Nur in der Schweiz verfügbar

Schweizerform ist derzeit ausschliesslich für Nutzerinnen und Nutzer in der Schweiz verfügbar. Die Kontoerstellung aus Ihrer Region ist eingeschränkt.
Schweizerform LogoSchweizerform
Zurück zu den Vorlagen
Unternehmen·Beurteilung

Lieferanten-IT-Sicherheitsfragebogen

Bewerten Sie die Informationssicherheit von Lieferanten mit diesem nDSG-konformen Fragebogen. Deckt ISO 27001, SOC 2, Unterauftragsverarbeiter, Sicherheitsvorfaelle, Penetrationstests und Zugriffskontrollen ab.

Ueber diese Vorlage

Der Lieferanten-IT-Sicherheitsfragebogen ermoeglicht Schweizer Organisationen, die Informationssicherheitslage von Anbietern und Dienstleistern systematisch zu bewerten. Er deckt die wichtigsten Bereiche nach nDSG Art. 8 (technische und organisatorische Massnahmen), DSGVO Art. 28, ISO/IEC 27001 und SOC 2 Type II ab. Verwenden Sie ihn als Teil Ihres Third-Party-Risk-Management-Programms.

  • Informationssicherheitszertifizierungen: ISO 27001, SOC 2, BSI C5
  • Datenverarbeitungs- und Speicherorte (Schweiz / EU / Drittlaender)
  • Liste der Unterauftragsverarbeiter und Meldepflichten
  • Geschichte von Sicherheitsvorfaellen und Incident Response
  • Haeufigkeit und Umfang von Penetrationstests
  • Zugangskontroll- und Identitaetsmanagement-Praktiken
  • Verschluesselungsstandards fuer Daten im Transit und im Ruhezustand
  • Sicherheitskontakt des Lieferanten und Responsible-Disclosure-Richtlinie

Drittanbieter-Risiko nach nDSG Art. 8

Das Schweizer nDSG verpflichtet Verantwortliche, Auftragsbearbeiter zu waehlen, die hinreichende Garantien fuer technische und organisatorische Sicherheitsmassnahmen bieten. Vor der Beauftragung eines Anbieters, der Personendaten verarbeitet, muessen Sie eine Sorgfaltspruefung durchfuehren und das Ergebnis dokumentieren.

So verwenden Sie diese Vorlage

1

Vorlage oeffnen

Klicken Sie auf 'Vorlage verwenden', um eine Kopie in Ihrem Dashboard zu erstellen.

2

Risikoumfang anpassen

Fuegen Sie Fragen hinzu oder entfernen Sie sie, um die spezifischen Datenkategorien und Verarbeitungstaetigkeiten des jeweiligen Anbieters abzubilden.

3

An den Anbieter senden

Generieren Sie einen sicheren Link und senden Sie ihn an den Sicherheits- oder Compliance-Kontakt des Anbieters.

4

Antworten pruefen

Vergleichen Sie die Anbieterantworten mit Ihrer Mindestsicherheitsbasis und markieren Sie Luecken zur Behebung vor Vertragsabschluss.

5

Mit dem Vertrag archivieren

Speichern Sie den ausgefuellten Fragebogen zusammen mit dem Anbietervertrag und AVV in Ihrem Lieferantenrisikoregister.

6

Neubewertung einplanen

Planen Sie eine Erinnerung ein, den Fragebogen jaehrlich oder bei wesentlichen Aenderungen der Anbieterleistungen erneut auszugeben.

Lieferantensicherheitsbewertung im Schweizer Regulierungskontext

Da Schweizer Unternehmen zunehmend auf Cloud-Anbieter, SaaS-Plattformen und Managed-Service-Provider setzen, ist das Informationssicherheitsrisiko durch Dritte zu einer der bedeutendsten Compliance-Herausforderungen des Jahrzehnts geworden. Das nDSG, das FINMA-Rundschreiben 2023/1 zu operationellen Risiken und die BACS-Leitlinien verpflichten Organisationen, die Sicherheitslage ihrer Anbieter zu bewerten und zu steuern.

ISO 27001 und SOC 2: Was sagen Zertifizierungen aus?

ISO/IEC 27001 zeigt, dass ein Anbieter ein dokumentiertes Informationssicherheitsmanagementsystem (ISMS) implementiert hat, das unabhaengig geprueft wurde. SOC 2 Type II belegt die betriebliche Wirksamkeit von Kontrollen ueber Sicherheit, Verfuegbarkeit, Verarbeitungsintegritaet, Vertraulichkeit und Datenschutz ueber einen definierten Pruefzeitraum. Zertifizierungen sind kein Garant: Sie decken nur den bei der Pruefung definierten Umfang ab. Fordern Sie stets das eigentliche Zertifikat und pruefen Sie die Scope-Beschreibung.

Unterauftragsverarbeiter-Ketten und Meldepflichten

Viele SaaS-Anbieter verlassen sich auf Unterauftragsverarbeiter wie AWS, Azure, Google Cloud oder spezialisierte KI-Verarbeitungsplattformen. Nach nDSG Art. 10a und DSGVO Art. 28(2) muss ein Auftragsbearbeiter vor der Einschaltung eines Unterauftragsverarbeiters die vorherige schriftliche Genehmigung des Verantwortlichen einholen und den Verantwortlichen ueber Aenderungen informieren. Ihr Fragebogen sollte eine vollstaendige Unterauftragsverarbeiterliste und eine Verpflichtung zur vorherigen Benachrichtigung bei Aenderungen verlangen.

Datenlokalisierung und grenzueberschreitende Datenuebermittlungen

Das nDSG schraenkt die grenzueberschreitende Uebermittlung von Personendaten in Laender ein, die kein angemessenes Datenschutzniveau gewaehrleisten (nDSG Art. 16). Anbieter, die Daten ausserhalb der Schweiz oder der EU/EEA verarbeiten, muessen eine adaequate Rechtsgrundlage nachweisen, beispielsweise Schweizer Standardvertragsklauseln (nDSG SCC) oder verbindliche interne Datenschutzvorschriften.

Haeufig gestellte Fragen

Wie oft sollte der Sicherheitsfragebogen neu ausgestellt werden?

Best Practice ist eine jaehrliche Neubewertung fuer alle Anbieter mit Zugang zu personenbezogenen oder sensiblen Daten sowie bei wesentlichen Aenderungen des Leistungsumfangs, des Eigentuemers oder nach gemeldeten Sicherheitsvorfaellen. Hochrisikoanbieter sollten haeufiger bewertet werden, moeglicherweise vierteljaehrlich.

Was ist eine Mindestsicherheitsbasis fuer die Anbieterfreigabe?

Eine typische Mindestbasis umfasst: Verschluesselung von Daten im Transit (TLS 1.2+) und im Ruhezustand (AES-256); Multi-Faktor-Authentifizierung fuer Admin-Zugang; ISO 27001 oder SOC 2 Type II Zertifizierung; jaehrliche Penetrationstests; dokumentierter Incident-Response-Plan und eine Meldepflicht fuer Vorfaelle von 72 Stunden oder weniger.