Third Party Risk Management – auch das Procurement benötigt technische Unterstützung

Seit einiger Zeit schon sind Unternehmen dazu angehalten, sich vor den Sicherheitsrisiken, die ihnen durch nicht ausreichend geschützte Drittanbieter, die sogenannten Third Party Risks (TPR), entstehen können, effektiv – und nachweisbar – abzusichern. In nur 36 Prozent aller Fälle, so BlueVoyants The State of Supply Chain Defense-Report, fallen diese Aufgaben in den Zuständigkeitsbereich der IT- oder der Cybersicherheitsabteilungen. Mehrheitlich, in 64 Prozent aller Fälle, werden sie anderen Abteilungen zugewiesen; etwa der Rechts-, der Finanz- oder eben auch: der Einkaufsabteilung. Deren Mitarbeiter aber haben ein zentrales Problem: Im Regelfall fehlen ihnen die erforderlichen Werkzeuge, ihre diesbezüglichen Aufgaben effektiv – und vor allem effizient – durchzuführen. Nur knapp 50 Prozent können auf ein Third Party Risk Management (TPRM)-System zurückgreifen.

Ein bedenklicher Wert – sind TPR letztlich doch immer auch Business Risks. Leicht können Ausfälle bei kritischen Zulieferern – fast 60 Prozent alle Unternehmen betrachten 30 bis 50 Prozent ihrer Zulieferer als kritisch – einen Stopp der Produktion zur Folge haben. Auswirkungen auf die eigene Marktreputation, die eigene Liquidität und … die Kalkulationen der Beschaffungsabteilung können die Folge sein.

Den Einkauf zur zentralen operativen Schnittstelle für die Umsetzung der TPR-Compliance-Pflichten zu machen, ist da nur natürlich. Zwar tauchen Begriffe wie ‚Procurement‘ und ‚Einkauf‘ in den zentralen Rahmenwerken zu TPR, wie NIS2 und DORA, und in den Anleitungen zum Risikomanagement, wie ISO 37301, nicht explizit auf. Aber: die Procurement-Abteilung ist es, die die Dienstleister- und Lieferantenauswahl des Unternehmens überwacht und lenkt. Sie ist operativ für die Durchführung der entsprechenden Due Diligence verantwortlich. Ihre Mitarbeiter tragen Verantwortung dafür, dass die Dienstleister und Lieferanten, mit denen das Unternehmen zusammenarbeitet, sich an sämtliche Compliance-Vorgaben des Unternehmens halten. Und hierzu zählen eben auch: die in NIS2 und DORA definierten Vorgaben zum richtigen Umgang mit Drittanbieterrisiken, zur Sicherstellung der Lieferkettensicherheit.

Das bedeutet konkret: der Einkauf muss sich vor, während und nach jedem Beschaffungsprozess mit dem Management der entsprechenden TPR, mit der Überwachung, Analyse und Auswertung der Cybersicherheit sämtlicher bereits angeschlossener oder für einen Anschluss geplanter Drittparteien befassen.

Das Einkaufs-Team muss sicherstellen, dass sowohl potenzielle als auch bereits eingebundene Dienstleister und Zulieferer stabil, vertrauenswürdig und regelkonform mit dem Unternehmen operieren. Es muss zu jeder Zeit über den aktuellen Stand der Cybersicherheit der angeschlossenen Lieferanten und Dienstleister im Bilde sein, Angaben der Lieferanten und Dienstleister auf ihre Richtigkeit prüfen, alles protokollieren und – ganz wichtig – das alles anschließend auch noch nachweisen können.

Um all dies vollumfänglich und systematisch umzusetzen, effektiv und effizient, ohne Fehler, bedarf es einer Prozessautomatisierung, bedarf es eines modernen Third Party Risk-Managementsystems. Moderne TPRM-Systeme können Einkaufs-Teams wesentlich entlasten und helfen sicherzustellen, dass alle Compliance-Vorgaben hinsichtlich der Lieferkettensicherheit eingehalten werden. Sie bieten:

• durchgehendes TPR-Monitoring: kontinuierliche Überwachung der bereits angeschlossenen Drittanbieter auf potenzielle Risiken
• punktuelle Risiko-Assessments: detaillierte Reports zu den Cyber-Risiken von Drittanbietern, mit denen eine Zusammenarbeit geplant ist
• Business TPR-Monitoring:Überwachung unterschiedlicher kritischer Risikokategorien, wie rechtlicher Risiken, finanzieller Risiken, operativer Risiken etc.
• Fragebogen-Management: automatisierte Erstellung, Verteilung und Auswertung von Fragebögen zur Cybersicherheit für Dienstleister und Lieferanten
• TPRM‑Beratung: Unterstützung bei der Einführung effizienter TPR-Einkaufskontrollen mit standardisierten TPRM‑Prozessen
• Analystengesteuerte Risiko-Validierung: Unterstützung durch die Risiko-Analysten eines Risk Operations Centers (ROC), die die False Positive-Rate reduzieren, kritische Risiken lokalisieren und priorisieren und gemeinsam mit den betroffenen Drittanbietern entsprechende Gegenmaßnahmen koordinieren

Mit einem modernen TPRM-System erhalten Einkäufer ein Tool an die Hand, das ihnen dabei hilft, schnell und unkompliziert sämtliche Risiken ihrer Drittanbieter – von den technischen bis hin zu den Business Risks – in den Blick und in den Griff zu bekommen. Sie unterstützen sie nicht nur dabei, Vorgaben zur Lieferkettensicherheit, wie NIS2 und DORA, zu erfüllen. Sie helfen ihnen auch, präventiv die richtigen Maßnahmen zu ergreifen, so dass sicherheitstechnische Nachlässigkeiten Dritter ihre Geschäftsprozesse nicht mehr negativ beeinflussen können. In den kommenden Jahren wird der Einsatz eines solchen Tools immer drängender werden. Erklärten im bereits erwähnten BlueVoyant-Report doch ganze 96 Prozent der Unternehmen, ihr Lieferanten-Ökosystem in den kommenden Jahren weiter ausbauen zu wollen – in nicht wenigen Branchen sogar im zweistelligen Prozentbereich. Rein manuell werden sich Drittanbieterrisiken bei solchen Zuwachsraten nicht länger in den Blick und in den Griff bekommen lassen.

Eric Litowsky, Regional Director bei BlueVoyant