NIS 2 Lieferanten-Fragebogen
Die Fragen, die ein NIS 2 verpflichtetes Unternehmen seinen Lieferanten stellen muss. Einmal sauber an EU-Recht verankert. Frei nutzbar.
Fast jede Procurement-Abteilung im deutschen Mittelstand schreibt aktuell ihren eigenen NIS 2 Lieferanten-Fragebogen. Die gleichen rund 50 EU-verankerten Fragen, in leicht anderer Form, an Lieferanten verschickt, die fünf Versionen davon ausfüllen müssen. Dieser Fragebogen ist die geteilte Basis.
Jedes Feld ist an eine EU-rechtliche Primärquelle verankert: NIS 2 Art. 21(2), CIR 2024/2690, ENISA Technical Implementation Guidance, DSGVO Art. 28 oder den Cyber Resilience Act. Sektorspezifische Erweiterungen wie TISAX, VDA ISA, BSI C5 oder KRITIS-Vorgaben ergänzen die Basis, ersetzen sie nicht.
- Version
- 3.1.0
- Stand
- 2026-05-15
- Felder
- 59
- Lizenz
- MIT (Schema) + CC BY 4.0 (Inhalt)
Lieferantenprofil
18 felderFirmierung (Rechtsname)
Der eingetragene Name Ihres Unternehmens, so wie er im Handelsregister steht. Beispiel: Müller GmbH oder Schmidt AG.
Rechtsgrundlage: ENISA TIG §5.2
Geschäftsanschrift
Die Geschäftsanschrift Ihres Unternehmens. Eine Adresse genügt, auch wenn Sie mehrere Standorte haben.
Rechtsgrundlage: ENISA TIG §5.2
Land
Das Land, in dem Ihr Unternehmen rechtlich sitzt. Zwei Buchstaben, zum Beispiel DE für Deutschland.
Rechtsgrundlage: ENISA TIG §5.2
Primäre Domain
Ihre Hauptdomain, üblicherweise die Adresse Ihrer Webseite. Beispiel: muellergmbh.de.
Rechtsgrundlage: ENISA TIG §5.2(b)
Slogan (eine Zeile, kundenseitig sichtbar)
Eine Zeile, die Ihre Leistung zusammenfasst. Kunden sehen diese im Lieferantenprofil. Beispiel: ERP für mittelständische Produktion.
Rechtsgrundlage: ENISA TIG §5.2(b)
Öffentliche Beschreibung (länger)
Zwei bis drei Sätze über Ihr Unternehmen und Ihre Leistung. Diese Beschreibung erscheint auf Ihrem Lieferantenprofil. Verkaufsversprechen, Sicherheitspositionierung oder beides.
Rechtsgrundlage: ENISA TIG §5.2(b)
Beschreibung der erbrachten Leistungen
Ein Absatz darüber, was Ihr Unternehmen Kunden technisch liefert. Konkrete Produkte, Module oder Dienstleistungen. Vermeiden Sie reine Marketing-Sprache.
Rechtsgrundlage: ENISA TIG §5.2(b) + §5.1.4 TIPS
Länder / Regionen, in denen Kundendaten verarbeitet werden
Alle Länder, in denen Kundendaten Ihrer Kunden gespeichert oder verarbeitet werden. Komma-getrennt, ISO-Ländercodes. Beispiel: DE, NL, US. Wenn Sie ausschließlich in der EU verarbeiten, reicht eine Liste der EU-Länder.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Name des Sicherheitskontakts
Wer bei einem Sicherheitsvorfall direkt angesprochen wird. Bei kleineren Unternehmen oft die Geschäftsführung oder die IT-Leitung. Eine Person genügt.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)
E-Mail für Vorfälle
E-Mail-Adresse, die Kunden bei einem Sicherheitsvorfall verwenden. Idealerweise ein Verteiler wie security@firma.de, der mehrere Personen erreicht.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)
Telefonnummer für Vorfälle (24/7)
Telefonnummer für dringende Vorfallsmeldungen. Wenn Sie keinen 24/7-Bereitschaftsdienst haben, geben Sie die Geschäftszeiten in Klammern an.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)
Meldefrist für Vorfälle (Stunden)
Wie viele Stunden Sie maximal brauchen, um einen Kunden nach Erkennung eines Vorfalls zu informieren. Realistische Selbsteinschätzung, nicht Wunschwert. Übliche Werte: 24, 48 oder 72 Stunden.
