
Kostenlose Vorlage: EU-Lieferanten-Sicherheitsfragebogen (Excel)
Kostenloser EU-Sicherheitsfragebogen für Lieferanten (XLSX, PDF, MD): 67 gestufte Fragen zu DSGVO Art. 28, NIS2, DORA und Datenresidenz. Ohne E-Mail-Gate.
Vorlage herunterladen
Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)
EU-Lieferanten-Sicherheitsfragebogen: Kostenlose Vorlage
Ein Lieferanten-Sicherheitsfragebogen ist der strukturierte Fragensatz, den ein Einkäufer an Lieferanten sendet, um deren Sicherheitslage zu bewerten — und für europäische Einkäufer muss er 2026 mehr abfragen als die in den USA verfassten Standards. Diese kostenlose Vorlage enthält 67 Fragen in 10 Abschnitten, gestuft nach Lieferantenkritikalität, und deckt Auftragsverarbeiter-Bedingungen nach DSGVO Artikel 28, Lieferketten-Nachweise nach NIS2 Artikel 21 Abs. 2 Buchst. d, DORA-IKT-Dienstleister-Felder sowie die Fragen zu Datenresidenz und CLOUD Act ab, die SIG und CAIQ nicht stellen.
Die meisten Fragebogen-Vorlagen sind aus dem US-Compliance-Universum geschrieben: SOC-2-zuerst, still zu Artikel 28 Abs. 3, blind gegenüber Datensouveränität. Doch wenn Sie als europäisches Unternehmen Software einkaufen, tragen Sie die rechtliche Verantwortung — für Ihre Auftragsverarbeiter nach der DSGVO, für Ihre direkten Lieferanten nach NIS2, für Ihre IKT-Dienstleister nach DORA. Diese Vorlage — verfügbar als XLSX, PDF und maschinenlesbare Markdown-Datei für KI-Agenten (die herunterladbaren Dateien sind auf Englisch) — fragt genau das ab, was diese Pflichten verlangen, neben den Sicherheitsgrundlagen, die jeder Fragebogen braucht. Sie ist der ausgehende Begleiter unseres Sicherheitsfragebogen-Leitfadens, der die Antwortseite desselben Austauschs behandelt.
Die wichtigsten Erkenntnisse
- 67 Fragen, 10 Abschnitte, 3 Stufen — kritische Lieferanten (T1) beantworten alles, Standardlieferanten (T2) beantworten 46, risikoarme Lieferanten (T3) beantworten einen schlanken Satz von 23 Fragen. Verhältnismäßigkeit ist eingebaut.
- EU-nativ konzipiert: DPA-Klauseln nach Artikel 28 Abs. 3, Hosting-Optionen ausschließlich in der EU/im EWR, Übermittlungsmechanismen, CLOUD-Act-/FISA-702-Exposition, NIS2-kompatible Vorfallsbenachrichtigungsfenster und ein DORA-Addendum für Einkäufer aus dem Finanzsektor.
- Jede Frage benennt ihren Nachweis. Zertifikate mit Geltungsbereich, Pentest-Management-Summaries, DPA-Klauseln, Subprozessorenregister — Antworten ohne Artefakte sind Eigenerklärungen, keine Assurance.
- Die etablierten Fragebögen decken dieses Terrain nicht ab: SIG ist lizenziert und US-geprägt; CAIQ v4 ist kostenlos, aber cloud-fokussiert (261 Fragen). Keiner fragt ab, wofür europäische Regulierer Sie verantwortlich halten.
- Ein Fragebogen ist eine Eingabe, nicht die Entscheidung. Paaren Sie ihn mit einem Bewertungsframework — unserer Vorlage zur Lieferantenrisikobewertung — und mit Nachweisverfolgung über die Zeit.
Was in der Vorlage steckt
Das XLSX enthält vier Blätter: ein Lieferantenregister (Lieferant, Jurisdiktion, Muttergesellschaft, Stufe, Prüfergebnis), eine Stufen-Rubrik (vier bewertete Dimensionen mit einer Entscheidungsregel), den eigentlichen Fragebogen (67 Fragen mit Nachweisanforderung je Frage, Antwort-Dropdowns Ja/Teilweise/Nein/n. z. und einer Spalte für die Prüferbewertung) sowie Anleitungen. Das PDF spiegelt den Fragenkatalog für Review-Meetings; die Markdown-Variante trägt die volle Struktur mit YAML-Metadaten und Enums, sodass ein KI-Agent eine Lieferantenprüfung Ende zu Ende durchführen kann.
