Zulieferersicherheit (Supplier Security / Third-Party Security)

Zulieferersicherheit bezeichnet die Gesamtheit der Anforderungen, Prüfungen und vertraglichen Regelungen, durch die ein Auftraggeber sicherstellt, dass externe Lieferanten, Unterauftragnehmer und Komponentenhersteller definierte Mindestsicherheitsstandards einhalten und keine zusätzlichen Risiken in die eigene Lieferkette einbringen. NIS2 und das BSI-Gesetz verpflichten betroffene Einrichtungen explizit, Sicherheitsanforderungen an Lieferanten in Verträgen zu verankern und deren Einhaltung zu überprüfen, was in IT-Vergaben durch Sicherheitsklauseln, Audit-Rechte und Nachweispflichten für Zertifizierungen (ISO 27001, BSI C5) umgesetzt wird. Ergänzend sollten Auftraggeber eine Lieferanten-Risikobewertung nach Kritikalitätsstufen etablieren, die den Umfang der erforderlichen Sicherheitsprüfung für jeden Zulieferer festlegt.