Rechtsgrundlage: NIS2 Art. 23
BSI-Registrierungs-ID (nur falls Ihr Unternehmen selbst NIS2-reguliert ist)
Wenn Ihr Unternehmen selbst der NIS 2 unterliegt und beim BSI registriert ist, tragen Sie die Registrierungs-ID hier ein. Optional. Kunden sehen damit auf einen Blick, dass Sie als regulierte Einrichtung dieselbe Pflicht erfüllen.
Rechtsgrundlage: ENISA TIG §5.1.2
Wir bieten SaaS / gehostete Dienste
Sie betreiben Software für Kunden auf eigener Infrastruktur und liefern sie über das Internet. Mehrfachauswahl möglich, wenn Sie mehrere Modelle anbieten.
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir liefern On-Prem-Software
Sie liefern Software, die Ihre Kunden auf ihrer eigenen Infrastruktur installieren und betreiben.
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir bieten Dienstleistungen / Beratung
Sie liefern menschliche Arbeit als Hauptleistung: Beratung, Implementierung, Schulung, Audit oder Customizing.
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir bieten Managed Services / MSP
Sie betreiben Teile der IT-Landschaft des Kunden für ihn, mit eigenem Personal. Typisch für MSP- und MSSP-Modelle.
Rechtsgrundlage: ENISA TIG §5.2(b)
Wir nutzen, integrieren oder bieten KI-Systeme
Verarbeiten Ihre Produkte oder Dienste Kundendaten durch ein KI- oder ML-Modell? Inklusive externer Modelle, die Sie über eine API anbinden, zum Beispiel OpenAI oder Anthropic.
Rechtsgrundlage: NIS2 Art. 21(2)(d)
Sicherheitspraktiken
26 felderDokumentiertes Informationssicherheits-Managementsystem (ISMS)
Ja, wenn Sie eine schriftliche Informationssicherheits-Richtlinie haben, klar zugewiesene Rollen, regelmäßige Überprüfungen und einen dokumentierten Umgang mit Vorfällen. ISO 27001 oder BSI Grundschutz Zertifizierung bedeutet automatisch Ja.
Rechtsgrundlage: CIR 2024/2690 §5.1.2(a)
ISO 27001, BSI Grundschutz oder gleichwertige Zertifizierung
Ja, wenn Ihr Unternehmen aktuell nach ISO 27001, BSI Grundschutz, SOC 2 Type II oder einem gleichwertigen Standard zertifiziert ist. Das Zertifikat laden Sie im Reiter Zertifizierungen hoch.
Rechtsgrundlage: CIR 2024/2690 §5.1.2(b)
Jährliche Security-Awareness-Schulung für alle Mitarbeitenden
Ja, wenn alle Mitarbeitenden mindestens einmal pro Jahr eine Awareness-Schulung zur Informationssicherheit erhalten. E-Learning genügt, Phishing-Simulationen kommen oben drauf.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(b)
Zuverlässigkeitsprüfung für Mitarbeitende mit Kundendaten-Zugriff
Ja, wenn Sie für Mitarbeitende mit Zugang zu Kundendaten eine Zuverlässigkeitsprüfung durchführen. Übliche Stufe: polizeiliches Führungszeugnis oder vergleichbares Dokument bei der Einstellung.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(c)
Dokumentierter Schwachstellen- und Patch-Management-Prozess
Ja, wenn Sie einen schriftlichen Prozess für die Behandlung von Sicherheitslücken haben: erkennen, bewerten, priorisieren, patchen oder mitigieren. CVE-Monitoring und SLA-basiertes Patching gelten als Standard.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(f)
Akzeptanz des Auditrechts (oder Bereitstellung von Auditberichten)
Ja, wenn Sie Kunden entweder ein Auditrecht vor Ort einräumen oder ihnen stellvertretend Auditberichte (zum Beispiel SOC 2, ISAE 3402) zur Verfügung stellen.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(e)
Einsatz von Sub-Unternehmern / Sub-Lieferanten
Ja, wenn Sie für die Leistungserbringung andere Unternehmen einsetzen, die Zugang zu Kundendaten oder Kunden-Infrastruktur haben. Typische Beispiele: AWS, Azure, Cloudflare, Stripe.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(g)
Liste der Sub-Unternehmer
Liste aller Sub-Unternehmer mit Name, Verarbeitungsstandort und Aufgabe. Eine Tabelle oder Stichpunktliste genügt. Aktualisieren Sie diese, wenn Sie einen Sub-Unternehmer hinzufügen oder entfernen.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(g)
Verpflichtung zur Rückgabe / Vernichtung von Kundendaten bei Vertragsende
Ja, wenn Sie sich vertraglich verpflichten, Kundendaten am Ende des Vertrags zurückzugeben oder zu vernichten. Üblich: Rückgabe als Export, dann Löschung innerhalb von 30 Tagen.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(h)
Standard-Auftragsverarbeitungsvertrag (AVV) verfügbar
Ja, wenn Sie einen standardisierten Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO haben, den Kunden unterschreiben können. Notwendig, sobald Sie personenbezogene Daten verarbeiten.
