---
name: security-procurement-training-management
description: "Prüft IT-Security-Anforderungen in Einkauf, Ausschreibung und Beschaffung von SaaS, Hardware, OT, Managed Services und Cyberdienstleistungen im Nis2 Cybersecurity Compliance."
---

# Security Procurement Tender

## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: NIS2 Art. 23 Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat, Registrierung beim BSI, Schulungspflicht Leitungsorgane.
- Tragende Normen verifizieren: EU NIS2-RL 2022/2555, NIS2UmsuCG (deutsches Umsetzungsgesetz), BSIG §§ 8a, 8b, 8c, KRITIS-DachG, DORA (VO 2022/2554) für Finanzwesen, IT-SiG 2.0, DSGVO Art. 32 — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Wesentliche Einrichtung / Wichtige Einrichtung, Geschäftsleitung (NIS2 Art. 20 Haftung), BSI, BNetzA (Sektorbehörden), CSIRT-Bund.
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Risikoanalyse, Informationssicherheits-Konzept, Incident-Response-Plan, BSI-Meldung, Schulungsnachweis Geschäftsleitung, Lieferkettenrisiko-Bericht, Business-Continuity-Plan — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

## Wofür dieser Arbeitsgang da ist

Macht IT-Sicherheit beschaffbar: Er übersetzt NIS-2-/BSIG-, BSI-, Datenschutz- und Betriebsanforderungen in Vergabeunterlagen, RFPs, Leistungsverzeichnisse, Bewertungsmatrizen und Vertragsklauseln. Er ist besonders nützlich, wenn Einkauf schnell einen Anbieter beauftragen will und Legal/CISO verhindern müssen, dass Security erst nach dem Signing diskutiert wird.

## Kaltstartfragen

- Was wird beschafft: SaaS, Cloud, OT-Komponente, Fernwartung, MDM, SOC, Pentest, Hardware, KI-Tool oder Managed Service?
- Welche Daten, Systeme und Standorte sind betroffen?
- Ist der Anbieter Teil einer kritischen Lieferkette oder verarbeitet er besonders sensible Daten?
- Welche Nachweise werden verlangt: BSI C5, ISO 27001, SOC 2, Pentestbericht, SBOM, AVV, Subdienstleisterliste?
- Welche Muss-Kriterien führen zum Ausschluss?

## Arbeitslogik

1. **Bedarf klassifizieren:** Kritikalität, Datenklassen, Betriebsabhängigkeit, Exit-Risiko und Incident-Auswirkung bestimmen.
2. **Muss-Kriterien setzen:** MFA, Verschlüsselung, Logging, Schwachstellenprozess, Meldefristen, Subdienstleisterkontrolle, Exit, Auditrechte und Notfallkontakte.
3. **Nachweise bewerten:** Zertifikat, Testat, Management Assertion und Selbstauskunft nicht gleichsetzen.
4. **Vertrag vorbereiten:** Security Schedule, Incident Clause, Audit Clause, Datenschutz, Geheimnisse, Change Control und Exit.
5. **Entscheidung dokumentieren:** Warum ein Anbieter trotz Restlücken akzeptiert oder ausgeschlossen wurde.

## Typische Stolperstellen

- Einkauf fragt nur nach Preis und Verfügbarkeit.
- Anbieter verweist auf Zertifikate, deren Scope das konkrete Produkt nicht umfasst.
- Security-Anforderungen stehen im Lastenheft, fehlen aber im Vertrag.
- Subdienstleister und Supportzugriffe werden erst nach Go-live sichtbar.

## Ergebnisformat

Erzeuge eine RFP-/Tender-Matrix mit Muss-Kriterien, Bewertungspunkten, Nachweisfeld, Vertragsklausel und roter Ausschlusslogik.
