Correct supplier classification is the foundation of efficient TPRM — it determines monitoring intensity, due diligence depth and regulatory documentation obligations.
Schritt 1-3: Klassifizierungskriterien und -modell
Schritt 1 — Klassifizierungskriterien definieren: Datenzugang (sensible/personenbezogene Daten?), Systemzugang (Zugang zu kritischen IT-Systemen?), Prozessabhängigkeit (wie kritisch ist der Prozess der unterstützt wird?), Substituierbarkeit (wie leicht kann der Lieferant ersetzt werden?), regulatorische Relevanz (unter DORA oder NIS2 als kritisch einzustufen?). Schritt 2 — Stufenmodell definieren: 3 Stufen bewähren sich (Kritisch/Wichtig/Standard). Schritt 3 — Scoring-Matrix entwickeln: jedem Kriterium eine Gewichtung geben, Schwellenwerte für jede Stufe festlegen.
Mehr als 3 Klassifizierungsstufen führen zu operativer Komplexität ohne Mehrwert. Kritisch/Wichtig/Standard deckt 95% aller TPRM-Anforderungen ab.
Schritt 4-6: Durchführung und Pflege
Schritt 4 — Alle Lieferanten klassifizieren: strukturiertes Interview mit Fachbereichen, externe Datenpunkte (360TPRM Risiko-Score einbeziehen), Klassifizierungsentscheidung dokumentieren und begründen. Schritt 5 — Management-Genehmigung: Klassifizierungsliste durch CISO und Geschäftsführung genehmigen lassen. Schritt 6 — Regelmäßige Überprüfung: mindestens jährlich und bei wesentlichen Änderungen der Lieferantenbeziehung, 360TPRM triggert automatisch Reviews bei Risikoveränderungen.
Wenn 60% aller Lieferanten als kritisch klassifiziert werden, verliert die Klassifizierung ihre Steuerungswirkung. Best Practice: maximal 20-30% als kritisch einstufen.
FAQ
Classify suppliers systematically
See in a 45-minute demo how 360TPRM specifically meets your requirements.
Request free demo →