Rechtsgrundlage: GDPR Art. 28
Sicherheitsrichtlinien werden mindestens jährlich überprüft
Ja, wenn Ihre Sicherheitsrichtlinien mindestens jährlich überprüft und bei Bedarf aktualisiert werden. Eine schriftliche Notiz im Dokument genügt als Nachweis.
Rechtsgrundlage: NIS2 Art. 21(2)(a) / ENISA TIG §1.1
Dokumentierter Notfall-/Incident-Response-Plan
Ja, wenn Sie einen schriftlichen Plan für den Umgang mit Sicherheitsvorfällen haben: wer entscheidet, wer kommuniziert, wer dokumentiert. Mindestens eine Tabletop-Übung pro Jahr ist gute Praxis.
Rechtsgrundlage: NIS2 Art. 21(2)(b) / ENISA TIG §3
Dokumentierter Business-Continuity- / Disaster-Recovery-Plan
Ja, wenn Sie einen Plan haben, der erklärt, wie Sie den Betrieb bei einem Ausfall aufrechterhalten oder schnell wiederherstellen: kritische Systeme, Ersatzwege, RTO und RPO Ziele.
Rechtsgrundlage: NIS2 Art. 21(2)(c) / ENISA TIG §4
Dokumentierte Kryptografie-Richtlinie
Ja, wenn Sie schriftlich festgelegt haben, welche Verschlüsselungsverfahren Sie wofür einsetzen: Daten im Transit (TLS 1.2+), Daten im Ruhezustand (AES-256), Schlüsselverwaltung, ausgewählte Hashing-Verfahren.
Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9
Privileged Access Management (PAM) für interne Mitarbeitende
Ja, wenn Administratoren und privilegierte Konten besondere Kontrollen haben: separater Login, MFA, Sitzungsprotokollierung oder zeitlich befristete Berechtigung.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
MFA für alle internen Admin- / privilegierten Konten erzwungen
Ja, wenn alle internen Administrator-Konten oder Konten mit erhöhten Rechten MFA erzwingen müssen. Hardware-Tokens oder Authenticator-Apps zählen, SMS ist nicht ausreichend.
Rechtsgrundlage: NIS2 Art. 21(2)(j)
Asset-Inventar wird gepflegt
Ja, wenn Sie eine aktuelle Liste aller Informationssysteme führen, die Sie für die Leistungserbringung einsetzen: Server, Datenbanken, SaaS-Werkzeuge, Endgeräte. Eine Tabelle genügt.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §12.4
Jährliches oder zweijährliches Penetrationstest-Programm
Ja, wenn Sie mindestens alle ein bis zwei Jahre einen externen Penetrationstest beauftragen. Bei kleineren Unternehmen ist eine externe Schwachstellenanalyse als Mindestschritt akzeptabel.
Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Wir legen frühere meldepflichtige Sicherheitsvorfälle auf Anfrage offen
Ja, wenn Sie auf Kundenanfrage offen kommunizieren, ob und welche meldepflichtigen Sicherheitsvorfälle Ihr Unternehmen in der Vergangenheit hatte. Übliche Schwelle: die letzten drei bis fünf Jahre.
