NIS 2 Lieferanten-Fragebogen
Die Fragen, die ein NIS 2 verpflichtetes Unternehmen seinen Lieferanten stellen muss. Einmal sauber an EU-Recht verankert. Frei nutzbar.
Fast jede Procurement-Abteilung im deutschen Mittelstand schreibt aktuell ihren eigenen NIS 2 Lieferanten-Fragebogen. Die gleichen rund 50 EU-verankerten Fragen, in leicht anderer Form, an Lieferanten verschickt, die fünf Versionen davon ausfüllen müssen. Dieser Fragebogen ist die geteilte Basis.
Jedes Feld ist an eine EU-rechtliche Primärquelle verankert: NIS 2 Art. 21(2), CIR 2024/2690, ENISA Technical Implementation Guidance, DSGVO Art. 28 oder den Cyber Resilience Act. Sektorspezifische Erweiterungen wie TISAX, VDA ISA, BSI C5 oder KRITIS-Vorgaben ergänzen die Basis, ersetzen sie nicht.
- Version
- 3.1.0
- Stand
- 2026-05-15
- Felder
- 59
- Lizenz
- MIT (Schema) + CC BY 4.0 (Inhalt)
Lieferantenprofil
18 felderFirmierung (Rechtsname)
Erforderlich nach CIR 2024/2690 §5.2(a) — Lieferantenregister-Eintrag.
Rechtsgrundlage: ENISA TIG §5.2
Geschäftsanschrift
Erforderlich nach CIR 2024/2690 §5.2(a) — Lieferantenregister-Eintrag.
Rechtsgrundlage: ENISA TIG §5.2
Land
ISO 3166-1 Alpha-2-Code, z. B. DE, FR, IT.
Rechtsgrundlage: ENISA TIG §5.2
Primäre Domain
Die primäre öffentliche Domain des Lieferanten.
Rechtsgrundlage: ENISA TIG §5.2(b)
Slogan (eine Zeile, kundenseitig sichtbar)
Kurze Beschreibung für Kunden.
Rechtsgrundlage: ENISA TIG §5.2(b)
Öffentliche Beschreibung (länger)
Längere Beschreibung des Lieferanten.
Rechtsgrundlage: ENISA TIG §5.2(b)
Beschreibung der erbrachten Leistungen
Erforderlich nach ENISA TIG §5.2(b) + §5.1.4 TIPS — klare und vollständige Beschreibung der angebotenen IKT-Produkte und -Dienstleistungen. Ein Absatz.
Rechtsgrundlage: ENISA TIG §5.2(b) + §5.1.4 TIPS
Länder / Regionen, in denen Kundendaten verarbeitet werden
Erforderlich nach ENISA TIG §5.1.4 TIPS — alle Länder / Regionen auflisten, in denen Kundendaten erstellt, verarbeitet oder gespeichert werden. Komma-getrennt.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Name des Sicherheitskontakts
Erforderlich nach CIR 2024/2690 §5.1.4(d) — Meldekette für Sicherheitsvorfälle.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)
E-Mail für Vorfälle
Standard-E-Mail für Vorfallsmeldungen durch Kunden.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)
Telefonnummer für Vorfälle (24/7)
24/7-Telefon für kritische Vorfallsmeldungen.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)
Meldefrist für Vorfälle (Stunden)
Maximale Zeit von Vorfallserkennung bis Kundenbenachrichtigung.
Rechtsgrundlage: NIS2 Art. 23
BSI-Registrierungs-ID (nur falls Ihr Unternehmen selbst NIS2-reguliert ist)
Optional. ENISA TIG §5.1.2 — falls Ihr Unternehmen selbst NIS2-reguliert mit BSI-Registrierung ist, können Ihre Kunden diese Tatsache zur Erfüllung ihrer §5.1.2 Lieferantenauswahlkriterien nutzen.
Rechtsgrundlage: ENISA TIG §5.1.2
Wir bieten SaaS / gehostete Dienste
Bestimmt, welche technischen Fragen als Nächstes erscheinen. Mehrfachauswahl möglich.
