Core Module

Third-Party Risk Management
Lieferkettenrisiken im Griff

Bewerten, dokumentieren und steuern Sie Drittanbieter-Risiken systematisch. Mit nachweissicheren Assessment-Zyklen, automatisiertem Scoring und einem Vendor-Portal, das Ihre Lieferanten direkt einbindet.

Regulatorik

NIS-2-konforme
Lieferketten-Bewertung

NIS-2 Artikel 21 verpflichtet Unternehmen zur systematischen Bewertung der Sicherheit in ihren Lieferketten. Das Immutra TPRM-Modul liefert den nachweissicheren Rahmen dafuer — von der Erstbewertung bis zur laufenden Ueberwachung.

Art. 21 Abs. 2 lit. d

Sicherheit der Lieferkette, einschliesslich der Sicherheit zwischen jedem Unternehmen und seinen Lieferanten oder Diensteanbietern.

Nachweispflicht

Lueckenlose Dokumentation aller Bewertungen, Massnahmen und Kommunikation — mit Zeitstempel und Integritaetsnachweis.

Regelmässige Überprüfung

Automatisierte Assessment-Zyklen stellen sicher, dass Lieferanten-Bewertungen aktuell bleiben und Risiken fruehzeitig erkannt werden.

Zentrale Verwaltung

Vendor-Registry

Alle Drittanbieter an einem Ort. Kategorisieren Sie Lieferanten nach Kritikalitaet, erfassen Sie Kontaktpersonen, Vertragsdetails und Risikoklassen — und behalten Sie den Ueberblick ueber den gesamten Lebenszyklus jeder Geschaeftsbeziehung.

  • Risikokategorien: kritisch, hoch, mittel, niedrig
  • Vertragslaufzeiten und Verantwortlichkeiten
  • Filterbarer Ueberblick mit Status und Bewertungshistorie
  • Import aus bestehenden Lieferantenlisten (CSV/Excel)

Vendor-Registry

12 Lieferanten
K

CloudHost GmbH

Infrastruktur

Kritisch
H

SecurePay AG

Payment

Hoch
M

DataSync Solutions

Datenverarbeitung

Mittel
N

OfficeSupply24

Buerobedarf

Niedrig

Strukturierte Bewertung

Assessment-Fragebogen

Erstellen Sie massgeschneiderte Frageboegen fuer unterschiedliche Lieferanten-Kategorien. Versionierung, Vorlagen-Bibliothek und standardisierte Bewertungskriterien sorgen fuer konsistente Ergebnisse ueber alle Assessments hinweg.

Vorlagen-Bibliothek

Vorgefertigte Fragebogen-Templates fuer gaengige Standards wie ISO 27001, SOC 2 und TISAX.

Individuell anpassbar

Fragen, Gewichtungen und Bewertungsskalen lassen sich frei konfigurieren und pro Kategorie differenzieren.

Versionierung

Jede Aenderung am Fragebogen wird versioniert. Fruehhere Versionen bleiben jederzeit nachvollziehbar.

Sektionsbasiert

Frageboegen werden in logische Sektionen gegliedert — von IT-Sicherheit ueber Datenschutz bis zum BCM.

Vendor-Portal

Zugang via Magic Link

Einladung gesendet an vendor@cloudhost.de

Magic Link geoeffnet vor 2 Std.
Fragebogen ausgefuellt vor 45 Min.
Dokumente hochgeladen 3 von 5
Freigabe & Signatur

Lieferanten einbinden

Vendor-Portal

Lieferanten erhalten einen sicheren Magic Link und beantworten den Fragebogen selbststaendig — ohne Account, ohne Passwort, ohne Schulung. Der Fortschritt wird in Echtzeit synchronisiert.

Magic Link Login

Sicherer Einmal-Link per E-Mail — kein Passwort, kein Account noetig.

Dokumenten-Upload

Lieferanten laden Zertifikate und Nachweise direkt im Portal hoch.

