Offener Standard

NIS 2 Lieferanten-Fragebogen

Die Fragen, die ein NIS 2 verpflichtetes Unternehmen seinen Lieferanten stellen muss. Einmal sauber an EU-Recht verankert. Frei nutzbar.

Fast jede Procurement-Abteilung im deutschen Mittelstand schreibt aktuell ihren eigenen NIS 2 Lieferanten-Fragebogen. Die gleichen rund 50 EU-verankerten Fragen, in leicht anderer Form, an Lieferanten verschickt, die fünf Versionen davon ausfüllen müssen. Dieser Fragebogen ist die geteilte Basis.

Jedes Feld ist an eine EU-rechtliche Primärquelle verankert: NIS 2 Art. 21(2), CIR 2024/2690, ENISA Technical Implementation Guidance, DSGVO Art. 28 oder den Cyber Resilience Act. Sektorspezifische Erweiterungen wie TISAX, VDA ISA, BSI C5 oder KRITIS-Vorgaben ergänzen die Basis, ersetzen sie nicht.

Herunterladen
Direkt nutzbar oder als Ausgangspunkt für die eigene Procurement-Vorlage.
Version
3.1.0
Stand
2026-05-15
Felder
59
Lizenz
MIT (Schema) + CC BY 4.0 (Inhalt)

Lieferantenprofil

18 felder

Firmierung (Rechtsname)

stringPflichtfeld

Der eingetragene Name Ihres Unternehmens, so wie er im Handelsregister steht. Beispiel: Müller GmbH oder Schmidt AG.

Rechtsgrundlage: ENISA TIG §5.2

Geschäftsanschrift

stringPflichtfeld

Die Geschäftsanschrift Ihres Unternehmens. Eine Adresse genügt, auch wenn Sie mehrere Standorte haben.

Rechtsgrundlage: ENISA TIG §5.2

Land

countryPflichtfeld

Das Land, in dem Ihr Unternehmen rechtlich sitzt. Zwei Buchstaben, zum Beispiel DE für Deutschland.

Rechtsgrundlage: ENISA TIG §5.2

Primäre Domain

urlOptional

Ihre Hauptdomain, üblicherweise die Adresse Ihrer Webseite. Beispiel: muellergmbh.de.

Rechtsgrundlage: ENISA TIG §5.2(b)

Slogan (eine Zeile, kundenseitig sichtbar)

stringOptional

Eine Zeile, die Ihre Leistung zusammenfasst. Kunden sehen diese im Lieferantenprofil. Beispiel: ERP für mittelständische Produktion.

Rechtsgrundlage: ENISA TIG §5.2(b)

Öffentliche Beschreibung (länger)

textOptional

Zwei bis drei Sätze über Ihr Unternehmen und Ihre Leistung. Diese Beschreibung erscheint auf Ihrem Lieferantenprofil. Verkaufsversprechen, Sicherheitspositionierung oder beides.

Rechtsgrundlage: ENISA TIG §5.2(b)

Beschreibung der erbrachten Leistungen

textPflichtfeld

Ein Absatz darüber, was Ihr Unternehmen Kunden technisch liefert. Konkrete Produkte, Module oder Dienstleistungen. Vermeiden Sie reine Marketing-Sprache.

Rechtsgrundlage: ENISA TIG §5.2(b) + §5.1.4 TIPS

Länder / Regionen, in denen Kundendaten verarbeitet werden

stringPflichtfeld

Alle Länder, in denen Kundendaten Ihrer Kunden gespeichert oder verarbeitet werden. Komma-getrennt, ISO-Ländercodes. Beispiel: DE, NL, US. Wenn Sie ausschließlich in der EU verarbeiten, reicht eine Liste der EU-Länder.