Die zehn Abschnitte, mit je einer Beispielfrage:
| Abschnitt | Fragen | Beispielfrage |
|---|---|---|
| A — Unternehmen & Governance | 6 | Halten Sie ein aktuelles ISO/IEC-27001:2022-Zertifikat, das den von uns eingekauften Dienst abdeckt? |
| B — DSGVO & Datenschutz (Art. 28) | 10 | Bieten Sie einen DPA an, der alle verpflichtenden Klauseln nach Artikel 28 Abs. 3 enthält? |
| C — Datenresidenz & -souveränität | 8 | Unterliegt Ihre Unternehmensstruktur einer außereuropäischen Jurisdiktion, die eine Offenlegung nach dem US CLOUD Act erzwingen könnte? |
| D — Zugriffskontrolle & Identität | 7 | Ist MFA für jeden Mitarbeiterzugriff auf Produktion und Kundendaten erzwungen? |
| E — Infrastruktur & Betrieb | 8 | Wird der Dienst jährlich einem Penetrationstest unterzogen, und teilen Sie die Management-Summary? |
| F — Vorfallsmanagement | 6 | Wie lautet Ihr vertragliches Fenster (in Stunden), um uns über Vorfälle mit Auswirkung auf unseren Dienst oder unsere Daten zu benachrichtigen? |
| G — Betriebskontinuität & DR | 5 | Sind Backups verschlüsselt, geografisch getrennt und wiederherstellungsgetestet? |
| H — Sichere Entwicklung | 6 | Wird Code vor dem Produktions-Deployment gescannt (SAST/DAST/Abhängigkeiten)? |
| I — Unterauftragnehmer & Lieferkette | 6 | Benachrichtigen Sie uns im Voraus über Änderungen bei Unterauftragnehmern, mit Widerspruchsrecht? |
| J — DORA-Addendum (Finanzunternehmen) | 5 | Können Sie die Felder bereitstellen, die wir für unser DORA Register of Information benötigen? |
So nutzen Sie sie
Schritt 1 — Den Lieferanten einstufen. Die Rubrik bewertet vier Dimensionen: Datensensibilität, Systemzugriff, Dienstkritikalität (einschließlich der Frage, ob ein Lieferantenausfall für Sie eine NIS2- oder DORA-Exposition schaffen würde) und Substituierbarkeit. Kritische Lieferanten erhalten den vollständigen Satz; ein Commodity-Tool ohne Datenzugriff erhält 23 Fragen. 850 Fragen an einen Newsletter-Anbieter zu senden ist der Weg, auf dem die Beschaffung stockt und die Antwortqualität zusammenbricht.
Schritt 2 — Den Stufen-Teilsatz senden, Nachweise einfordern. Jede Frage benennt das anzuhängende Artefakt. Das ist der mit Abstand größte Qualitätshebel in der Lieferantensicherheitsprüfung: Die Lieferkettenleitlinie der ENISA betont, die Qualität der Praktiken eines Lieferanten zu bewerten, nicht die Existenz eines ausgefüllten Formulars — dasselbe Prinzip hinter unserer NIS2-Lieferanten-Nachweis-Checkliste, dem nachweisverfolgenden Geschwister dieses Fragebogens.
Schritt 3 — Bewerten, entscheiden und festhalten. Markieren Sie jede Antwort als Angemessen, Nachfassbedarf oder Defizitär; protokollieren Sie die Nachfassungen; halten Sie das Ergebnis im Register fest. Der Fragebogen sammelt ein; die Entscheidung gehört zu Ihrem Lieferantenrisikomanagement-Prozess, in dem sich die Antworten mit unabhängiger Verifizierung und Risikobewertung verbinden.
Schritt 4 — In fester Kadenz wiederholen. T1 jährlich, T2 alle 12–18 Monate, T3 bei Verlängerung — wobei Ereignisauslöser (ein Lieferantenvorfall, eine Änderung bei Unterauftragnehmern, ein ablaufendes Zertifikat) den Kalender übersteuern. Punktuelle Fragebögen altern schnell; Kadenz und Auslöser sind das, was aus einem Formular Aufsicht macht.
Rechtsgrundlage
Drei europäische Regime prägen den Fragensatz. Die DSGVO — Verordnung (EU) 2016/679 — macht Auftragsverarbeiter-Beziehungen von Gesetzes wegen vertraglich: Artikel 28 Abs. 3 schreibt den verpflichtenden DPA-Inhalt vor (dokumentierte Weisungen, Vertraulichkeit, Sicherheitsmaßnahmen nach Artikel 32, Genehmigung von Unterauftragsverarbeitern, Unterstützung bei Betroffenenrechten, Unterstützung bei Verletzungen, Löschung oder Rückgabe bei Vertragsende, Prüfrechte), und Abschnitt B des Fragebogens verifiziert jeden davon. Weil Artikel 33 Ihnen 72 Stunden gibt, um Ihre Aufsichtsbehörde über eine Verletzung zu unterrichten, prüft Frage B7, ob das eigene Benachrichtigungsfenster des Lieferanten Ihnen Raum zur Einhaltung lässt.