Echtzeit-Sync

Antworten und Uploads werden sofort in Ihrem Dashboard sichtbar.

Optionale KI-Unterstützung

KI-Dokumentenanalyse

Lieferanten laden Zertifikate, Audit-Berichte oder Sicherheitsrichtlinien hoch. Die KI analysiert die Dokumente, extrahiert relevante Informationen und schlaegt passende Antworten fuer den Fragebogen vor.

Die finale Bewertung bleibt beim Menschen. Die KI beschleunigt den Prozess und reduziert den manuellen Aufwand — ohne die Kontrolle abzugeben.

Dokumentenanalyse

ISO-27001-Zertifikat_2025.pdf

2.4 MB — vor 3 Min. hochgeladen

Vorgeschlagene Antwort

Frage 3.2: "Ist ein ISMS nach ISO 27001 implementiert?"

Ja — Zertifikat gueltig bis 12/2026

Vorgeschlagene Antwort

Frage 3.5: "Wird ein regelmaessiges internes Audit durchgefuehrt?"

Ja — jaehrliches Audit, zuletzt 03/2025

Risk Heat Map

Q1 2026
Hoch     Niedrig
2
5
3
1
4
6
2
1
7
3
4
1
9
5
2
1
Niedrig Auswirkung Hoch
Eintrittswahrscheinlichkeit ↑
Niedrig
Mittel
Hoch
Kritisch

Automatisierte Bewertung

Risiko-Scoring

Antworten aus dem Fragebogen fliessen automatisch in ein gewichtetes Scoring-Modell. Das Ergebnis: eine klare Risikoklassifizierung pro Lieferant, visualisiert als Heat Map ueber Ihr gesamtes Drittanbieter-Portfolio.

4

Risikoklassen

0-100

Score-Skala

Auto

Berechnung

Live

Aktualisierung

Laufende Ueberwachung

Assessment-Zyklen

Einmalige Bewertungen reichen nicht. Definieren Sie wiederkehrende Assessment-Zyklen mit automatischen Erinnerungen und Eskalationen — damit kein Lieferant unter dem Radar bleibt.

Zyklus konfigurieren

Schritt 1

Definieren Sie Intervalle (jaehrlich, halbjaehrlich, quartalsweise), Lieferanten-Gruppen und den zu verwendenden Fragebogen. Kritische Lieferanten werden haeufiger bewertet.

Automatischer Versand

Schritt 2

Zum Stichtag versendet Immutra automatisch die Einladungen ans Vendor-Portal. Lieferanten erhalten einen Magic Link und koennen direkt loslegen.

Erinnerungen & Eskalation

Schritt 3

Reagiert ein Lieferant nicht innerhalb der Frist, greift die Eskalationskette: Erinnerung, zweite Erinnerung, Benachrichtigung an den verantwortlichen Mitarbeiter.

Bewertung & Archivierung

Schritt 4

Abgeschlossene Assessments werden automatisch bewertet, archiviert und in die Risikohistorie aufgenommen. Der naechste Zyklus beginnt nach dem definierten Intervall.

Instanzübergreifend

Federation

Ein Lieferant, der bereits von einer anderen Immutra-Instanz bewertet wurde, muss den gleichen Fragebogen nicht erneut ausfuellen. Federation ermoeglicht den sicheren Austausch von Bewertungsergebnissen zwischen Instanzen — mit Zustimmung aller Beteiligten.

Weniger Aufwand fuer haeufig bewertete Lieferanten
Explizites Opt-in durch beide Parteien
Integritaetsnachweis ueber die gesamte Datenkette
DSGVO-konformer Datentransfer mit Protokollierung

Instanz A

Versicherung

Bewertung

Instanz B

Unternehmen

CloudHost GmbH

Bewertung geteilt — Score: 78/100 — Aktuell

NIS-2 Compliance sicherstellen?

Erfahren Sie, wie Immutra TPRM Ihre Lieferketten-Bewertung strukturiert, automatisiert und nachweissicher dokumentiert.

Demo vereinbaren