Rechtsgrundlage: ENISA TIG §5.1.4 TIPS

Name des Sicherheitskontakts

stringPflichtfeld

Wer bei einem Sicherheitsvorfall direkt angesprochen wird. Bei kleineren Unternehmen oft die Geschäftsführung oder die IT-Leitung. Eine Person genügt.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)

E-Mail für Vorfälle

emailPflichtfeld

E-Mail-Adresse, die Kunden bei einem Sicherheitsvorfall verwenden. Idealerweise ein Verteiler wie security@firma.de, der mehrere Personen erreicht.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)

Telefonnummer für Vorfälle (24/7)

phoneOptional

Telefonnummer für dringende Vorfallsmeldungen. Wenn Sie keinen 24/7-Bereitschaftsdienst haben, geben Sie die Geschäftszeiten in Klammern an.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(d)

Meldefrist für Vorfälle (Stunden)

integerOptional

Wie viele Stunden Sie maximal brauchen, um einen Kunden nach Erkennung eines Vorfalls zu informieren. Realistische Selbsteinschätzung, nicht Wunschwert. Übliche Werte: 24, 48 oder 72 Stunden.

Rechtsgrundlage: NIS2 Art. 23

BSI-Registrierungs-ID (nur falls Ihr Unternehmen selbst NIS2-reguliert ist)

stringOptional

Wenn Ihr Unternehmen selbst der NIS 2 unterliegt und beim BSI registriert ist, tragen Sie die Registrierungs-ID hier ein. Optional. Kunden sehen damit auf einen Blick, dass Sie als regulierte Einrichtung dieselbe Pflicht erfüllen.

Rechtsgrundlage: ENISA TIG §5.1.2

Wir bieten SaaS / gehostete Dienste

booleanPflichtfeld

Sie betreiben Software für Kunden auf eigener Infrastruktur und liefern sie über das Internet. Mehrfachauswahl möglich, wenn Sie mehrere Modelle anbieten.

Rechtsgrundlage: ENISA TIG §5.2(b)

Wir liefern On-Prem-Software

booleanPflichtfeld

Sie liefern Software, die Ihre Kunden auf ihrer eigenen Infrastruktur installieren und betreiben.

Rechtsgrundlage: ENISA TIG §5.2(b)

Wir bieten Dienstleistungen / Beratung

booleanPflichtfeld

Sie liefern menschliche Arbeit als Hauptleistung: Beratung, Implementierung, Schulung, Audit oder Customizing.

Rechtsgrundlage: ENISA TIG §5.2(b)

Wir bieten Managed Services / MSP

booleanPflichtfeld

Sie betreiben Teile der IT-Landschaft des Kunden für ihn, mit eigenem Personal. Typisch für MSP- und MSSP-Modelle.

Rechtsgrundlage: ENISA TIG §5.2(b)

Wir nutzen, integrieren oder bieten KI-Systeme

booleanPflichtfeld

Verarbeiten Ihre Produkte oder Dienste Kundendaten durch ein KI- oder ML-Modell? Inklusive externer Modelle, die Sie über eine API anbinden, zum Beispiel OpenAI oder Anthropic.

Rechtsgrundlage: NIS2 Art. 21(2)(d)

Sicherheitspraktiken

26 felder

Dokumentiertes Informationssicherheits-Managementsystem (ISMS)

booleanPflichtfeld

Ja, wenn Sie eine schriftliche Informationssicherheits-Richtlinie haben, klar zugewiesene Rollen, regelmäßige Überprüfungen und einen dokumentierten Umgang mit Vorfällen. ISO 27001 oder BSI Grundschutz Zertifizierung bedeutet automatisch Ja.

Rechtsgrundlage: CIR 2024/2690 §5.1.2(a)

ISO 27001, BSI Grundschutz oder gleichwertige Zertifizierung

booleanPflichtfeld

Ja, wenn Ihr Unternehmen aktuell nach ISO 27001, BSI Grundschutz, SOC 2 Type II oder einem gleichwertigen Standard zertifiziert ist. Das Zertifikat laden Sie im Reiter Zertifizierungen hoch.

