KabeenKabeenIT Playbook
Découvrir Kabeen
Glossaire
VGlossaire

Vendor Management

Strukturierte Verwaltung des Lebenszyklus der IT-Lieferanten: Auswahl, Vertragsabschluss, Leistungssteuerung, Risikomanagement, Erneuerung und Ausstieg.

Das Vendor Management (Verwaltung der IT-Lieferanten) ist die strukturierte Praxis der Steuerung des Lebenszyklus der IT-Lieferanten: Auswahl, Vertragsabschluss, Leistungssteuerung, Risikomanagement, Erneuerung und Ausstiegsplan.

Das Thema hat strategische Bedeutung gewonnen mit der Verallgemeinerung des SaaS, mit dem regulatorischen Druck (DORA und NIS2) und mit der Explosion der Supply Chain-Angriffe.

Die sechs Etappen des Vendor Management

### 1. Auswahl (Sourcing)

  • Definition der Bedürfnisse.
  • Marktstudie, RFI/RFP.
  • Vergleichende Bewertung.
  • POC / Pilot.
  • Entscheidung.

### 2. Vertragsabschluss

  • Verhandlung der vertraglichen Bedingungen.
  • Obligatorische Klauseln: SLA, DSGVO-DPA, Audit, Ausstieg.
  • Rechtliche, sicherheitstechnische, finanzielle Validierung.
  • Unterzeichnung.

### 3. Onboarding

### 4. Operative Steuerung

### 5. Erneuerung

### 6. Ausstieg

Vendor Risk Management (VRM)

  • Cyber-Risiko: .
  • Kontinuitätsrisiko: .
  • Finanzielles Risiko: .
  • Konformitätsrisiko: .
  • Geopolitisches Risiko: .
  • Konzentrationsrisiko: .
  • Ausstiegsrisiko (Vendor Lock-in): .

Tiering der Lieferanten

  • Tier 1 — Kritisch: .
  • Tier 2 — Wichtig: .
  • Tier 3 — Standard: .
  • Tier 4 — Zubehör: .

Vendor Management und FinOps

  • Neuverhandlung: .
  • Konsolidierung: .
  • Kostenallokation: Chargeback.
  • Rightsizing: der Verpflichtungen.
  • Antizipation: der Erneuerungen.

Vendor Management und regulatorische Konformität

  • [DORA](/de/glossary/dora): (Artikel 28).
  • [NIS2](/de/glossary/nis2): .
  • DSGVO: .
  • [ISO 42001](/de/glossary/iso-42001): .

Vendor Management und Kartografie

Kabeen kreuzt automatisch Anwendungen, Lieferanten, Verträge und Nutzungen.

Questions fréquentes

Was ist Vendor Management?

Das Vendor Management ist die strukturierte Praxis der Steuerung des Lebenszyklus der IT-Lieferanten: Auswahl, Vertragsabschluss, Leistungssteuerung, Risikomanagement, Erneuerung und Ausstiegsplan. Es ist eine transversale Disziplin, die Beschaffung, Recht, SI-Governance, Cybersicherheit und FinOps kombiniert.

Welche Vertragsklauseln sind obligatorisch geworden?

Mit DORA (Artikel 30) und NIS2 sind mehrere Klauseln für die kritischen IT-Lieferanten obligatorisch geworden: dokumentierte SLAs, DSGVO-DPA, Auditrecht (einschließlich vor Ort), formalisierter Ausstiegsplan, Beschränkungen der Unterauftragsvergabe, Datenlokalisierung, Vorfall-Benachrichtigung in kurzen Fristen (24-72h), Konformität mit den Standards (ISO 27001, SOC 2).

Wie klassifiziert man die IT-Lieferanten (Tiering)?

Vier Tiers nach Kritikalität: Tier 1 kritisch (ihr Ausfall stoppt die Aktivität, monatliche Verfolgung, jährliches Audit, obligatorischer Ausstiegsplan), Tier 2 wichtig (verschlechtern signifikant die Aktivität, vierteljährliche Verfolgung), Tier 3 Standard (begrenzter Impact, jährliche Verfolgung), Tier 4 Zubehör (Commodity, minimale Überprüfung).

Was sind die Risiken im Zusammenhang mit den IT-Lieferanten?

Sieben strukturierende Risiken: (1) Cyber-Risiko (Sicherheitslage des Lieferanten), (2) Kontinuitätsrisiko, (3) finanzielles Risiko, (4) Konformitätsrisiko, (5) geopolitisches Risiko (Cloud Act, Souveränität), (6) Konzentrationsrisiko, (7) Vendor-Lock-in-Risiko. DORA verlangt eine jährliche Bewertung dieser Risiken für die kritischen Lieferanten.