NIS2 — Richtlinie (EU) 2022/2555 — macht Lieferkettensicherheit nach Artikel 21 Abs. 2 Buchst. d zu einer verpflichtenden Risikomanagementmaßnahme, die nach Artikel 21 Abs. 3 je direktem Lieferanten zu bewerten ist. Abschnitt F prüft, ob ein Lieferantenvorfall Sie schnell genug erreicht, um Ihre eigene 24-Stunden-Frühwarnung nach Artikel 23 einzuhalten, und Frage I6 sichert die Nachweis-Weitergabe, die Ihre Dokumentationspflichten zur Lieferkette verlangen. DORA — Verordnung (EU) 2022/2554 — fügt die Finanzunternehmens-Ebene hinzu: Die Artikel 28–30 regeln das IKT-Drittparteirisiko, vom Register of Information (mit den in ITS (EU) 2024/2956 festgelegten Feldern) über die verpflichtenden Vertragsbestimmungen nach Artikel 30 bis zu den Ausstiegsstrategien nach Artikel 28 Abs. 8. Abschnitt J stellt die fünf Fragen, die diese Pflichten mit einem Lieferanten praktikabel machen — und paart sich mit unserer DORA-IKT-Dienstleister-Nachweis-Checkliste für das laufende Register.
Der Souveränitätsabschnitt spiegelt die Realität nach Schrems II: Der US CLOUD Act reicht an Daten heran, die von US-kontrollierten Anbietern gehalten werden, unabhängig davon, wo sie gespeichert sind, und FISA Section 702 war zentral für die Ungültigerklärung des Privacy Shield durch den EuGH — deshalb fragen die Fragen C4–C5 nach der Unternehmensjurisdiktion und Übermittlungs-Folgenabschätzungen, nicht nur nach Serverstandorten.
Über die EU hinaus: UK und Norwegen
Derselbe Fragensatz bedient britische und norwegische Einkäufer mit geringfügiger Neugewichtung. Im Vereinigten Königreich behält die UK GDPR Artikel 28 inhaltlich bei, sodass Abschnitt B unverändert gilt, und die Cyber Security and Resilience Bill — Stand Mitte 2026 vor dem House of Lords — wird Managed Service Provider und designierte kritische Lieferanten in ein NIS-artiges Regime mit 24-Stunden-Erstmeldung bringen, was die Benachrichtigungsfragen aus Abschnitt F direkt relevant macht. In Norwegen setzt das digitalsikkerhetsloven (in Kraft seit dem 1. Oktober 2025, beaufsichtigt von der NSM) NIS-artige Pflichten um, während NIS2 auf die EWR-Übernahme wartet, und die Datatilsynet setzt DSGVO Artikel 28 als EWR-Recht durch — ein Fragebogen deckt die Lieferantenbasis über alle drei Jurisdiktionen ab.
Vom Fragebogen zur kontinuierlichen Assurance
Ein Fragebogen ist eine Momentaufnahme; Lieferantenrisiko ist ein Strom. Antworten hinterherjagen, Antworten neu bewerten und das Zertifikat bemerken, das acht Monate nach Rückkehr des Formulars ablief — genau dort scheitern tabellenbasierte Programme still. Orbiqs Vendor Assurance Platform betreibt dieselbe Einstufung, dieselben Fragensätze und dieselbe Nachweiserhebung kontinuierlich, mit KI-bewerteten Antworten und einem Prüfpfad, der als Nebenprodukt der Arbeit entsteht. Und falls Sie selbst am empfangenden Ende von Fragebögen wie diesem stehen, deckt unser Leitfaden zur Automatisierung von Sicherheitsfragebögen die Antwortseite ab.
Quellen & Referenzen
- Verordnung (EU) 2016/679 (DSGVO) — Volltext — Artikel 27, 28, 32, 33.
- Richtlinie (EU) 2022/2555 (NIS2) — Volltext — Artikel 21 Abs. 2 Buchst. d, 21 Abs. 3, 23.
- Verordnung (EU) 2022/2554 (DORA) — Volltext — Artikel 19, 26–30.
- Durchführungsverordnung (EU) 2024/2956 der Kommission — ITS zum DORA Register of Information.
- CSA — CAIQ v4 (STAR Level 1 Security Questionnaire) — der kostenlose cloud-fokussierte Fragebogen, 261 Fragen.
- ENISA — Good Practices for Supply Chain Cybersecurity — Praktiken zur Lieferantenbewertung.
- UK Government — Cyber Security and Resilience Bill collection — Status des britischen Lieferantenregimes.