Rechtsgrundlage: CIR 2024/2690 §5.1.2(b)

Jährliche Security-Awareness-Schulung für alle Mitarbeitenden

booleanPflichtfeld

Ja, wenn alle Mitarbeitenden mindestens einmal pro Jahr eine Awareness-Schulung zur Informationssicherheit erhalten. E-Learning genügt, Phishing-Simulationen kommen oben drauf.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(b)

Zuverlässigkeitsprüfung für Mitarbeitende mit Kundendaten-Zugriff

booleanPflichtfeld

Ja, wenn Sie für Mitarbeitende mit Zugang zu Kundendaten eine Zuverlässigkeitsprüfung durchführen. Übliche Stufe: polizeiliches Führungszeugnis oder vergleichbares Dokument bei der Einstellung.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(c)

Dokumentierter Schwachstellen- und Patch-Management-Prozess

booleanPflichtfeld

Ja, wenn Sie einen schriftlichen Prozess für die Behandlung von Sicherheitslücken haben: erkennen, bewerten, priorisieren, patchen oder mitigieren. CVE-Monitoring und SLA-basiertes Patching gelten als Standard.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(f)

Akzeptanz des Auditrechts (oder Bereitstellung von Auditberichten)

booleanPflichtfeld

Ja, wenn Sie Kunden entweder ein Auditrecht vor Ort einräumen oder ihnen stellvertretend Auditberichte (zum Beispiel SOC 2, ISAE 3402) zur Verfügung stellen.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(e)

Einsatz von Sub-Unternehmern / Sub-Lieferanten

booleanPflichtfeld

Ja, wenn Sie für die Leistungserbringung andere Unternehmen einsetzen, die Zugang zu Kundendaten oder Kunden-Infrastruktur haben. Typische Beispiele: AWS, Azure, Cloudflare, Stripe.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(g)

Liste der Sub-Unternehmer

textBedingt

Liste aller Sub-Unternehmer mit Name, Verarbeitungsstandort und Aufgabe. Eine Tabelle oder Stichpunktliste genügt. Aktualisieren Sie diese, wenn Sie einen Sub-Unternehmer hinzufügen oder entfernen.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(g)

Verpflichtung zur Rückgabe / Vernichtung von Kundendaten bei Vertragsende

booleanPflichtfeld

Ja, wenn Sie sich vertraglich verpflichten, Kundendaten am Ende des Vertrags zurückzugeben oder zu vernichten. Üblich: Rückgabe als Export, dann Löschung innerhalb von 30 Tagen.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(h)

Standard-Auftragsverarbeitungsvertrag (AVV) verfügbar

booleanPflichtfeld

Ja, wenn Sie einen standardisierten Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO haben, den Kunden unterschreiben können. Notwendig, sobald Sie personenbezogene Daten verarbeiten.

Rechtsgrundlage: GDPR Art. 28

Sicherheitsrichtlinien werden mindestens jährlich überprüft

booleanPflichtfeld

Ja, wenn Ihre Sicherheitsrichtlinien mindestens jährlich überprüft und bei Bedarf aktualisiert werden. Eine schriftliche Notiz im Dokument genügt als Nachweis.

Rechtsgrundlage: NIS2 Art. 21(2)(a) / ENISA TIG §1.1

Dokumentierter Notfall-/Incident-Response-Plan

booleanPflichtfeld

Ja, wenn Sie einen schriftlichen Plan für den Umgang mit Sicherheitsvorfällen haben: wer entscheidet, wer kommuniziert, wer dokumentiert. Mindestens eine Tabletop-Übung pro Jahr ist gute Praxis.

Rechtsgrundlage: NIS2 Art. 21(2)(b) / ENISA TIG §3

Dokumentierter Business-Continuity- / Disaster-Recovery-Plan

booleanPflichtfeld

Ja, wenn Sie einen Plan haben, der erklärt, wie Sie den Betrieb bei einem Ausfall aufrechterhalten oder schnell wiederherstellen: kritische Systeme, Ersatzwege, RTO und RPO Ziele.

