Europäisches Trust Center: Readiness-Checkliste (kostenlos, mit Scoring)
Published 11. Juli 2026
By Orbiq Team

Europäisches Trust Center: Readiness-Checkliste (kostenlos, mit Scoring)

Kostenlose Readiness-Checkliste mit Scoring für Ihr europäisches Trust Center: 58 Prüfpunkte in sechs Stakeholder-Bahnen, gemappt auf NIS2-, DORA- und DSGVO-Nachweiserwartungen.

Trust Center
Checkliste
EU-Compliance
NIS2
DORA
DSGVO

Vorlage herunterladen

Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch

Europäisches Trust Center: Readiness-Checkliste (kostenlos, mit Scoring — 2026)

Diese Readiness-Checkliste für das europäische Trust Center ist eine Selbstbewertung mit Scoring — 58 Prüfpunkte in sechs Stakeholder-Bahnen —, die Ihnen sagt, ob Ihr Trust Center tatsächlich die Menschen (und KI-Agenten) bedient, die es lesen: Sicherheitsprüfer, Rechtsteams, Compliance-Teams, Einkauf, Abonnenten von Kunden-Updates und automatisierte Due-Diligence-Agenten. Jeder Punkt wird mit Ja (2), Teilweise (1) oder Nein (0) bewertet und ergibt einen Readiness-Prozentwert sowie eines von drei Bändern: Foundational (unter 40 %), Developing (40–75 %) oder Buyer-ready (über 75 %). Die Checkliste baut auf dem Sechs-Bahnen-Stakeholder-Modell aus unserem Leitfaden zum europäischen Trust Center auf, und jede Bahn ist auf eine konkrete europäische Nachweiserwartung gemappt — Subprozessor-Transparenz nach DSGVO Artikel 28, NIS2-Lieferkettensicherheit, DORA-Anforderungen an IKT-Drittparteien und echte EU-Datensouveränität.

Sie wird als Excel-Arbeitsmappe mit Scoring (ein Blatt je Bahn plus automatisch summierende Scorecard), als druckfertiges PDF und als maschinenlesbare Markdown-Datei ausgeliefert, aus der ein KI-Agent die gesamte Bewertung durchführen kann (die herunterladbaren Dateien sind auf Englisch).

Die wichtigsten Erkenntnisse

  • Trust-Center-Readiness ist eine Frage je Stakeholder, kein Einzelscore. Ein Portal, das Sicherheitsprüfer begeistert, kann trotzdem bei Recht (Subprozessor-Liste hinter einer Schranke), Einkauf (keine veröffentlichten Preise) oder KI-Agenten (keine maschinenlesbaren Nachweise) durchfallen — die Checkliste bewertet jede Bahn separat, sodass Sie genau sehen, wo Deals ins Stocken geraten.
  • Europäische Readiness hat ihre eigene Messlatte. ISO-27001-first-Darstellung, eine öffentliche Subprozessor-Liste nach DSGVO Artikel 28, NIS2-Lieferketten-Nachweise und DORA-Vertragsdatenpunkte sind Dinge, die EU-Käufer prüfen — und die Trust Center nach US-Vorlage regelmäßig übersehen.
  • Das Scoring-Modell ist bewusst streng. „Teilweise" (1 Punkt) erfasst Nachweise, die existieren, aber veraltet, unvollständig oder unnötig hinter einer Schranke sind — denn für einen Prüfer mit Deadline ist ein veralteter Nachweis kaum besser als keiner.
  • Die sechste Bahn ist für die meisten Unternehmen die neueste und schwächste. KI-Agenten in der Lieferanten-Due-Diligence brauchen extrahierbare, versionsfixierte, zitierfähige Nachweise. Die llms.txt-Konvention ist noch im Entstehen — rund 10 % der Domains hatten sie bis 2026 übernommen, und Google hat erklärt, dass seine Suchsysteme sie nicht nutzen — behandeln Sie diese Bahn also als Zukunftswette, die Sie ehrlich bewerten, nicht als abzuhakendes Kästchen.
  • Ein Verantwortlicher je Bahn, quartalsweise Kadenz. Readiness verfällt: Zertifikate laufen ab, Subprozessoren ändern sich, Preise bewegen sich. Die Checkliste funktioniert als Betriebsrhythmus, nicht als einmaliges Audit.