Weiterführende Lektüre
- Sicherheitsfragebogen-Leitfaden: Handhaben, Beantworten und Automatisieren
- NIS2-Lieferanten-Nachweis-Checkliste (kostenlose Vorlage)
- DORA-IKT-Dienstleister-Nachweis-Checkliste (kostenlose Vorlage)
- Vorlage zur Lieferantenrisikobewertung: Kostenlose Checkliste
- Lieferantenrisikomanagement-Prozess: Der vollständige Leitfaden
Vorlage herunterladen
Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)
Häufig gestellte Fragen
Was ist ein Lieferanten-Sicherheitsfragebogen?
Ein Lieferanten-Sicherheitsfragebogen ist ein strukturierter Fragensatz, den ein Einkäufer an einen Lieferanten sendet, um dessen Sicherheitslage vor und während einer Geschäftsbeziehung zu bewerten. Er deckt Bereiche wie Zertifizierungen, Datenschutzbedingungen, Zugriffskontrolle, Vorfallsbenachrichtigung, Betriebskontinuität und Unterauftragnehmer ab — und jede Antwort sollte durch Nachweise gestützt sein, etwa ein ISO-27001-Zertifikat oder eine Pentest-Zusammenfassung, nicht nur durch eine Eigenerklärung.
Welche Fragen sollte ein Lieferanten-Sicherheitsfragebogen enthalten?
Ein vollständiger Fragebogen deckt zehn Bereiche ab: Unternehmen und Governance (Zertifizierungen, Sicherheitsverantwortung), Auftragsverarbeiter-Bedingungen nach DSGVO Artikel 28, Datenresidenz und -souveränität, Zugriffskontrolle und Identität, Infrastruktur und Betrieb, Vorfallsmanagement und Benachrichtigungs-SLAs, Betriebskontinuität und Wiederherstellung, sichere Entwicklung, Unterauftragnehmer und Lieferkette sowie — für Einkäufer aus dem Finanzsektor — DORA-IKT-Dienstleister-Felder. Diese Vorlage liefert alle zehn Abschnitte als 67 gestufte Fragen mit dem je Frage anzufordernden Nachweis.
Wodurch unterscheidet sich das von SIG und CAIQ?
SIG (Shared Assessments) ist eine lizenzierte, in den USA verfasste Bibliothek — der zugeschnittene SIG-Core-Satz umfasst rund 850 Fragen und erfordert eine Jahresgebühr. Der CAIQ v4 der CSA ist kostenlos, aber cloud-fokussiert (261 Fragen) und US-geprägt. Keiner stellt die Fragen, für die EU-Einkäufer rechtlich verantwortlich sind: DPA-Klauseln nach Artikel 28 Abs. 3, Hosting-Optionen ausschließlich in der EU/im EWR, CLOUD-Act- und FISA-702-Exposition, NIS2-kompatible Benachrichtigungsfenster oder Felder des DORA Register of Information. Dieser Fragebogen ist EU-nativ, kostenlos und gestuft, sodass kleine Lieferanten 23 statt 850 Fragen erhalten.
Wie viele Fragen sollte ich an jeden Lieferanten senden?
Stufen Sie Ihre Lieferanten zuerst ein. Diese Vorlage nutzt drei Stufen: kritische Lieferanten (T1) beantworten alle 67 Fragen einschließlich des DORA-Addendums, wo relevant; Standardlieferanten (T2) beantworten 46; risikoarme Lieferanten (T3) beantworten einen schlanken Satz von 23 Fragen. Den vollständigen Satz an jeden Lieferanten zu senden verlangsamt die Beschaffung und liefert schlechtere Antworten — Verhältnismäßigkeit bringt Ihnen schneller bessere Assurance.
Welche Nachweise sollte ich mit einem Sicherheitsfragebogen anfordern?
Jede wesentliche Frage sollte ihr Artefakt benennen: ein ISO-27001-Zertifikat mit Geltungsbereichsangabe, einen SOC-2-Type-II-Bericht mit Bridge Letter, die aktuellste Pentest-Management-Summary mit Behebungsstatus, den DPA mit Klauseln nach Artikel 28 Abs. 3, die öffentliche Subprozessorenliste, eine vertragliche Vorfallsbenachrichtigungsklausel mit Stundenangabe sowie BCP-/DR-Testergebnisse. Antworten ohne Nachweise sind Eigenerklärungen, keine Assurance.
Ist ein Sicherheitsfragebogen dasselbe wie eine Lieferantenrisikobewertung?
Nein. Der Fragebogen ist der ausgehende Fragensatz — das, was Sie an den Lieferanten senden, um selbst berichtete Controls und Nachweise einzusammeln. Eine Lieferantenrisikobewertung ist der umfassendere interne Prozess, der diese Antworten mit unabhängiger Verifizierung, Risikobewertung und einer förmlichen Akzeptanzentscheidung verbindet. Nutzen Sie diese Vorlage zum Einsammeln; nutzen Sie ein Framework zur Lieferantenrisikobewertung zum Bewerten und Entscheiden.