Rechtsgrundlage: NIS2 Art. 21(2)(c) / ENISA TIG §4

Dokumentierte Kryptografie-Richtlinie

booleanPflichtfeld

Ja, wenn Sie schriftlich festgelegt haben, welche Verschlüsselungsverfahren Sie wofür einsetzen: Daten im Transit (TLS 1.2+), Daten im Ruhezustand (AES-256), Schlüsselverwaltung, ausgewählte Hashing-Verfahren.

Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9

Privileged Access Management (PAM) für interne Mitarbeitende

booleanPflichtfeld

Ja, wenn Administratoren und privilegierte Konten besondere Kontrollen haben: separater Login, MFA, Sitzungsprotokollierung oder zeitlich befristete Berechtigung.

Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

MFA für alle internen Admin- / privilegierten Konten erzwungen

booleanPflichtfeld

Ja, wenn alle internen Administrator-Konten oder Konten mit erhöhten Rechten MFA erzwingen müssen. Hardware-Tokens oder Authenticator-Apps zählen, SMS ist nicht ausreichend.

Rechtsgrundlage: NIS2 Art. 21(2)(j)

Asset-Inventar wird gepflegt

booleanPflichtfeld

Ja, wenn Sie eine aktuelle Liste aller Informationssysteme führen, die Sie für die Leistungserbringung einsetzen: Server, Datenbanken, SaaS-Werkzeuge, Endgeräte. Eine Tabelle genügt.

Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §12.4

Jährliches oder zweijährliches Penetrationstest-Programm

booleanPflichtfeld

Ja, wenn Sie mindestens alle ein bis zwei Jahre einen externen Penetrationstest beauftragen. Bei kleineren Unternehmen ist eine externe Schwachstellenanalyse als Mindestschritt akzeptabel.

Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §6.5

Wir legen frühere meldepflichtige Sicherheitsvorfälle auf Anfrage offen

booleanPflichtfeld

Ja, wenn Sie auf Kundenanfrage offen kommunizieren, ob und welche meldepflichtigen Sicherheitsvorfälle Ihr Unternehmen in der Vergangenheit hatte. Übliche Schwelle: die letzten drei bis fünf Jahre.

Rechtsgrundlage: ENISA TIG §5.1.2

Wir unterstützen Kunden im Vorfall ohne / zu vorab definierten Kosten

booleanPflichtfeld

Ja, wenn Sie sich verpflichten, Kunden bei einem durch Ihr Produkt oder Ihre Dienstleistung verursachten Vorfall ohne zusätzliche Kosten zu unterstützen. Wenn Sie stattdessen einen vorab definierten Tagessatz vereinbaren, wählen Sie auch Ja.

Rechtsgrundlage: ENISA TIG §5.1.4 TIPS

Vollständige Kooperation mit zuständigen Behörden (BSI, ENISA, nationale CSIRTs)

booleanPflichtfeld

Ja, wenn Sie sich verpflichten, mit zuständigen Behörden wie BSI, ENISA oder nationalen CSIRTs bei Inspektionen, Audits und Vorfallbearbeitung vollständig zu kooperieren. Standard für seriöse Lieferanten.

Rechtsgrundlage: ENISA TIG §5.1.4 TIPS

Wir benachrichtigen Kunden über jede wesentliche Änderung der Leistungserbringung

booleanPflichtfeld

Ja, wenn Sie sich verpflichten, Kunden über jede wesentliche Veränderung zu informieren, die Ihre Fähigkeit zur Leistungserbringung beeinflusst: Übernahmen, Wechsel des Sub-Unternehmers, größere technische Umstellungen.

Rechtsgrundlage: ENISA TIG §5.1.4 TIPS

Wir benachrichtigen Kunden im Voraus, wenn sich Verarbeitungsstandorte ändern

booleanPflichtfeld

Ja, wenn Sie Kunden im Voraus informieren, bevor sich der Verarbeitungsstandort ihrer Daten ändert. Wichtig für Datenschutz und für DSGVO-konforme Lieferkettenkontrolle.