Rechtsgrundlage: ENISA TIG §5.1.2
Wir unterstützen Kunden im Vorfall ohne / zu vorab definierten Kosten
Ja, wenn Sie sich verpflichten, Kunden bei einem durch Ihr Produkt oder Ihre Dienstleistung verursachten Vorfall ohne zusätzliche Kosten zu unterstützen. Wenn Sie stattdessen einen vorab definierten Tagessatz vereinbaren, wählen Sie auch Ja.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Vollständige Kooperation mit zuständigen Behörden (BSI, ENISA, nationale CSIRTs)
Ja, wenn Sie sich verpflichten, mit zuständigen Behörden wie BSI, ENISA oder nationalen CSIRTs bei Inspektionen, Audits und Vorfallbearbeitung vollständig zu kooperieren. Standard für seriöse Lieferanten.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Wir benachrichtigen Kunden über jede wesentliche Änderung der Leistungserbringung
Ja, wenn Sie sich verpflichten, Kunden über jede wesentliche Veränderung zu informieren, die Ihre Fähigkeit zur Leistungserbringung beeinflusst: Übernahmen, Wechsel des Sub-Unternehmers, größere technische Umstellungen.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Wir benachrichtigen Kunden im Voraus, wenn sich Verarbeitungsstandorte ändern
Ja, wenn Sie Kunden im Voraus informieren, bevor sich der Verarbeitungsstandort ihrer Daten ändert. Wichtig für Datenschutz und für DSGVO-konforme Lieferkettenkontrolle.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Dokumentierte Exit-Strategie mit verpflichtender Übergangszeit
Ja, wenn Sie eine schriftliche Exit-Strategie haben: Wie lange dauert der geordnete Übergang, welche Daten und welches Wissen werden übergeben, welche Mitwirkungspflichten gelten in dieser Phase.
Rechtsgrundlage: ENISA TIG §5.1.4 TIPS
Wir stellen ein SBOM-for-AI nach G7-Mindestelementen bereit
Optional. Ja, wenn Sie eine SBOM-for-AI nach den G7-Mindestelementen (Mai 2026) bereitstellen können. Dokumentiert Metadaten, Modelle, Trainingsdaten, Infrastruktur, Sicherheitsmerkmale, KPIs und Systemverhalten. Freiwilliger Standard.
Rechtsgrundlage: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
URL des SBOM-for-AI-Dokuments
Öffentliche oder geteilte URL zu Ihrem SBOM-for-AI-Dokument. Kann ein PDF, eine JSON-Datei oder eine Projektseite sein.
Rechtsgrundlage: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2
SaaS-spezifisch
5 felderHosting-Region
Die Cloud-Region, in der Kundendaten gehostet werden. Beispiel: AWS eu-central-1, Azure West Europe. Geben Sie die Hauptregion an, Sekundär- oder Backup-Regionen kommen als kommagetrennte Liste dazu.
Rechtsgrundlage: ENISA TIG §5.2
Verschlüsselung im Ruhezustand
Ja, wenn Kundendaten auf der Festplatte mit AES-256 oder gleichwertig verschlüsselt sind. Cloud-verwaltete Festplattenverschlüsselung (AWS EBS, Azure Disk Encryption) zählt.
Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9
Verschlüsselung bei Übertragung (TLS ≥ 1.2)
Ja, wenn alle kundenseitigen Endpunkte mindestens TLS 1.2 erzwingen. TLS 1.3 ist vorzuziehen. Reines HTTP muss auf HTTPS weiterleiten.
Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9
MFA für alle Admin-Konten erzwungen
Ja, wenn jedes interne Admin-Konto auf der SaaS-Plattform MFA verwenden muss. Gleicher Standard wie für Ihre internen Admin-Vorgaben.
Rechtsgrundlage: NIS2 Art. 21(2)(j) / ENISA TIG §11.3
Recovery Time Objective (RTO) in Stunden
Maximale Anzahl Stunden, die Ihr Dienst ausfallen darf, bevor die Wiederherstellung greift. Realistischer SLA-Wert, kein Wunschwert. Übliche SaaS-Werte: 4, 8 oder 24 Stunden.
