Zurück zur Inhaltsseite

      Cyber-Risiken entstehen zunehmend außerhalb der eigenen Organisation. Dienstleister, Lieferanten und Technologiepartner werden zu wesentlichen Einflussfaktoren für die eigene Sicherheits‑ und Compliance‑Lage.

      Gleichzeitig fehlt vielen Unternehmen eine zentrale, belastbare Sicht auf Risiken entlang der gesamten Lieferkette. Informationen sind über verschiedene Systeme verteilt, Bewertungen erfolgen uneinheitlich und Prozesse sind häufig manuell und schwer skalierbar.

      KPMG unterstützt Unternehmen dabei, Cyber Security und Information Security Risiken entlang der gesamten Lieferkette systematisch zu identifizieren, zu bewerten und kontinuierlich zu überwachen.

      Im Gegensatz zu punktuellen Assessments ermöglicht ein strukturierter Managed Service die dauerhafte, skalierbare Steuerung von Drittparteienrisiken – von der Erstbewertung bis zum laufenden Monitoring.

      Jetzt Potenzialanalyse anfragen (RfP)

      C-SCRM: Typische Risiken im Umgang mit Drittparteien und Lieferanten

      Fehlende Transparenz über Drittparteien

      Unternehmen arbeiten mit einer Vielzahl von Dienstleistern, Lieferanten und Partnern. Informationen zu Risiken, Kritikalität und Abhängigkeiten sind jedoch über verschiedene Systeme verteilt.

       

      Ihr Mehrwert mit KPMG:

      • Einheitliche Risikoklassifizierung auf Basis klar definierter Kriterien wie beispielsweise Systemzugriffe, Datenverarbeitung und Kritikalität
      • Zentrale Datenbasis für alle Drittparteien inklusive Abhängigkeiten und Risikobewertungen
      • Priorisierung kritischer Drittparteien als Grundlage für gezielte Steuerungsmaßnahmen
      Sicherheitsvorfälle bei Drittparteien

      Situation: Ein Cyber-Angriff bei einem Lieferanten entwickelt sich plötzlich zu einem unmittelbaren Risiko für das eigene Unternehmen.

       

      Ihr Mehrwert mit KPMG:

      • Kontinuierliche Bewertung von Drittparteien auf Basis aktueller Bedrohungslage
      • Transparenz über kritische Abhängigkeiten und deren potenzielle Auswirkungen
      • Frühzeitige Identifikation und Meldung von Sicherheitsvorfällen bei Dienstleistern 
      Manuelle und ineffiziente Prozesse im Cyber Supply Chain Risk Management

      Das Management von Drittparteienrisiken erfolgt über Excel‑Listen, E‑Mails und manuelle Einzelbewertungen. Diese Prozesse sind langsam, fehleranfällig, nicht skalierbar und häufig nicht auditfähig.

       

      Ihr Mehrwert mit KPMG:

      • Digitalisierung und Standardisierung aller C-SCRM-Prozesse in zentralen Plattformen wie ServiceNow
      • Automatisierte Datenerhebung, Bewertung und Aktualisierung von Risikoprofilen
      • Reduktion manueller Abstimmungen und deutlich verkürzte Durchlaufzeiten
      Regulatorischer Druck durch NIS‑2 und DORA

      Eine NIS‑2‑Prüfung steht an – und das Cyber Supply Chain Risk Management muss gegenüber Prüfern nachvollziehbar belegt werden.

       

      Ihr Mehrwert mit KPMG:

      • Umsetzung regulatorischer Anforderungen wie NIS2 über die gesamte Vertragsdauer
      • Prüfsichere Dokumentation aller Bewertungen, Maßnahmen und Entscheidungen
      • Strukturierte Reports und nachvollziehbare Prozesse für Vorbereitung für Audits

      Fehlende Transparenz über Drittparteien

      Unternehmen arbeiten mit einer Vielzahl von Dienstleistern, Lieferanten und Partnern. Informationen zu Risiken, Kritikalität und Abhängigkeiten sind jedoch über verschiedene Systeme verteilt.

