbewertung (Vendor Evaluation / Supplier Assessment)

Die Lieferantenbewertung ist ein strukturierter Prozess, mit dem Auftraggeber die Sicherheits- und Qualitätsreife von IT-Dienstleistern und Produktlieferanten regelmäßig beurteilen, etwa anhand von Fragebögen, Audits oder Zertifikatnachweisen. Das BSI empfiehlt im Rahmen der UP KRITIS Best-Practice-Empfehlungen, Lieferanten zum Nachweis eines ISMS (ISO 27001 oder BSI IT-Grundschutz) zu verpflichten und Sicherheitsanforderungen vertraglich und durch regelmäßige Audits zu verifizieren. In der Vergabepraxis sollten Auftraggeber die Lieferantenbewertung als laufende Pflicht über die gesamte Vertragslaufzeit anlegen, nicht nur als einmalige Eignungsprüfung bei Vertragsschluss.