
CCNet
28. März 2025 • 3 Min. Lesezeit

NIS2-Compliance-Audits: So sichern Sie die Einhaltung von Cybersicherheitsstandards bei Lieferanten und Dienstleistern
Ein Compliance-Audit bei Lieferanten und Dienstleistern ist ein strukturiertes Verfahren, um die Einhaltung der vereinbarten Sicherheitsstandards und regulatorischen Anforderungen, insbesondere in Bezug auf die NIS2-Richtlinie, zu überprüfen. Dieses Audit verfolgt das Ziel, Risiken zu erkennen, Schwachstellen zu identifizieren, und die Einleitung von Korrekturmaßnahmen sicherzustellen.
Ziel des Audits
Das primäre Ziel des Audits ist es, die Konformität der Lieferanten und Dienstleister mit den festgelegten Sicherheitsanforderungen zu überprüfen. Das sekundäre Ziel ist die Identifizierung von Schwachstellen in den Sicherheitspraktiken der Partner, um diese durch gezielte Korrekturmaßnahmen zu beheben.
Vorbereitung des Audits
Festlegung des Auditumfangs
Der IT-Sicherheitsbeauftragte und der Compliance-Manager bestimmen gemeinsam, welche Lieferanten und Dienstleister aufgrund ihres Risikoprofils auditiert werden. Dabei wird auch der Umfang des Audits festgelegt, z. B. die zu prüfenden Systeme, Prozesse und Sicherheitsmaßnahmen.
Zusammenstellung des Auditteams
Der Compliance-Manager stellt ein Auditteam zusammen, das über Expertenwissen in IT-Sicherheit, Datenschutz und den Anforderungen der NIS2-Richtlinie verfügt. Das Team wird entsprechend geschult, um den spezifischen Anforderungen des Audits gerecht zu werden.
Erstellung eines Auditplans
Ein Lead Auditor (Leitender Auditor) erstellt einen detaillierten Auditplan, der die zu prüfenden Bereiche, den Zeitrahmen und die Verantwortlichkeiten enthält. Dieser Plan wird den Lieferanten und Dienstleistern mit einer Anforderung der notwendigen Dokumentationen vorab kommuniziert.
Durchführung des Audits
Eröffnungsgespräch
Das Audit startet mit einem Eröffnungsgespräch, in dem der Lead Auditor die Ziele, den Ablauf und den Umfang des Audits dem Lieferanten oder Dienstleister erläutert. Offene Fragen zum Auditprozess werden geklärt.
Dokumentenprüfung
Das Auditteam prüft alle relevanten Dokumentationen, darunter Sicherheitsrichtlinien, Risikoanalysen, Schulungsnachweise, Incident-Response-Pläne und Berichte zu Sicherheitsmaßnahmen. Die Konformität mit den festgelegten Standards und NIS2-Anforderungen wird dabei bewertet.
Vor-Ort-Überprüfung
Die Auditoren führen eine Vor-Ort-Überprüfung der IT-Systeme und der implementierten Sicherheitsmaßnahmen durch, einschließlich physischer Kontrollen wie Zugang zu Rechenzentren und Serverräumen. Interviews mit Schlüsselpersonen werden durchgeführt, um das Verständnis und die Umsetzung der Sicherheitsrichtlinien zu bewerten.
Technische Überprüfung
Ein IT-Sicherheitsexperte innerhalb des Auditteams führt eine technische Überprüfung durch, um die implementierten Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systems (IDS), Verschlüsselungen und Zugangskontrollen zu bewerten. Stichproben werden durchgeführt, um die Effektivität dieser Maßnahmen zu testen.
Überprüfung der Vorfallberichterstattung
Die Protokolle und Berichte über frühere Sicherheitsvorfälle werden analysiert. Dabei wird die Wirksamkeit der Reaktionen auf Vorfälle und die Umsetzung von Korrekturmaßnahmen überprüft.
Abschluss des Audits
Abschlussgespräch
Nach Abschluss der Auditaktivitäten führt der Lead Auditor ein Abschlussgespräch mit dem Lieferanten oder Dienstleister. In diesem Gespräch werden die vorläufigen Ergebnisse, identifizierte Mängel und erste Empfehlungen besprochen.
Erstellung des Auditberichts
Der Lead Auditor erstellt einen detaillierten Auditbericht, in dem die Ergebnisse der Dokumentenprüfung, Vor-Ort-Überprüfung, technischen Überprüfung und Vorfallberichterstattung zusammengefasst werden. Der Bericht enthält auch empfohlene Maßnahmen zur Behebung festgestellter Schwachstellen.
Übermittlung des Auditberichts
Der Compliance-Manager übermittelt den Auditbericht sowohl dem Management der Organisation als auch dem auditierten Lieferanten oder Dienstleister. Ein Zeitrahmen für die Umsetzung der empfohlenen Korrekturmaßnahmen wird festgelegt.
Nachbearbeitung und Korrekturmaßnahmen
Umsetzung der Korrekturmaßnahmen
Der Lieferant oder Dienstleister ist für die Umsetzung der im Auditbericht empfohlenen Maßnahmen innerhalb des festgelegten Zeitrahmens verantwortlich. Der Fortschritt wird vom Compliance-Manager überwacht und regelmäßig dokumentiert.
Nachaudit
Ein Nachaudit wird durchgeführt, um die Umsetzung der Korrekturmaßnahmen zu überprüfen und deren Wirksamkeit zu bewerten. Ein entsprechender Nachauditbericht wird erstellt, um zu bestätigen, dass alle Nichtkonformitäten behoben wurden.
Abschluss und Dokumentation
Abschluss des Auditprozesses
Nach erfolgreicher Umsetzung aller Korrekturmaßnahmen wird der Auditprozess vom Compliance-Manager offiziell abgeschlossen. Alle Auditdokumente und Berichte werden archiviert, um als Nachweis für Compliance-Anforderungen und für zukünftige Referenzen zur Verfügung zu stehen.
Lessons Learned und kontinuierliche Verbesserung
Der Lead Auditor führt eine „Lessons Learned“-Sitzung mit dem Auditteam und relevanten Stakeholdern durch. Die gewonnenen Erkenntnisse werden genutzt, um die Auditmethoden und -standards kontinuierlich zu verbessern.
Zusammenfassung
Ein regelmäßiges und umfassendes Compliance-Audit ist essentiell, um sicherzustellen, dass Lieferanten und Dienstleister den Cybersicherheitsstandards entsprechen und potenzielle Risiken minimiert werden. Durch diesen Prozess wird die Sicherheitsstrategie des Unternehmens nachhaltig gestärkt und die Resilienz gegenüber externen Bedrohungen verbessert.