       

      Ihr Mehrwert mit KPMG:

      • Einheitliche Risikoklassifizierung auf Basis klar definierter Kriterien wie beispielsweise Systemzugriffe, Datenverarbeitung und Kritikalität
      • Zentrale Datenbasis für alle Drittparteien inklusive Abhängigkeiten und Risikobewertungen
      • Priorisierung kritischer Drittparteien als Grundlage für gezielte Steuerungsmaßnahmen

      Sicherheitsvorfälle bei Drittparteien

      Situation: Ein Cyber-Angriff bei einem Lieferanten entwickelt sich plötzlich zu einem unmittelbaren Risiko für das eigene Unternehmen.

       

      Ihr Mehrwert mit KPMG:

      • Kontinuierliche Bewertung von Drittparteien auf Basis aktueller Bedrohungslage
      • Transparenz über kritische Abhängigkeiten und deren potenzielle Auswirkungen
      • Frühzeitige Identifikation und Meldung von Sicherheitsvorfällen bei Dienstleistern 

      Manuelle und ineffiziente Prozesse im Cyber Supply Chain Risk Management

      Das Management von Drittparteienrisiken erfolgt über Excel‑Listen, E‑Mails und manuelle Einzelbewertungen. Diese Prozesse sind langsam, fehleranfällig, nicht skalierbar und häufig nicht auditfähig.

       

      Ihr Mehrwert mit KPMG:

      • Digitalisierung und Standardisierung aller C-SCRM-Prozesse in zentralen Plattformen wie ServiceNow
      • Automatisierte Datenerhebung, Bewertung und Aktualisierung von Risikoprofilen
      • Reduktion manueller Abstimmungen und deutlich verkürzte Durchlaufzeiten

      Regulatorischer Druck durch NIS‑2 und DORA

      Eine NIS‑2‑Prüfung steht an – und das Cyber Supply Chain Risk Management muss gegenüber Prüfern nachvollziehbar belegt werden.

       

      Ihr Mehrwert mit KPMG:

      • Umsetzung regulatorischer Anforderungen wie NIS2 über die gesamte Vertragsdauer
      • Prüfsichere Dokumentation aller Bewertungen, Maßnahmen und Entscheidungen
      • Strukturierte Reports und nachvollziehbare Prozesse für Vorbereitung für Audits
      Wir schaffen klare Strukturen, damit Drittparteien-risiken nicht zufällig, sondern gezielt adressiert werden.

      Justina Stunzenaite
      Justina Stunzenaite

      Senior Managerin, Consulting - Cyber Security & Resilience

      KPMG AG Wirtschaftsprüfungsgesellschaft

      Markus Limbach
      Markus Limbach

      Partner, Consulting - Cyber Security & Resilience

      KPMG AG Wirtschaftsprüfungsgesellschaft

      KPMG Cyber Supply Chain Risk Management:
      Integrierter Service über die gesamte Vertragsdauer

      KPMG bietet Cyber Supply Chain Risk Management als skalierbaren Service an, der den gesamten Drittparteien‑Lebenszyklus abdeckt – von Onboarding und Due Diligence bis Monitoring Unternehmen erhalten planbare Leistungen, klare Verantwortlichkeiten und belastbare Ergebnisse. Dabei werden nicht nur Bewertungen durchgeführt, sondern Risiken aktiv gesteuert und kontinuierlich überwacht.

      Im Gegensatz zu klassischen Beratungsansätzen endet der Service nichtnach einem Beratungsprojekt, sondern umfasst die vollständige Übernahme von operativen Tätigkeiten zur Steuerung und Weiterentwicklung des gesamten C-SCRM-Prozesses.

      Unternehmen werden gezielt dort entlastet, wo interne Kapazitäten fehlen oder Prozesse nicht skalierbar sind. Komplexe und zeitintensive Aufgaben werden strukturiert übernommen und in standardisierte Abläufe überführt.

