norppa.io
Leitfäden

NIS2-Leitfaden · 9 Min.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Ein Sicherheitsfragebogen für Lieferanten ist das Rückgrat der Due Diligence nach NIS2 Art. 21 Abs. 2 Buchst. d — doch die meisten sind zu lang, schlecht bewertet und werden nie überprüft. Dieser Leitfaden zeigt, was man tatsächlich fragen sollte, wie man Antworten in Entscheidungen überführt, wie man reagiert, wenn ein Lieferant Mängel aufweist, und die eine Schwäche, die jeder Fragebogen teilt. Am Ende steht eine sofort nutzbare Vorlage.

Was fragen — die sechs entscheidenden Bereiche

Ein guter Fragebogen ist kurz und entscheidungsorientiert. Decken Sie diese sechs Bereiche ab; widerstehen Sie dem Drang, fünfzig weitere Felder hinzuzufügen, die niemand bewertet.

1

Governance und Verantwortlichkeit

Wer verantwortet die Sicherheit, und beaufsichtigt die Leitung sie wirklich? NIS2 macht die Geschäftsleitung haftbar, daher ist dies das erste Reifezeichen.

2

Zugangskontrolle und Authentifizierung

Schwache Authentifizierung ist der häufigste Angriffsweg. Mehr-Faktor-Authentifizierung und das Least-Privilege-Prinzip sind Grundanforderung, kein Bonus.

3

Vorfallreaktion und Meldung

Sie brauchen einen Lieferanten, der schnell erkennt, eindämmt und informiert — die 24-Stunden-Uhr (Art. 23) kann durch seinen Vorfall starten, nicht durch Ihren.

4

Geschäftskontinuität und Backups

Wenn der Lieferant ausfällt oder per Ransomware lahmgelegt wird: Wie schnell ist der Dienst wieder da? Getestete Backups und eine angegebene Wiederherstellungszeit zählen.

5

Lieferkette und Viert-Parteien-Risiko

Die Lieferanten Ihres Lieferanten sind auch Ihr Risiko. Fragen Sie, ob er seine eigenen kritischen Unterauftragnehmer bewertet und Änderungen meldet.

6

Technik und Datenschutz

Verschlüsselung, Patch-Takt und Datenstandort — die konkreten Kontrollen, die ein externer Scan später bestätigen kann.

Wie Antworten bewerten — nicht nur sammeln

Ein Fragebogen bringt nur Nutzen, wenn die Antworten eine Entscheidung verändern. Bewerten Sie, statt nur abzulegen:

  • Nach Kritikalität gewichten — ein 'Nein' bei MFA von einem Lieferanten mit Ihren Kundendaten wiegt schwerer als ein fehlendes Richtliniendokument eines unkritischen Anbieters. Gewichten Sie die Fragen vor dem Versand.
  • 'In Arbeit' als 'Nein' behandeln — bis eine Kontrolle eingerichtet und belegt ist, bewerten Sie sie als Lücke mit Behebungsdatum, nicht als bestanden.
  • Nicht-Antworten markieren — vage oder ausweichende Antworten sind selbst ein Signal. Verlangen Sie Konkretes oder Nachweise statt eines Häkchens.
  • Planmäßig neu erheben — Antworten verfallen. Ein jährlicher Fragebogen bildet einen einzigen Tag ab, nicht das darauf folgende Jahr.

Was tun, wenn ein Lieferant Mängel aufweist

Eine Lücke ist nicht automatisch ein Grund, einen Lieferanten fallen zu lassen — aber sie muss zu etwas führen. Vereinbaren Sie einen Behebungsplan mit benannten Verantwortlichen und Terminen, halten Sie ihn fest und machen Sie wesentliche Lücken vertraglich: ein Recht auf Nachweise, ein Behebungsdatum und einen Eskalationspfad bei Verzug.

Bei kritischen Lieferanten koppeln Sie die Behebung an die Beziehung: erneute Bewertung vor der Verlängerung, Sicherheitsklauseln im Vertrag und das Recht, Nachweise zu verlangen — nicht nur Behauptungen. Dokumentieren Sie die Entscheidung in jedem Fall. Ein Restrisiko zu akzeptieren ist eine legitime Wahl, aber nur als dokumentierte, verantwortete Entscheidung statt als Versäumnis.

Der blinde Fleck des Fragebogens: Selbstauskunft

Jede Antwort in einem Fragebogen ist eine Behauptung, die der Lieferant über sich selbst aufstellt. Manche sind ehrlich, manche optimistisch, manche schlicht veraltet, wenn Sie sie lesen. Ein Fragebogen sagt Ihnen, was ein Lieferant über seine Sicherheit glaubt — oder Sie glauben machen will — nicht, was tatsächlich im Internet exponiert ist.