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir liefern On-Prem-Software
Software, die Ihre Kunden auf eigener Hardware betreiben.
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir bieten Dienstleistungen / Beratung
Beratung, Implementierung, Schulung, Audit-Tätigkeiten.
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir bieten Managed Services / MSP
Betrieb der Kunden-IT im Auftrag (MSP, MSSP).
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir nutzen, integrieren oder bieten KI-Systeme
Bestimmt, ob KI-Lieferketten-Fragen als Nächstes erscheinen. Schließt jedes KI- / ML-Modell ein, durch das Kundendaten laufen — auch fremde LLMs über API.
Rechtsgrundlage: NIS2 Art. 21(2)(d)
Sicherheitspraktiken
26 felderDokumentiertes Informationssicherheits-Managementsystem (ISMS)
Erforderlich nach CIR 2024/2690 §5.1.2(a) — Cybersecurity-Praktiken der Lieferanten.
Rechtsgrundlage: CIR 2024/2690 §5.1.2(a)
ISO 27001, BSI Grundschutz oder gleichwertige Zertifizierung
Erforderlich nach CIR 2024/2690 §5.1.2(b). Zertifikat über den Reiter „Zertifizierungen“ hochladen.
Rechtsgrundlage: CIR 2024/2690 §5.1.2(b)
Jährliche Security-Awareness-Schulung für alle Mitarbeitenden
Erforderlich nach CIR 2024/2690 §5.1.4(b) — Sensibilisierung, Fähigkeiten und Schulung.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(b)
Zuverlässigkeitsprüfung für Mitarbeitende mit Kundendaten-Zugriff
Erforderlich nach CIR 2024/2690 §5.1.4(c) — Zuverlässigkeitsprüfung des Personals.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(c)
Dokumentierter Schwachstellen- und Patch-Management-Prozess
Erforderlich nach CIR 2024/2690 §5.1.4(f) — Behandlung von Schwachstellen mit Risiko.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(f)
Akzeptanz des Auditrechts (oder Bereitstellung von Auditberichten)
Erforderlich nach CIR 2024/2690 §5.1.4(e) — Auditrecht oder Bereitstellung von Auditberichten.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(e)
Einsatz von Sub-Unternehmern / Sub-Lieferanten
Erforderlich nach CIR 2024/2690 §5.1.4(g) — Anforderungen an Unterauftragsvergabe.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(g)
Liste der Sub-Unternehmer
Listen Sie die Sub-Unternehmer und ihre Aufgaben auf. CIR 2024/2690 §5.1.4(g).
Rechtsgrundlage: CIR 2024/2690 §5.1.4(g)
Verpflichtung zur Rückgabe / Vernichtung von Kundendaten bei Vertragsende
Erforderlich nach CIR 2024/2690 §5.1.4(h) — Rückgabe und Vernichtung von Informationen bei Vertragsende.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(h)
Standard-Auftragsverarbeitungsvertrag (AVV) verfügbar
DSGVO Art. 28 — schriftlicher Auftragsverarbeitungsvertrag.
Rechtsgrundlage: GDPR Art. 28
Sicherheitsrichtlinien werden mindestens jährlich überprüft
Erforderlich nach CIR 2024/2690 §5.1.1(c) — Sicherheitsrichtlinien müssen regelmäßig überprüft und aktualisiert werden.
Rechtsgrundlage: NIS2 Art. 21(2)(a) / ENISA TIG §1.1
Dokumentierter Notfall-/Incident-Response-Plan
Erforderlich nach CIR 2024/2690 §5.1.3 / NIS2 Art. 21(2)(b) — dokumentierte Verfahren zur Behandlung von Sicherheitsvorfällen.
Rechtsgrundlage: NIS2 Art. 21(2)(b) / ENISA TIG §3
Dokumentierter Business-Continuity- / Disaster-Recovery-Plan
Erforderlich nach CIR 2024/2690 §5.1.5 / NIS2 Art. 21(2)(c) — Aufrechterhaltung des Betriebs und Krisenmanagement.