Was in der Checkliste steckt

Die 58 Prüfpunkte folgen den sechs Stakeholder-Bahnen eines europäischen Trust Centers. Jeder Punkt trägt eine Definition von „so sieht gut aus" und ein Nachweisbeispiel, damit zwei Personen, die dasselbe Portal bewerten, bei derselben Zahl landen. Eine Vorschau:

Bahn (Punkte)VerantwortlichBeispiel-Prüfpunkte
1. Sicherheitsteams (11)Security Lead / CISOISO-27001-Zertifikat mit Geltungsbereich und Gültigkeitsdaten veröffentlicht; Pentest-Management-Summary aus den letzten 12 Monaten; Verschlüsselungs-Aufstellung im Ruhezustand und bei der Übertragung dokumentiert
2. Rechtsteams (10)Recht / DSBAVV ohne Registrierung herunterladbar; öffentliche Subprozessor-Liste mit Zweck, Daten und Hosting-Standort; Jurisdiktion des Anbieters und CLOUD-Act-Exposition offengelegt
3. Compliance-Teams (11)Compliance- / GRC-LeadFrameworks mit Geltungsbereich und Auditdaten gezeigt, nicht als Logo-Leisten; NIS2-Artikel-21-Aufstellung gemappt; DORA-Artikel-30-Vertragsdatenpunkte für Kunden aus dem Finanzsektor verfügbar
4. Einkauf (9)Sales / RevOpsVeröffentlichte Preise; Vendor-Assurance-Profil mit Fakten zur juristischen Person; Cyber-Versicherungsnachweis; Uptime-Historie
5. Empfänger von Kunden-Updates (8)Customer SuccessAbonnierbare Trust Updates; strukturierte Vorfallsmitteilungen; Subprozessor-Änderungsmitteilungen mit Widerspruchsfenster
6. KI-Agenten (9)Engineering / Web-Teamllms.txt mit deklariertem Trust-Center-Umfang; maschinenlesbarer Nachweiskatalog; versionsfixierte Dokumente; ein deklarierter Zugriffsstufen- und Authentifizierungs-Kontrakt

Das Scoring-Modell

Jeder Prüfpunkt erhält eine von drei Bewertungen:

BewertungPunkteBedeutung
Ja2Veröffentlicht, aktuell, vollständig und auf der richtigen Zugriffsstufe zugänglich
Teilweise1Existiert, ist aber veraltet (>12 Monate), unvollständig oder unnötig hinter einer Schranke
Nein0Fehlt oder ist faktisch unauffindbar

Ihre Gesamtsumme (maximal 116 Punkte) wird in einen Readiness-Prozentwert und ein Band übersetzt:

BandScoreWas es bedeutet
Foundational< 40 %Das Trust Center ist eine Broschüre. Prüfer fallen auf E-Mail-mit-PDF zurück, und jeder Enterprise-Deal zahlt eine Security-Review-Steuer.
Developing40–75 %Kernnachweise existieren, aber mindestens zwei Bahnen sind unterversorgt — typischerweise Rechtstransparenz, Update-Kanäle oder KI-Lesbarkeit.
Buyer-ready> 75 %Alle sechs Bahnen sind Self-Service. Sicherheitsprüfungen laufen parallel zum Deal, statt ihn zu blockieren.

Die Excel-Arbeitsmappe berechnet Bahn-Scores, den Gesamtprozentwert und das Band automatisch; die Markdown-Version enthält dieselben Punkte und Regeln in einem Format, das ein KI-Agent Ende zu Ende ausführen kann.

