Webinar: NIS-2 sichere LieferketteOrganisation von Lieferantenaudits im Kontext des BSIG § 30 Abs. 2 Ziff. 4 „Sicherheit der Lieferkette” mit GAP View.

BSIG § 30 Risikomanagementmaßnahmen (2), Ziff. 4 Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern. Die Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.

Die Grundlage für das Management der Sicherheit in der Lieferkette ist die Klassifizierung der Lieferanten und Dienstleister nach sicherheitsrelevanten Kriterien. Mithilfe dieser Klassifizierung sollen Lieferanten abhängig von ihrem Risiko angemessen bewertet, gesteuert und überwacht werden. Die risikobasierte Klassifizierung (Kritikalität) der Lieferanten ist eine zeitintensive Aufgabe, die aufgrund ihrer Bedeutung für die Sicherheit des Unternehmens sorgfältig umgesetzt werden sollte. Unternehmen müssen beurteilen, welche Dienstleister direkten oder indirekten Einfluss auf die Informationssicherheit, die Verfügbarkeit kritischer Prozesse oder den Zugriff auf sensible Systeme und Daten haben. Oftmals fehlen hierfür jedoch einheitliche Bewertungsmaßstäbe und standardisierte Prozesse zur Sicherheitsbewertung. Zudem müssen Sicherheitsanforderungen nicht nur initial geprüft, sondern auch regelmäßig überwacht und auditiert werden. Dies stellt viele von der NIS-2-Richtlinie betroffenen Unternehmen, insbesondere solche mit einer Vielzahl von Lieferanten und Dienstleistern, vor erheblichen organisatorischen, technischen und regulatorischen Herausforderungen.

Die Teilnehmenden erfahren, wie Lieferanten risikobasiert klassifiziert und regelmäßig hinsichtlich ihrer Informationssicherheit bewertet werden können. Darüber hinaus zeigt das Webinar, welche Prüfkriterien und Auditbereiche für Lieferantenaudits relevant sind und wie sich daraus belastbare Compliance-Nachweise ableiten lassen. Ein weiterer Schwerpunkt liegt auf der effizienten Organisation und Dokumentation von Lieferantenaudits mithilfe der zentralen GAP View Audit Management Software und der themenspezifischen Fragenkataloge. Anhand eines konkreten Praxisbeispiels wird der gesamte Bewertungsprozess dargestellt und es wird gezeigt, wie Unternehmen ihre Lieferkettenrisiken reduzieren und gleichzeitig regulatorische Anforderungen effizient erfüllen können.

Künstliche Intelligenz (KI) gewinnt in der Auditierung von Informationssicherheits- und Datenschutzmanagementsystemen zunehmend an Bedeutung. Sie stellt in allen Phasen des Auditprozesses ein wertvolles Werkzeug dar, das Auditoren entlastet, die Qualität der Auditierung erhöht und datenbasierte Entscheidungen fördert. Ihr sinnvoller und verantwortungsbewusster Einsatz kann die Effektivität und Effizienz von Audits im Bereich Informationssicherheit und Datenschutz maßgeblich steigern – ersetzt aber nicht die notwendige Fachkompetenz und das kritische Urteilsvermögen der Auditoren. In der GAP View sind die OpenAI ChatGPT und DeepL integriert. Im Rahmen des Webinars wird die Anwendung von KI in allen Phasen des Auditprozesses thematisiert.

• Erfassung der Lieferantendaten
• Initiale Festlegung der Kritikalität des Lieferanten:
  • Lieferantenklasse (A-B-C)
  • Aktuelle Reifegrad (Sicherheitsreife)
  • Leistungsschwerpunkt
  • Kritikalität der Leistung
  • Klassifizierung des Datenzugriffs
  • Klassifizierung des Systemzugriffs
• Definition des Auditprogramms und der Lieferantenaudits
  • Festlegung des Zeitraumes und Zeitvorgaben
  • Festlegung der Art des Audits (Vor-Ort, Remote-Audit oder Self Assessment)
  • Festlegung des Auditumfangs und Ziele
  • Auswahl der Prüfmethoden
  • Auswahl der themenspezifischen Fragenkataloge
  • Auswahl- und Ressourcenplanung
  • Automatische oder manuelle Erstellung des Auditplans
• Durchführung und Bewertung des Lieferantenaudits
• Automatische Erstellung einer Liste der festgestellten Abweichungen sowie eines daraus resultierenden Maßnahmenkatalogs
• Planung und Umsetzung der Korrekturmaßnahmen (Lieferant)
  • Zuordnung der Ressourcen zu den Maßnahmen
  • Aufwandsschätzung pro Maßnahme
  • Umsetzungshinweise (optionale Nutzung von ChatGPT)
  • Priorität der Umsetzung
  • Status der Umsetzung
• Auswertungen und Berichte
  • Dashboard
  • Berichtswesen
  • Dokumentation
• Anpassung der Kritikalität des Lieferanten anhand der Auditergebnisse
  
  • Lieferantenklasse (A-B-C)
  • Aktuelle Reifegrad (Sicherheitsreife)
  • Leistungsschwerpunkt
  • Kritikalität der Leistung
  • Klassifizierung des Datenzugriffs
  • Klassifizierung des Systemzugriffs

• Q2 2026:
  • 04.05.2026 (09:00 - 12:00)
  • 18.05.2026 (09:00 - 12:00)
  • 20.05.2026 (09:00 - 12:00)
• Q3 2026:
  • 09.06.2026 (09:00 - 12:00)
  • 12.06.2026 (09:00 - 12:00)
  • 16:06.2026 (09:00 - 12:00)
• Q4 2026: In der Planung

Oder nach Vereinbarung

Dauer: 180 Minuten

Eintritt: 95,- EUR

• Allgemeine Kenntnisse ISO/IEC 27001:2022
• Allgemeine Kenntnisse über NIS-2-Richtlinie und BSIG

• • Auditoren (interne/externe)
  • Mitglieder des Auditteams
  • Informationssicherheitsbeauftragte (ISB/CISO)
  • Datenschutzbeauftragte
  • Lieferanten und Dienstleiter