Rechtsgrundlage: NIS2 Art. 21(2)(c) / ENISA TIG §4
Dokumentierte Kryptografie-Richtlinie
Erforderlich nach CIR 2024/2690 §5.1.6 / NIS2 Art. 21(2)(h) — Konzepte und Verfahren zur Verwendung von Kryptografie.
Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9
Privileged Access Management (PAM) für interne Mitarbeitende
Erforderlich nach CIR 2024/2690 §5.1.7 / NIS2 Art. 21(2)(i) — Zugriffskontrollkonzepte für privilegierte Konten.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
MFA für alle internen Admin- / privilegierten Konten erzwungen
Erforderlich nach NIS2 Art. 21(2)(j) — Mehr-Faktor-Authentisierung für Konten mit erhöhten Rechten.
Rechtsgrundlage: NIS2 Art. 21(2)(j)
Asset-Inventar wird gepflegt
Erforderlich nach CIR 2024/2690 §5.1.8 / NIS2 Art. 21(2)(i) — Asset-Management.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §12.4
Jährliches oder zweijährliches Penetrationstest-Programm
Erforderlich nach CIR 2024/2690 §5.1.12 — Wirksamkeitsprüfung der Cybersicherheits-Risikomanagementmaßnahmen.
Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Wir legen frühere meldepflichtige Sicherheitsvorfälle auf Anfrage offen
ENISA TIG §5.1.2 — Auswahlkriterien verlangen, dass Einrichtungen 'die Historie des Lieferanten in Bezug auf Cybersicherheitsereignisse und Sicherheitsverletzungen' berücksichtigen.
Rechtsgrundlage: ENISA TIG §5.1.2
Wir unterstützen Kunden im Vorfall ohne / zu vorab definierten Kosten
ENISA TIG §5.1.4 TIPS — Verpflichtung des Lieferanten zur Unterstützung des Kunden ohne / zu vorab definierten Kosten bei einem Cyber-Vorfall durch das IKT-Produkt oder -Dienstleistung.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Vollständige Kooperation mit zuständigen Behörden (BSI, ENISA, nationale CSIRTs)
ENISA TIG §5.1.4 TIPS — Verpflichtung des Lieferanten zur vollständigen Kooperation mit zuständigen Behörden bei Inspektionen, Audits und Vorfallbearbeitung.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Wir benachrichtigen Kunden über jede wesentliche Änderung der Leistungserbringung
ENISA TIG §5.1.4 TIPS — Benachrichtigung über jede Entwicklung, die wesentliche Auswirkungen auf die Fähigkeit des Lieferanten zur effektiven Bereitstellung der IKT-Produkte oder -Dienstleistungen haben könnte.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Wir benachrichtigen Kunden im Voraus, wenn sich Verarbeitungsstandorte ändern
ENISA TIG §5.1.4 TIPS — Benachrichtigung des Kunden im Voraus, wenn sich Verarbeitungsstandorte ändern sollen.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Dokumentierte Exit-Strategie mit verpflichtender Übergangszeit
ENISA TIG §5.1.4 TIPS — Exit-Strategie mit verpflichtender angemessener Übergangszeit, IP-Bestimmungen und Verantwortlichkeiten des Lieferanten während der Exit-Phase.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Wir stellen ein SBOM-for-AI nach G7-Mindestelementen bereit
G7-Cybersicherheitsbehörden (BSI, ACN, CISA u. a.) und die EU-Kommission haben am 12. Mai 2026 'Software Bill of Materials (SBOM) for Artificial Intelligence — Minimum Elements' veröffentlicht. Freiwillige Baseline-Referenz für KI-Lieferketten-Transparenz nach NIS2 Art. 21(2)(d). Umfasst sieben Cluster: Metadata, Models, Dataset Properties, Infrastructure, Security Properties, KPIs, System-Level Properties.