So führen Sie die Selbstbewertung durch

  1. Benennen Sie einen Verantwortlichen je Bahn (siehe Tabelle oben). Bahnübergreifende Punkte — die Subprozessor-Liste dient Recht und Empfängern von Kunden-Updates — werden in der Bahn bewertet, in der sie erscheinen; die Dopplung ist beabsichtigt, weil beide Zielgruppen sie finden können müssen.
  2. Bewerten Sie gegen das, was ein Fremder findet, nicht gegen das, was intern existiert. Wenn Ihre Pentest-Zusammenfassung existiert, ein Prüfer sie aber nicht binnen zwei Minuten findet, ist das höchstens ein Teilweise. Bewerten Sie bei zugangsbeschränkten Punkten, ob der Weg zum Dokument (NDA-Flow, Zugriffsanfrage) Self-Service ist.
  3. Konsolidieren Sie in der Scorecard. Ein Koordinator — meist der CISO oder Compliance-Lead — prüft die Bahn-Scores, markiert die zwei schwächsten Bahnen und weist die Korrekturen als Tickets mit Verantwortlichen und Terminen zu.
  4. Quartalsweise wiederholen, bei Änderungen neu bewerten. Bewerten Sie eine einzelne Bahn nach jedem wesentlichen Ereignis neu: einem erneuerten Zertifikat, einer Subprozessor-Änderung, einem Vorfall, neuen Preisen oder Änderungen an maschinenlesbaren Endpunkten. Subprozessor-Listen und Zertifikatsgültigkeiten veralten am schnellsten — prüfen Sie diese monatlich.

Warum europäische Readiness anders ist

Eine generische Trust-Center-Checkliste testet, ob Dokumente existieren. Eine europäische testet, ob sie den regulatorischen Stack erfüllen, dem Ihre Käufer verpflichtet sind — denn wenn Ihr Kunde eine wesentliche Einrichtung unter NIS2 oder ein Finanzunternehmen unter DORA ist, werden Ihre Nachweise zum Input für dessen Compliance-Akte.

  • NIS2 (Richtlinie (EU) 2022/2555) verpflichtet wesentliche und wichtige Einrichtungen, die Lieferkettensicherheit kontinuierlich zu managen (Artikel 21 Abs. 2 Buchst. d) und erhebliche Vorfälle nach einer strengen Uhr zu melden — 24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht innerhalb eines Monats (Artikel 23). Ihre regulierten Kunden brauchen deshalb laufende Sichtbarkeit in Ihre Sicherheitslage und einen strukturierten Kanal für Vorfallskommunikation — genau das bewerten die Bahnen 3 und 5. Die Umsetzungsfrist der Richtlinie war der 17. Oktober 2024, und bis Mai 2026 hatten 23 von 27 Mitgliedstaaten sie umgesetzt — dies ist also Durchsetzungsrealität, keine Zukunftssorge.
  • DORA (Verordnung (EU) 2022/2554), anwendbar seit dem 17. Januar 2025, macht Finanzunternehmen für das IKT-Drittparteienrisiko verantwortlich (Artikel 28–30), einschließlich eines Informationsregisters über jeden IKT-Dienstleister. Wenn Sie an Banken, Versicherer oder Fintechs verkaufen, brauchen diese konkrete vertragliche und operative Datenpunkte von Ihnen — die Checkliste bewertet, ob Ihr Trust Center sie ausweist, statt einen individuellen Fragebogen auszulösen.
  • DSGVO (Verordnung (EU) 2016/679) setzt die Messlatte der Rechts-Bahn: Artikel 28 verlangt von Auftragsverarbeitern eine Genehmigung vor der Hinzuziehung von Subprozessoren und die Weitergabe gleichwertiger Pflichten, Artikel 32 verlangt dokumentierte technische und organisatorische Maßnahmen, und die Artikel 33–34 prägen die Erwartungen an die Kommunikation bei Datenpannen. Eine öffentliche, aktuelle Subprozessor-Liste mit Zwecken und Standorten — plus ein funktionierender Änderungsmitteilungs-Kanal — ist der meistgeprüfte Rechtspunkt in EU-Lieferantenprüfungen.
  • Souveränität und Residenz. Europäische Käufer unterscheiden EU-Hosting von EU-Jurisdiktion: Ein in den USA inkorporierter Anbieter kann in Frankfurt hosten und dennoch dem US CLOUD Act unterliegen. Die Checkliste bewertet, ob Sie offenlegen, wo Daten liegen, welche Gesellschaft das Portal betreibt und wessen Herausgabeanordnungen es erreichen — die Fragen, die EU-Käufer inzwischen zuerst stellen.

