TPRM Lifecycle — Die 5 Phasen des Third Party Risk Managements

Q: Was ist der TPRM Lifecycle?

Der TPRM Lifecycle beschreibt den strukturierten Managementprozess für Drittparteien — von der Erstbewertung beim Onboarding über kontinuierliches Monitoring bis zum Offboarding. Er stellt sicher dass kein Lieferant unkontrolliert bleibt.

Q: Wie viele Phasen hat ein TPRM Lifecycle?

Typischerweise 4–5 Phasen: Onboarding, Monitoring, Reassessment, Offboarding und kontinuierliche Verbesserung. 360TPRM digitalisiert alle Phasen in einer Plattform.

Q: Was fordert NIS2 zum TPRM Lifecycle?

NIS2 Art. 21(d) fordert Sicherheitsmaßnahmen für die Lieferkette — inklusive Bewertung vor Vertragsschluss und laufendes Monitoring. DORA Art. 28 geht noch weiter mit detaillierten Anforderungen für IKT-Drittdienstleister.

Q: Wie automatisiert man den TPRM Lifecycle?

360TPRM automatisiert die Kern-Workflows: automatische Intelligence-Scores beim Onboarding, tägliches Monitoring mit Alert-System, Reassessment-Trigger bei Schwellenwertüberschreitungen, strukturierter Offboarding-Prozess.

Ohne einen definierten TPRM Lifecycle entstehen blinde Flecken: neue Lieferanten werden nicht geprüft, bestehende nicht überwacht und ausscheidende nicht sicher abgetrennt. 360TPRM digitalisiert den gesamten Lifecycle.

Phase 1: Onboarding & Erstbewertung

Jeder neue Lieferant durchläuft eine strukturierte Erstbewertung: Kritikalitätseinstufung (kritisch / wichtig / standard), initiale Cyber-Intelligence-Prüfung durch 360TPRM (Darknet, CVEs, Exposure), Due-Diligence-Fragebogen je Kritikalitätsstufe, Vertragsprüfung auf NIS2/DORA-Anforderungen. 360TPRM automatisiert das Onboarding und liefert in Minuten einen ersten Intelligence-Score.

Kein Lieferant ohne Bewertung

NIS2 Art. 21(d) und DORA Art. 28 fordern eine Sicherheitsbewertung vor Vertragsschluss. 360TPRM macht das skalierbar — auch für Hunderte Lieferanten gleichzeitig.

Phase 2: Kontinuierliches Monitoring

Nach dem Onboarding beginnt das kontinuierliche Monitoring — der Kern des TPRM Lifecycle. 360TPRM überwacht täglich: neue CVEs in der Technologie-Stack des Lieferanten, Darknet-Leaks und Credential-Kompromittierungen, Änderungen in der Angriffsfläche (neue offene Ports, Fehlkonfigurationen), regulatorische Änderungen und Sanktionslistenprüfung. Alert bei Auffälligkeiten — priorisiert nach Kritikalität.

Fragebögen reichen nicht

Ein jährlicher Fragebogen zeigt den Stand von gestern. 360TPRM überwacht in Echtzeit — und warnt bevor ein kompromittierter Lieferant zum eigenen Risiko wird.

Phase 3: Reassessment & Eskalation

Bei Auffälligkeiten oder in definierten Intervallen (jährlich für kritische Lieferanten) wird ein Reassessment durchgeführt: aktualisierte Cyber-Intelligence-Bewertung, neuer Fragebogen mit fokussierten Fragen, Eskalation bei kritischen Findings (CISO, Management), Vertragsanpassung wenn nötig. 360TPRM dokumentiert alle Reassessments auditierbar.

Phase 4: Offboarding

Der Offboarding-Prozess ist der am häufigsten vergessene Teil des TPRM Lifecycle — mit erheblichem Risikopotenzial: Zugänge widerrufen (IT-Zugriffe, API-Keys, VPN-Zugänge), Daten zurückfordern und Löschnachweis erhalten, Vertragsbeendigung dokumentieren, Restrisiken bewerten (Was weiß der Lieferant noch?). 360TPRM führt strukturiert durch den Offboarding-Prozess.

Phase 5: Kontinuierliche Verbesserung

Der TPRM Lifecycle ist kein linearer Prozess sondern ein Kreislauf: Lessons Learned aus Vorfällen und Assessments, Anpassung der Kritikalitätskriterien, Framework-Update bei neuen Regulierungen (NIS2-Updates, DORA-Guidelines), Benchmarking gegen Branchenstandards. 360TPRM liefert Analytics und Reporting für den Management Review.

FAQ

Was ist der TPRM Lifecycle?+

Wie viele Phasen hat ein TPRM Lifecycle?+

Was fordert NIS2 zum TPRM Lifecycle?+

Wie automatisiert man den TPRM Lifecycle?+

TPRM Lifecycle mit 360TPRM digitalisieren

Sehen Sie in einer 45-minütigen Demo, wie 360TPRM Ihre Anforderungen konkret erfüllt.

Demo →