Deshalb verbinden die stärksten Programme den SAQ mit externen technischen Nachweisen. Antwortet ein Lieferant 'ja, der gesamte Verkehr ist verschlüsselt', ein Scan findet aber ein abgelaufenes Zertifikat oder ein Klartext-Login-Formular, haben Sie einen Widerspruch, der ein Gespräch wert ist. Der Fragebogen erfasst Prozess und Absicht; kontinuierliches externes Monitoring bestätigt — oder widerlegt — ihn. Nutzen Sie beides.

Eine kostenlose Fragebogenvorlage zum Anpassen

Kopieren Sie diese Abschnitte in Ihren Prozess. Halten Sie Antworten bei Ja / Nein / In Arbeit plus einem Nachweisfeld, damit jede Aussage später belegt werden kann.

1. Governance und Verantwortlichkeit

  • Gibt es eine benannte Person, die für Informationssicherheit verantwortlich ist?
  • Hat die Geschäftsleitung in den letzten 12 Monaten eine Sicherheitsrichtlinie genehmigt?
  • Erhalten Mitarbeitende mindestens jährlich eine Sicherheitsschulung?

2. Zugangskontrolle und Authentifizierung

  • Ist Mehr-Faktor-Authentifizierung für Fern- und Administrationszugriffe erzwungen?
  • Werden Zugriffsrechte überprüft und bei Rollenwechseln zeitnah entzogen?
  • Wird Least Privilege auf Systeme mit unseren Daten angewendet?

3. Vorfallreaktion und Meldung

  • Gibt es einen dokumentierten Vorfallreaktionsplan, der in den letzten 12 Monaten getestet wurde?
  • Können Sie uns innerhalb von 24 Stunden über einen relevanten Vorfall informieren?
  • Hatten Sie in den letzten 24 Monaten eine meldepflichtige Verletzung? Falls ja, was wurde geändert?

4. Geschäftskontinuität und Backups

  • Sind Backups verschlüsselt, getestet und offline oder unveränderlich gespeichert?
  • Wie hoch ist Ihre Wiederherstellungszeit (RTO) für den uns bereitgestellten Dienst?
  • Haben Sie einen Notfallwiederherstellungsplan, und wann wurde er zuletzt geübt?

5. Lieferkette und Viert-Parteien-Risiko

  • Bewerten Sie die Sicherheit Ihrer eigenen kritischen Unterauftragnehmer?
  • Melden Sie uns Änderungen bei Unterauftragsverarbeitern, die unsere Daten verarbeiten?
  • Verfügen Sie über einschlägige Zertifizierungen (z. B. ISO 27001)? Können Sie den Geltungsbereich teilen?

6. Technik und Datenschutz

  • Sind Daten bei Übertragung und Speicherung nach aktuellen Standards verschlüsselt?
  • Führen Sie regelmäßige Schwachstellen-Scans durch und patchen nach festem Zeitplan?
  • In welchen Jurisdiktionen werden unsere Daten gespeichert und verarbeitet?

Quelle: Richtlinie (EU) 2022/2555 (NIS2), Art. 21 Abs. 2 Buchst. d — Sicherheit der Lieferkette — ordnen Sie Ihre Fragen den Art.-21-Maßnahmen und Ihrem nationalen Umsetzungsgesetz zu.

Wie norppa.io hilft

norppa.io sendet Selbstauskunftsfragebögen (SAQ) direkt aus der Plattform an Ihre Lieferanten — keine Tabellen, kein Hinterherjagen von E-Mail-Threads. Antworten werden nachverfolgt, versioniert und nach der obigen Risikogewichtung bewertet.

Entscheidend: Jede SAQ-Antwort wird mit dem aktuellen technischen Risikoprofil des Lieferanten abgeglichen (100+ Prüfungen, täglich). Widerspricht eine positive Aussage dem, was wir beobachten, kennzeichnet norppa.io sie als nachweisgestützt — Sie sehen also nicht nur, was Lieferanten sagen, sondern ob es standhält. Der blinde Fleck des Fragebogens, geschlossen.

Senden Sie Ihren ersten SAQ — und sehen Sie ihn gegengeprüft

Sehen Sie einen Beispiel-Lieferantenbericht oder wie Fragebögen in norppa.io funktionieren.

Beispielbericht ansehen Über den SAQ

Verwandte Leitfäden

NIS2 und die Lieferkettenpflicht — was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.