Das Effizienzargument läuft in dieselbe Richtung: NIS2, DORA und DSGVO stellen überlappende Fragen zu Lieferanten, Vorfällen und Sicherheitsmaßnahmen. Ein Trust Center, das Nachweise einmal veröffentlicht und auf alle drei mappt, ersetzt drei parallele Fragebogenströme — die Wiederverwendungslogik hinter den Trust-Center-Anforderungen unter NIS2 und DORA.

Die sechste Bahn ist der Ort der nächsten Divergenz: Europäische Käufer beginnen, KI-Agenten für die Lieferanten-Due-Diligence loszuschicken, und Agenten brauchen maschinenlesbare, versionsfixierte, zitierfähige Nachweise — die Architektur des KI-nativen Trust Centers. Bewerten Sie diese Bahn ehrlich: Sie ist eine Zukunftswette mit Vorreitervorteil, kein etablierter Standard.

Anmerkung zu UK und Norwegen/EWR

Die Checkliste gilt über die EU-27 hinaus, mit zwei Anpassungen. Britische Unternehmen bewerten gegen die UK GDPR (nach dem Brexit beibehalten) und sollten die kommende Cyber Security and Resilience Bill als ihr NIS2-Pendant behandeln — wohl wissend, dass ihre EU-Kunden sie weiterhin an NIS2 und der DSGVO selbst messen. Norwegische und EWR-Unternehmen wenden DORA bereits über Norwegens nationales DORA-Gesetz an, in Kraft seit dem 1. Juli 2025; NIS2 ist in Norwegen noch nicht in Kraft (die nationale Umsetzung ist in Vorbereitung), sodass die NIS2-Punkte der Bahn 3 an den Erwartungen Ihrer EU-Kunden gemessen werden statt an einer inländischen Pflicht. In beiden Fällen gelten das Sechs-Bahnen-Modell — und die Souveränitätsfragen der Bahn 2 — unverändert.

Holen Sie sich die Checkliste

Laden Sie die Readiness-Checkliste für das europäische Trust Center als Excel-Arbeitsmappe mit Scoring, druckfertiges PDF oder maschinenlesbare Markdown-Datei (v1.0, aktualisiert am 3. Juli 2026) über die Download-Optionen auf dieser Seite herunter. Führen Sie die Bewertung durch, finden Sie Ihre zwei schwächsten Bahnen und beheben Sie diese zuerst.

Und falls die Fix-Liste lang wird: Orbiqs Trust-Center-Plattform ist darauf gebaut, die meisten dieser Prüfpunkte zum Standard zu machen — ISO-27001-first-Nachweisstruktur, öffentliche Subprozessor-Transparenz, abonnierbare Trust Updates, NDA-gesicherte Zugriffs-Flows und agentenlesbare Endpunkte, betrieben unter EU-Jurisdiktion.