      Dazu gehören unter anderem:

      • Durchführung und Nachverfolgung von Assessments
      • Kontinuierliche Aktualisierung und Pflege von Risikoprofilen
      • Steuerung von Maßnahmen sowie Eskalationen bei kritischen Risiken
      • Erstellung von Reports für Management, Audits und regulatorische Anforderungen

      KPMG kombiniert technologische Plattformen, standardisierte Methoden und erfahrene Cybersecurity-Teams zu einem integrierten Betriebsmodell. So werden Risiken nicht nur bewertet, sondern aktiv gesteuert und nachhaltig reduziert.

      Im Fokus stehen dabei insbesondere:

      • Transparenz über Drittparteienrisiken

        Zentrale, konsolidierte Sicht auf alle Drittparteien inklusive Risikoprofilen, Kritikalität und Abhängigkeiten – als Grundlage für fundierte Entscheidungen.

      • Einheitliche Bewertung und Priorisierung

        Standardisierte Risikoklassifizierung auf Basis klar definierter Kriterien sowie nachvollziehbare Priorisierung kritischer Drittparteien.

      • Kontinuierliche Überwachung statt Einmal-Assessment

        Regelmäßige Re-Assessments, laufendes Monitoring und systematische Nachverfolgung von Maßnahmen – für eine dauerhaft aktuelle Risikosicht.

      • Regulatorische Nachweise und Reporting

        Strukturierte, prüfsichere Dokumentation aller Bewertungen, Maßnahmen und Entscheidungen zur Unterstützung von Audits sowie Anforderungen wie NIS-2.

      • Operative Entlastung interner Teams

        Übernahme zentraler Aufgaben im C-SCRM – von Assessments über Datenpflege bis zur Maßnahmensteuerung – zur Reduktion manueller Aufwände und zur Skalierung bestehender Prozesse.

      KI im Cyber Supply Chain Risk Management

      Mit KI zur nächsten Generation resilienter Lieferketten

      Jetzt herunterladen
      Datenkabel

      Häufige Fragen zu Cyber Supply Chain Risk Management (FAQ)

      Moderne Lieferketten sind digital vernetzt und stark von Drittparteien abhängig. Schwachstellen bei einzelnen Dienstleistern können sich direkt auf Geschäftsprozesse, Systeme oder Daten auswirken.

      C-SCRM schafft Transparenz über diese Abhängigkeiten, priorisiert kritische Drittparteien und hilft, Risiken entlang der Lieferkette frühzeitig zu erkennen und zu begrenzen.

      C-SCRM adressiert insbesondere Cyber- und IT-Risiken, Datenschutz- und Compliance-Risiken sowie operationelle und finanzielle Risiken, die durch externe Partner entstehen.

      Die NIS-2-Richtlinie fordert, dass Unternehmen Risiken entlang ihrer Lieferkette aktiv managen. Dazu gehört insbesondere die Bewertung und Überwachung von Dienstleistern mit Einfluss auf Netz- und Informationssysteme.

      Vendor Risk Management ist der übergeordnete, ganzheitliche Rahmen zur Steuerung von Drittparteirisiken. Es beinhaltet finanzielle, Reputations-, rechtliche, ESG-, Compliance‑ usw. Risiken. C‑SCRM legt den Fokus auf Cyber‑Security‑ und Information‑Security‑Risiken.

      Unsere Managed Services im Überblick

      Zur Übersicht

      Manuelle Bearbeitung automatisieren, Finance-Kosten senken und Qualität sowie Compliance sichern

      Mehr erfahren

      IAM-Lösungen schaffen transparente Identitäts- und Berechtigungsstrukturen

      Mehr erfahren

      Security Monitoring für moderne IT-Umgebungen
      Mehr erfahren

      Ihre Ansprechpersonen

      Justina Stunzenaite
      Justina Stunzenaite

      Senior Managerin, Consulting - Cyber Security & Resilience

      KPMG AG Wirtschaftsprüfungsgesellschaft

      Markus Limbach
      Markus Limbach

      Partner, Consulting - Cyber Security & Resilience

      KPMG AG Wirtschaftsprüfungsgesellschaft