Achilles Zertifizierungsberatung

Achilles ist ein internationales Netzwerk zur Lieferantenqualifikation und Risikobewertung, das ursprünglich aus der Öl- und Gasindustrie stammt und heute in Energie, Bergbau, Transport, öffentlichen Versorgungsunternehmen und der Luft- und Raumfahrtindustrie weit verbreitet ist. Betreiber kritischer Infrastrukturen nutzen Achilles-Programme, um sicherzustellen, dass ihre Lieferkette bestimmte Mindestanforderungen an Sicherheit, Qualität, Gesundheitsschutz und Umwelt (HSE) erfüllt.

Die bekanntesten Achilles-Programme sind UVDB (Utilities Vendor Database) im britischen Versorgungssektor und JQS (Joint Qualification System) in der skandinavischen Öl- und Gasindustrie. In Deutschland sind es vor allem Netzbetreiber, Energieversorger und Infrastrukturbetreiber, die Achilles-Qualifizierungen von ihren Lieferanten verlangen – als Alternative zu oder Ergänzung zu einer ISO 9001- oder ISO 27001-Zertifizierung.

Die Anforderung kommt typischerweise über Ausschreibungen oder bestehende Rahmenverträge. Lieferanten, die nicht im entsprechenden Achilles-Programm registriert sind, werden von Vergabeverfahren ausgeschlossen – unabhängig von der eigentlichen technischen Kompetenz. Die Registrierung ist damit de facto Marktzugangsvoraussetzung für bestimmte Kundensegmente.

Achilles-Programme bewerten Lieferanten entlang mehrerer Dimensionen: Unternehmensinformationen und Finanzkraft, Qualitätsmanagementsysteme, Gesundheitsschutz und Arbeitssicherheit (HSE), Umweltmanagement, IT-Sicherheit und Datenschutz sowie Compliance und Anti-Korruption. Die genauen Anforderungen variieren je nach Programm und Qualifikationsstufe.

Im Bereich IT-Sicherheit fragen Achilles-Programme zunehmend konkrete Nachweise ab: Verfügt das Unternehmen über eine dokumentierte IT-Sicherheitsrichtlinie? Gibt es ein Patch-Management-Verfahren? Wie werden privilegierte Zugänge kontrolliert? Existiert ein Incident-Response-Plan? Für viele kleinere und mittlere Lieferanten, die bislang keine formale IT-Sicherheitsstruktur hatten, sind diese Fragen die eigentliche Hürde.

Wichtig ist zu verstehen: Achilles prüft in der Regel keine technischen Systeme direkt. Es handelt sich um eine dokumentenbasierte Bewertung, die nachweist, dass Prozesse, Richtlinien und Verantwortlichkeiten vorhanden und dokumentiert sind. Das Risiko liegt nicht in fehlenden Systemen, sondern in fehlender Dokumentation bestehender Praxis.

Wir beginnen mit einer Gap-Analyse, die Ihren aktuellen Stand gegenüber den konkreten Anforderungen des Programms abbildet, für das Sie sich qualifizieren möchten. Diese Analyse ist präzise: Wir schauen uns die tatsächlichen Fragebogenanforderungen des jeweiligen Achilles-Programms an, nicht nur generische IT-Sicherheitsstandards.

Auf Basis der Gap-Analyse erstellen wir einen Maßnahmenplan, der fehlende Dokumentation identifiziert, bestehende Prozesse sichtbar macht und – wo echte Lücken bestehen – konkrete Verbesserungen vorschlägt. Viele Unternehmen haben mehr vorhandene Substanz, als ihnen bewusst ist; das Problem ist oft fehlende Dokumentation, nicht fehlende Praxis.

Wir begleiten Sie durch den gesamten Registrierungsprozess: Erstellung und Aufbereitung aller erforderlichen Dokumente, Ausfüllen der Achilles-Fragebögen, Koordination mit Achilles und, wo erforderlich, Vorbereitung auf Vor-Ort-Assessments. Ziel ist eine reibungslose Registrierung im vereinbarten Zeitrahmen – nicht länger als nötig, nicht später als gewünscht.