Third Party Risk Management (TPRM) – Sicherheit entlang der gesamten Lieferkette

Ein großer Teil an Cybersicherheitsrisiken ist auf Dritte innerhalb Ihrer Supply Chain zurückzuführen. Zusätzlich machen geopolitische Entwicklungen und Bedrohungen durch Cyberkriminelle Ihre Supply Chain anfälliger für Ausfälle als je zuvor. Daher fordern auch immer mehr Regulatoriken wie zum Beispiel NIS-2 oder DORA ein effizientes TPRM-Framework. Das zielgerichtete Management der Risiken entlang Ihrer ganzen Supply Chain ist der Schlüssel, um im Wettbewerb vorne zu sein. Sie werden dabei unterstützt, die Risiken entlang Ihrer Lieferkette transparent zu machen und regulatorische Anforderungen zu erfüllen.

Um einen umfassenden Überblick über unseren Ansatz im TPRM zu bieten, wurden die wesentlichen Arbeitspakete strukturiert zusammengefasst. Jedes Paket trägt dazu bei, die Sicherheitslage Ihres Unternehmens zu verbessern und zeigt, wie unser ganzheitlicher Ansatz darauf abzielt, die Herausforderungen im Umgang entlang Ihrer Supply Chain zu meistern.

KPMG bietet ein umfassendes Maturity Assessment, das den Reifegrad des Third Party Risk Management Frameworks Ihres Unternehmens (u.a. Procurement-, Risikomanagementabteilungen) erhebt. Risiken werden in den bestehenden Prozessen, Rollen und Technologien identifiziert, um sicherzustellen, dass Ihre Dienstleister effektiv gemanagt werden. Gemeinsam mit Ihnen wird eine Roadmap erstellt, die darauf abzielt, Ihr TPRM zu optimieren, auf Branchenstandards zu heben und Compliance-Anforderungen zu erfüllen.

Auf Basis Ihrer Roadmap aus dem vorherigen Schritt, ist es entscheidend, die identifizierten Maßnahmen umzusetzen, um die Risiken zu minimieren und Branchenstandards sowie die Compliance mit NIS-2, DORA oder ISO 27001 zu erreichen. Dies umfasst die Implementierung spezifischer Prozesse und technische Maßnahmen mit Bezug auf TPRM.

Ihr Unternehmen wird dabei unterstützt, eine strukturierte Erfassung Ihrer sämtlichen Dienstleister, die in Verbindung mit kritischen Geschäftsprozessen stehen, zu erfassen, um Transparenz über externe Partner zu gewährleisten. Auf dieser Basis wird ein Risikoscoring berechnet mit Hilfe von wichtigen Faktoren Ihrer Dienstleister, wie finanzielle Stabilität, Compliance-Historie und operative Risiken. Zudem wird die Methodik individuell an die Bedürfnisse Ihres Unternehmens angepasst und Sie durch den gesamten Risikoscoring-Prozess begleitet. So wird ein maßgeschneidertes Scoring und eine Priorisierung Ihrer wichtigsten Dienstleister für Sie sichergestellt (Kernlieferanten).

Unsere Experten führen eine initiale Überprüfung Ihrer Verträge durch, um sicherzustellen, dass alle Ihre vertraglichen Vereinbarungen mit Ihren Dienstleistern sowohl den spezifischen Anforderungen Ihres Unternehmens als auch den branchenweiten und Compliance-Anforderungen entsprechen. Dabei werden für Sie Business-Continuity-Anforderungen und Key Performance Indicators (KPIs) in Verträge und Service Level Agreements (SLAs) integriert, um eine klare und messbare Berichtserstattung zu ermöglichen. Sie können weiterhin von Kontrollmechanismen profitieren, die eine kontinuierliche Überwachung und Anpassung der Verträge an neue Herausforderungen und regulatorische Änderungen gewährleisten.

KPMG unterstützt Ihr Unternehmen bei der Erstellung von Fragebögen, die speziell für Third-Party Security Assessments konzipiert sind. Diese Fragebögen sind darauf ausgelegt, Standards wie ISO27001, NIST, SOC2, IT-Grundschutz oder PCI-DSS umzusetzen.

Ihnen wird eine umfassende Unterstützung bei der Koordinierung und Durchführung von Cybersecurity Assessments bei Ihren Dienstleistern angeboten, sodass Sie den Anforderungen Ihres Unternehmens entsprechen. Unsere Arbeitsschritte umfassen die Planung und Umsetzung der Cybersecurity Assessments, die Analyse des aktuellen Stands der Cyber-Security-Maßnahmen, die detaillierte Prüfung und Validierung der bereitgestellten Dokumentationen sowie die Erstellung eines umfassenden Abschlussberichts, der identifizierte Risiken aufzählt und optional Maßnahmen zur Risikominderung empfiehlt. Durch regelmäßige und systematische Überprüfungen helfen wir, potenzielle Risiken frühzeitig zu identifizieren und gezielte Maßnahmen zur Risikominderung zu implementieren.

Effektives Incident Management und Business Continuity Management (BCM) im Rahmen des TPRMs sind entscheidend, um Unternehmen auf Sicherheitsvorfälle bei Ihren Dienstleistern vorzubereiten. Unser Ansatz umfasst die Etablierung eines strukturierten Prozesses zur Meldung (Kommunikationsweg) und Behandlung von (potenziellen) Sicherheitsvorfällen über definierte Kommunikationswege. Zudem werden gemeinsam Notfallpläne entwickelt und implementiert, die helfen, kritische Geschäftsprozesse auch in Krisensituationen aufrechtzuerhalten.

Im Rahmen des TPRM werden Ihnen einmalige oder regelmäßige Schulungen angeboten, die sowohl intern (an Ihre Mitarbeiter und Führungskräfte) als auch extern (an Ihre externen Dienstleister) adressiert sind. Diese Schulungen werden durch gemeinsam gestaltete Unterlagen ergänzt, um Wissen und Fähigkeiten effektiv zu vermitteln und die Teilnehmer bei jedem Schritt im TPRM zu begleiten.

KPMG bietet Ihnen den einmaligen Vorteil, vom Aufbau oder Optimierung Ihrer Prozesse direkt bei der Implementierung des für Sie passenden GRC-Tools zu unterstützen. Dank unserer starken Allianzen mit den führenden Anbietern (z.B. ServiceNow) wird Ihnen geholfen, das volle Potenzial an Effizienz, Automatisierung und Innovation aus den Tools zu nutzen.

Die TPRM Managed Services von KPMG sind darauf zugeschnitten, Ihre täglichen operativen und Risikomanagementaufgaben zu überwachen. So wird Ihrem Unternehmen ermöglicht, den Mehraufwand durch die Überwachung Ihrer Supply Chain zu reduzieren und sich auf das Wesentliche zu konzentrieren: Ihre Supply Chain zu optimieren und die besten Lieferanten zu wählen. Unser modulares Angebot auf Abonnementbasis nutzt modernste Technologien und das fundierte Fachwissen unserer erfahrenen Expert:innen, um Ihre TPRM-Prozesse mithilfe einer einzigartigen, proprietären Methodik zu verfeinern. So können Sie Risiken minimieren und sicherzustellen, dass Ihre TPRM-Herausforderungen auf konsistente, effiziente und wirtschaftliche Weise gelöst werden.