Lieferanten-Audit-Fragebogen: 40 Fragen für NIS2
TL;DR
- 40-Fragen-Audit-Fragebogen für Top-20-Lieferanten sofort einsetzbar
- 4 Themenbereiche: DSGVO, Informationssicherheit (NIS2), AGG, Geschäftspraktiken
- Pflicht-Basis: § 30 BSIG (NIS2) + Art. 28 DSGVO (AVV) + LkSG (ab 1.000 MA)
- Frequenz: jährlich für Top-20, alle 2 Jahre für Top-100
- Audit-Trail dokumentieren für GF-Reporting + Aufsichts-Audit
Hauptartikel: Hauptartikel: NIS2 Lieferkette absichern — der vollständige Pillar-Artikel zum Thema.
Sektion A: Allgemeine Sicherheit (8 Fragen)
1. ISO 27001 zertifiziert? 2. SOC 2 Typ II? 3. Letzter externer Pen-Test? 4. Vorhandensein ISMS? 5. Risk Management Framework? 6. Disaster Recovery Plan? 7. BCM-Plan? 8. Cyber-Versicherung?
Sektion B: Datenschutz + DSGVO (6 Fragen)
9. AVV verfügbar + aktuell? 10. DSB benannt? 11. Datenpannen-Verfahren mit 24h-Meldung? 12. EU-Datenboundary aktiviert? 13. Sub-Auftragsverarbeiter dokumentiert? 14. Drittland-Garantien (SCC/DPF)?
Sektion C: Vorfall-Management (5 Fragen)
15. Letzte 24 Monate: Anzahl Sicherheitsvorfälle? 16. Reaktionszeit Median? 17. Forensik-Fähigkeit? 18. CSIRT/SOC verfügbar? 19. Eskalations-Workflow zum Kunden?
Sektion D: Sub-Lieferanten (5 Fragen)
20. Liste Sub-Lieferanten? 21. Audit-Verfahren? 22. Vertragsklauseln? 23. Genehmigungs-Workflow? 24. Update-Frequenz?
Sektion E: Personal-Sicherheit (5 Fragen)
25. Background-Checks? 26. Vertraulichkeits-Verpflichtungen? 27. Zugriffs-Trennung? 28. Schulung Frequenz? 29. Offboarding-Prozess?
Sektion F: Technische Maßnahmen (6 Fragen)
30. Verschlüsselung? 31. MFA? 32. Patch-Management? 33. Vulnerability-Scans? 34. Endpoint-Protection? 35. Logging/Monitoring?
Sektion G: Recovery + Backup (3 Fragen)
36. Backup-Strategie? 37. RTO/RPO? 38. Restore-Tests Frequenz?
Sektion H: Compliance + Audit (3 Fragen)
39. Letzter externer Audit? 40. Right-to-Audit für Kunden?
Häufig gestellte Fragen
Wie viele Lieferanten muss ich realistisch auditieren?
Risiko-basiert priorisieren: Top-20 kritische Lieferanten = Pflicht (Tier-1: kritisch für Geschäftsfortführung oder mit Zugriff auf personenbezogene Daten). Tier-2 (mittlere Bedeutung): jährliche Selbstauskunft per Fragebogen, alle 2-3 Jahre Vor-Ort-Audit oder ISO-27001-Validierung. Tier-3 (niedrig): einmalige Eingangs-Bewertung, danach nur bei Anlass. KMU-Praxis 50-250 MA: typisch 8-15 Lieferanten in Tier-1, 20-40 in Tier-2, restliche in Tier-3. Aufwand: 12 PT initial + 3 PT/Jahr.
Was, wenn ein Lieferant den Fragebogen nicht ausfüllt?
Eskalations-Stufen: 1) Erinnerung mit Frist 14 Tage. 2) Eskalation an Lieferanten-Geschäftsführung mit Verweis auf NIS2-§30-Pflicht. 3) Forderung eines ISO-27001-Zertifikats (Stand <12 Monate) als Ersatz. 4) Bei kritischen Lieferanten: Vertragskündigungs-Klausel ziehen oder Risiko-Akzeptanz dokumentieren mit Geschäftsführungs-Sign-Off. Praxis-Tipp: in Standard-Vertrag schon eine 'Cybersecurity-Information-Cooperation'-Klausel verankern, um zukünftige Verweigerungen zu vermeiden.
Welche Antworten sollten als 'rote Flagge' gewertet werden?
Top-7-Red-Flags: 1) Keine ISO 27001 + keine SOC 2 + keine vergleichbaren Zertifikate. 2) Mehr als 1 schwerer Vorfall in letzten 24 Monaten ohne strukturelle Maßnahmen. 3) Kein BCM/DR-Plan oder keine RTO/RPO definiert. 4) Drittland-Sub-Verarbeiter ohne DPF/SCC-Absicherung. 5) Keine MFA für Admin-Konten. 6) Keine Verschlüsselung at-rest. 7) Kein Right-to-Audit oder Audit-Bericht-Einsicht möglich. Rote Flagge bedeutet: kein Tier-1-Status möglich, alternativer Lieferant evaluieren oder Ausgleich durch eigene technische Schutzmaßnahmen.
Wie oft muss der Lieferanten-Audit wiederholt werden?
Tier-1 (kritisch): jährlich + ad-hoc nach Vorfällen oder Vertragsänderungen. Tier-2 (mittel): alle 2 Jahre vollständig + jährlich Update-Selbstauskunft. Tier-3 (niedrig): alle 3-5 Jahre. Bei DORA-pflichtigen Banken (DORA Art. 28): jährlich für ICT-kritische. Bei BSI KritisV Energieversorgern: alle 2 Jahre + Vor-Ort-Inspektion. Wichtig: Audit-Ergebnisse 6 Jahre aufbewahren (Aufsichts-Praxis).
Quellen
- BSI-Gesetz 2025 (BSIG, konsolidiert nach NIS2UmsuCG), § 30 (Risikomanagement-Maßnahmen, Lieferkette), § 31 (Sicherheitsvorfälle in Lieferkette), gesetze-im-internet.de/bsig_2025
- Verordnung (EU) 2016/679 (DSGVO), Art. 28 (Auftragsverarbeitung), eur-lex.europa.eu (DSGVO)
- Lieferkettensorgfaltspflichtengesetz (LkSG, ab 1.000 MA), gesetze-im-internet.de/lksg
- Verordnung (EU) 2022/2554 (DORA Art. 28, ICT-Drittparteienrisiko Finanzsektor), eur-lex.europa.eu (DORA)
- ISO/IEC 27001:2022 (ISMS, A.5.19 - A.5.23 Lieferantenbeziehungen)