Rechtsgrundlage: NIS2 Art. 21(2)(c) / ENISA TIG §4
On-Premise-spezifisch
4 felderBereitstellung einer Software Bill of Materials (SBOM)
Ja, wenn Sie mit jedem Release eine Software Bill of Materials ausliefern. Standardformate: CycloneDX oder SPDX. Verpflichtend nach dem Cyber Resilience Act für Produkte, die ab Dezember 2027 auf den EU-Markt kommen.
Rechtsgrundlage: CRA / NIS2 Art. 21(2)(d)
Releases sind kryptografisch signiert
Ja, wenn jedes Release-Artefakt eine kryptografische Signatur trägt, die Kunden prüfen können. Signaturschlüssel sind dokumentiert und werden rotiert. Sigstore- oder PGP-Signaturen zählen beide.
Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §6.5
Veröffentlichte Vulnerability-Disclosure-Policy
Ja, wenn Sie einen öffentlich dokumentierten Meldeweg für Sicherheitslücken haben. Eine security.txt-Datei auf Ihrer Domain (nach RFC 9116) oder eine dedizierte E-Mail wie security@firma.de genügt.
Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §3
Patch-SLA für kritische CVEs (Stunden)
Stunden von der öffentlichen CVE-Veröffentlichung bis zum gepatchten Release für kritische Schwachstellen (CVSS 9.0+). Realistische Zusage, kein Wunschwert. Übliche Werte: 24, 48 oder 72 Stunden.
Rechtsgrundlage: CIR 2024/2690 §5.1.4(f)
Professional Services
3 felderUmfang der Zuverlässigkeitsprüfung
Beschreiben Sie, wie Sie Berater für sensible Rollen prüfen. Beispiel: polizeiliches Führungszeugnis für alle Berater, zusätzlich Referenzprüfungen bei Einsätzen mit klassifizierten Daten.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / CIR 2024/2690 §5.1.4(c)
NDA mit allen Beratern abgeschlossen
Ja, wenn jeder Berater vor dem Einsatz beim Kunden eine Vertraulichkeitsvereinbarung unterschreibt. Entweder als Bestandteil des Arbeitsvertrags oder als separates NDA.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.4
Dokumentierte Verhaltensrichtlinie auf Kundenstandort
Ja, wenn Sie eine schriftliche Verhaltensrichtlinie für Berater im Kundeneinsatz haben: Umgang mit Ausweisen, Sperrbildschirm-Pflicht, Verhalten beim Datenexport vom Standort.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Managed Services
3 felderPrivileged Access Management (PAM) im Einsatz
Ja, wenn Sie für administrative Fernzugriffe auf Kundensysteme ein Privileged-Access-Management einsetzen. Beispiele: CyberArk, BeyondTrust, Teleport. Ein protokolliertes Jumphost-Setup zählt.
Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3
Admin-Sitzungen werden aufgezeichnet
Ja, wenn Admin-Sitzungen auf Kundensystemen aufgezeichnet und für die Nachprüfung aufbewahrt werden. Übliche Aufbewahrung: 90 Tage bis 1 Jahr. Notwendig für forensische Rekonstruktion nach Vorfällen.
Rechtsgrundlage: NIS2 Art. 21(2)(f) / ENISA TIG §10
24/7-Bereitschaft
Ja, wenn Sie eine 24/7-Bereitschaft betreiben, die auf Sicherheitsvorfälle auf Kundensystemen reagiert. Reine Unterstützung zu Geschäftszeiten qualifiziert sich nicht.
Rechtsgrundlage: NIS2 Art. 21(2)(b) / ENISA TIG §3
Dieser Fragebogen deckt die EU-rechtliche Substanz für NIS 2 Lieferantenbewertungen ab. Er ist als geteilte Basis gedacht, nicht als vollständige sektorspezifische Vorlage.
Ergänzungen aus TISAX, VDA ISA, BSI C5, KRITIS-Auditkatalogen oder eigenen Risikoanforderungen gehören als Overlay obendrauf. Forken Sie das Repository, erweitern Sie es um Ihre Sektor-Fragen, oder nutzen Sie die geteilten Felder als Grundlage für Ihre eigene Vorlage.