Rechtsgrundlage: ENISA TIG §5.1.4 TIPS

Dokumentierte Exit-Strategie mit verpflichtender Übergangszeit

booleanPflichtfeld

Ja, wenn Sie eine schriftliche Exit-Strategie haben: Wie lange dauert der geordnete Übergang, welche Daten und welches Wissen werden übergeben, welche Mitwirkungspflichten gelten in dieser Phase.

Rechtsgrundlage: ENISA TIG §5.1.4 TIPS

Wir stellen ein SBOM-for-AI nach G7-Mindestelementen bereit

booleanBedingt

Optional. Ja, wenn Sie eine SBOM-for-AI nach den G7-Mindestelementen (Mai 2026) bereitstellen können. Dokumentiert Metadaten, Modelle, Trainingsdaten, Infrastruktur, Sicherheitsmerkmale, KPIs und Systemverhalten. Freiwilliger Standard.

Rechtsgrundlage: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2

URL des SBOM-for-AI-Dokuments

urlBedingt

Öffentliche oder geteilte URL zu Ihrem SBOM-for-AI-Dokument. Kann ein PDF, eine JSON-Datei oder eine Projektseite sein.

Rechtsgrundlage: NIS2 Art. 21(2)(d) / ENISA TIG §5.1.2

SaaS-spezifisch

5 felder

Hosting-Region

stringBedingt

Die Cloud-Region, in der Kundendaten gehostet werden. Beispiel: AWS eu-central-1, Azure West Europe. Geben Sie die Hauptregion an, Sekundär- oder Backup-Regionen kommen als kommagetrennte Liste dazu.

Rechtsgrundlage: ENISA TIG §5.2

Verschlüsselung im Ruhezustand

booleanBedingt

Ja, wenn Kundendaten auf der Festplatte mit AES-256 oder gleichwertig verschlüsselt sind. Cloud-verwaltete Festplattenverschlüsselung (AWS EBS, Azure Disk Encryption) zählt.

Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9

Verschlüsselung bei Übertragung (TLS ≥ 1.2)

booleanBedingt

Ja, wenn alle kundenseitigen Endpunkte mindestens TLS 1.2 erzwingen. TLS 1.3 ist vorzuziehen. Reines HTTP muss auf HTTPS weiterleiten.

Rechtsgrundlage: NIS2 Art. 21(2)(h) / ENISA TIG §9

MFA für alle Admin-Konten erzwungen

booleanBedingt

Ja, wenn jedes interne Admin-Konto auf der SaaS-Plattform MFA verwenden muss. Gleicher Standard wie für Ihre internen Admin-Vorgaben.

Rechtsgrundlage: NIS2 Art. 21(2)(j) / ENISA TIG §11.3

Recovery Time Objective (RTO) in Stunden

integerBedingt

Maximale Anzahl Stunden, die Ihr Dienst ausfallen darf, bevor die Wiederherstellung greift. Realistischer SLA-Wert, kein Wunschwert. Übliche SaaS-Werte: 4, 8 oder 24 Stunden.

Rechtsgrundlage: NIS2 Art. 21(2)(c) / ENISA TIG §4

On-Premise-spezifisch

4 felder

Bereitstellung einer Software Bill of Materials (SBOM)

booleanBedingt

Ja, wenn Sie mit jedem Release eine Software Bill of Materials ausliefern. Standardformate: CycloneDX oder SPDX. Verpflichtend nach dem Cyber Resilience Act für Produkte, die ab Dezember 2027 auf den EU-Markt kommen.

Rechtsgrundlage: CRA / NIS2 Art. 21(2)(d)

Releases sind kryptografisch signiert

booleanBedingt

Ja, wenn jedes Release-Artefakt eine kryptografische Signatur trägt, die Kunden prüfen können. Signaturschlüssel sind dokumentiert und werden rotiert. Sigstore- oder PGP-Signaturen zählen beide.

Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §6.5

Veröffentlichte Vulnerability-Disclosure-Policy

booleanBedingt

Ja, wenn Sie einen öffentlich dokumentierten Meldeweg für Sicherheitslücken haben. Eine security.txt-Datei auf Ihrer Domain (nach RFC 9116) oder eine dedizierte E-Mail wie security@firma.de genügt.

Rechtsgrundlage: NIS2 Art. 21(2)(e) / ENISA TIG §3

Patch-SLA für kritische CVEs (Stunden)

integerBedingt

Stunden von der öffentlichen CVE-Veröffentlichung bis zum gepatchten Release für kritische Schwachstellen (CVSS 9.0+). Realistische Zusage, kein Wunschwert. Übliche Werte: 24, 48 oder 72 Stunden.

Rechtsgrundlage: CIR 2024/2690 §5.1.4(f)

Professional Services

3 felder

Umfang der Zuverlässigkeitsprüfung

stringBedingt

Beschreiben Sie, wie Sie Berater für sensible Rollen prüfen. Beispiel: polizeiliches Führungszeugnis für alle Berater, zusätzlich Referenzprüfungen bei Einsätzen mit klassifizierten Daten.

Rechtsgrundlage: NIS2 Art. 21(2)(i) / CIR 2024/2690 §5.1.4(c)

NDA mit allen Beratern abgeschlossen

booleanBedingt

Ja, wenn jeder Berater vor dem Einsatz beim Kunden eine Vertraulichkeitsvereinbarung unterschreibt. Entweder als Bestandteil des Arbeitsvertrags oder als separates NDA.

Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.4

Dokumentierte Verhaltensrichtlinie auf Kundenstandort

booleanBedingt

Ja, wenn Sie eine schriftliche Verhaltensrichtlinie für Berater im Kundeneinsatz haben: Umgang mit Ausweisen, Sperrbildschirm-Pflicht, Verhalten beim Datenexport vom Standort.

Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Managed Services

3 felder

Privileged Access Management (PAM) im Einsatz

booleanBedingt

Ja, wenn Sie für administrative Fernzugriffe auf Kundensysteme ein Privileged-Access-Management einsetzen. Beispiele: CyberArk, BeyondTrust, Teleport. Ein protokolliertes Jumphost-Setup zählt.

Rechtsgrundlage: NIS2 Art. 21(2)(i) / ENISA TIG §11.3

Admin-Sitzungen werden aufgezeichnet

booleanBedingt

Ja, wenn Admin-Sitzungen auf Kundensystemen aufgezeichnet und für die Nachprüfung aufbewahrt werden. Übliche Aufbewahrung: 90 Tage bis 1 Jahr. Notwendig für forensische Rekonstruktion nach Vorfällen.

Rechtsgrundlage: NIS2 Art. 21(2)(f) / ENISA TIG §10

24/7-Bereitschaft

booleanBedingt

Ja, wenn Sie eine 24/7-Bereitschaft betreiben, die auf Sicherheitsvorfälle auf Kundensystemen reagiert. Reine Unterstützung zu Geschäftszeiten qualifiziert sich nicht.

Rechtsgrundlage: NIS2 Art. 21(2)(b) / ENISA TIG §3

Verwendung

Dieser Fragebogen deckt die EU-rechtliche Substanz für NIS 2 Lieferantenbewertungen ab. Er ist als geteilte Basis gedacht, nicht als vollständige sektorspezifische Vorlage.

Ergänzungen aus TISAX, VDA ISA, BSI C5, KRITIS-Auditkatalogen oder eigenen Risikoanforderungen gehören als Overlay obendrauf. Forken Sie das Repository, erweitern Sie es um Ihre Sektor-Fragen, oder nutzen Sie die geteilten Felder als Grundlage für Ihre eigene Vorlage.

Lieferantenbewertung mit Audit-Log
Auf der nisd2.eu Plattform werden diese Fragen direkt verschickt, beantwortet, signiert und auditierbar abgelegt. Kostenlos, Open Source, kein Lock-in.