Rechtsgrundlage: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
URL des SBOM-for-AI-Dokuments
Öffentliche oder kundenseitig geteilte URL zum SBOM-for-AI-Dokument des Lieferanten.
Rechtsgrundlage: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
SaaS-spezifisch
5 felderHosting-Region
BSI IT-Grundschutz OPS.2.2 Cloud-Nutzung — wo Kundendaten gespeichert werden.
Rechtsgrundlage: ENISA TIG §5.2
Verschlüsselung im Ruhezustand
BSI IT-Grundschutz OPS.2.2.A11. AES-256 oder gleichwertig.
Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9
Verschlüsselung bei Übertragung (TLS ≥ 1.2)
BSI IT-Grundschutz OPS.2.2.A11. Mindestens TLS 1.2, vorzugsweise TLS 1.3.
Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9
MFA für alle Admin-Konten erzwungen
BSI IT-Grundschutz ORP.4.A23 — Zwei-Faktor-Authentisierung für privilegierte Konten.
Rechtsgrundlage: NIS2 Art. 21(2)(j) / ENISA TIG §11.3
Recovery Time Objective (RTO) in Stunden
BSI IT-Grundschutz DER.4 — maximal tolerierbare Ausfallzeit für den Kundenservice.
Rechtsgrundlage: NIS2 Art. 21(2)(c) / ENISA TIG §4
On-Premise-spezifisch
4 felderBereitstellung einer Software Bill of Materials (SBOM)
CRA / NIS2 Lieferketten-Transparenz. Format: CycloneDX oder SPDX.
Rechtsgrundlage: CRA / NIS2 Art. 21(2)(d)
Releases sind kryptografisch signiert
BSI IT-Grundschutz CON.8 Software-Entwicklung — signierte Releases verhindern Lieferketten-Manipulation.
Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Veröffentlichte Vulnerability-Disclosure-Policy
BSI IT-Grundschutz CON.10. Öffentliche security.txt oder Kontakt für Schwachstellenmeldungen.
Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §3
Patch-SLA für kritische CVEs (Stunden)
Zeit von CVE-Veröffentlichung bis zur Patch-Verfügbarkeit für kritische Schwachstellen.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(f)
Professional Services
3 felderUmfang der Zuverlässigkeitsprüfung
BSI IT-Grundschutz ORP.2.A14 — Personalprüfung für sensible Rollen.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / CIR 2024/2690 §5.1.4(c)
NDA mit allen Beratern abgeschlossen
BSI IT-Grundschutz ORP.2.A2 — Vertraulichkeitsvereinbarungen mit allen Beratern.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.4
Dokumentierte Verhaltensrichtlinie auf Kundenstandort
BSI IT-Grundschutz ORP.3.A4 — Sicherheitssensibilisierung auf Kundenstandort.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Managed Services
3 felderPrivileged Access Management (PAM) im Einsatz
BSI IT-Grundschutz ORP.4.A26 — PAM für administrativen Fernzugriff.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Admin-Sitzungen werden aufgezeichnet
BSI IT-Grundschutz OPS.1.2.5.A11 — aufgezeichnete Fernwartungssitzungen.
Rechtsgrundlage: NIS2 Art. 21(2)(f) / ENISA TIG §10
24/7-Bereitschaft
BSI IT-Grundschutz DER.2.1 — Erkennungs- und Reaktionsabdeckung für Vorfälle.
Rechtsgrundlage: NIS2 Art. 21(2)(b) / ENISA TIG §3
Dieser Fragebogen deckt die EU-rechtliche Substanz für NIS 2 Lieferantenbewertungen ab. Er ist als geteilte Basis gedacht, nicht als vollständige sektorspezifische Vorlage.
Ergänzungen aus TISAX, VDA ISA, BSI C5, KRITIS-Auditkatalogen oder eigenen Risikoanforderungen gehören als Overlay obendrauf. Forken Sie das Repository, erweitern Sie es um Ihre Sektor-Fragen, oder nutzen Sie die geteilten Felder als Grundlage für Ihre eigene Vorlage.