Quellen & Referenzen

  1. Richtlinie (EU) 2022/2555 — NIS2 — Lieferkettensicherheit (Art. 21 Abs. 2 Buchst. d); Vorfallsmeldung: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht innerhalb eines Monats (Art. 23).
  2. Verordnung (EU) 2022/2554 — DORA — Management des IKT-Drittparteienrisikos und Vertragsklauseln (Art. 28–30); anwendbar seit dem 17. Januar 2025.
  3. Verordnung (EU) 2016/679 — DSGVO — Genehmigung von Subprozessoren (Art. 28), Sicherheit der Verarbeitung (Art. 32), Meldung von Datenpannen (Art. 33–34).
  4. Europäische Kommission — NIS2-Richtlinie (Policy-Seite) — Umsetzungsfrist 17. Oktober 2024.
  5. ECSO — NIS2 Transposition Tracker — 23 von 27 Mitgliedstaaten hatten bis Mai 2026 umgesetzt.
  6. SE Ranking — Studie zur llms.txt-Verbreitung — ~10 % von ~300.000 analysierten Domains hatten eine llms.txt-Datei; die Google-Suche nutzt die Datei nicht.

Weiterführende Lektüre

Vorlage herunterladen

Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch

Häufig gestellte Fragen

Was ist eine Readiness-Checkliste für ein europäisches Trust Center?

Eine Readiness-Checkliste für ein europäisches Trust Center ist eine Selbstbewertung mit Scoring, die misst, ob Ihr käufergerichtetes Sicherheitsportal jeden Stakeholder bedient, der es liest — Sicherheitsprüfer, Rechtsteams, Compliance-Teams, Einkauf, Abonnenten von Kunden-Updates und KI-Agenten — gemessen an europäischen Erwartungen wie ISO-27001-first-Darstellung, Subprozessor-Transparenz nach DSGVO Artikel 28, NIS2-Lieferketten-Nachweisen und DORA-Anforderungen an IKT-Drittparteien. Jeder Prüfpunkt wird mit Ja (2), Teilweise (1) oder Nein (0) bewertet und ergibt einen Readiness-Prozentwert samt Band.

Was sollte eine Trust-Center-Checkliste enthalten?

Eine vollständige Trust-Center-Checkliste deckt sechs Bahnen ab: Sicherheitsnachweise (ISO-27001-Zertifikat mit Geltungsbereich, Pentest-Zusammenfassung, Verschlüsselungs- und Zugriffskontroll-Aufstellung), Rechtsdokumente (AVV, öffentliche Subprozessor-Liste, Übermittlungsmechanismen, Jurisdiktion des Anbieters), Compliance-Mapping (NIS2-, DORA- und DSGVO-Nachweise mit Gültigkeitsdaten), Einkaufssignale (veröffentlichte Preise, Versicherung, Kontinuitätsnachweise), Kunden-Update-Kanäle (Vorfalls- und Subprozessor-Änderungsmitteilungen) und KI-Agenten-Lesbarkeit (llms.txt, maschinenlesbare Nachweiskataloge, versionsfixierte Dokumente).

Wie bewertet man Trust-Center-Readiness?

Bewerten Sie jeden Prüfpunkt mit Ja (2 Punkte — Nachweis ist veröffentlicht, aktuell und auf der richtigen Zugriffsstufe zugänglich), Teilweise (1 Punkt — Nachweis existiert, ist aber veraltet, unvollständig oder unnötig hinter einer Schranke) oder Nein (0 Punkte). Teilen Sie Ihre Gesamtpunktzahl durch das Maximum (116 Punkte über 58 Punkte) für einen Readiness-Prozentwert: unter 40 % ist Foundational, 40–75 % Developing und über 75 % Buyer-ready.

Wer sollte die Trust-Center-Readiness-Bewertung verantworten?

Benennen Sie einen Verantwortlichen je Bahn: Der Security Lead verantwortet die Sicherheitsnachweise, Recht oder der Datenschutzbeauftragte die Rechtsdokumente, der Compliance- oder GRC-Lead das Framework-Mapping, Sales oder Revenue Operations die Einkaufssignale, Customer Success die Update-Kanäle und Engineering oder das Web-Team die KI-Agenten-Lesbarkeit. Ein Koordinator — meist der CISO oder Compliance-Lead — konsolidiert die Scorecard.

Wie oft sollte man eine Trust-Center-Selbstbewertung durchführen?

Führen Sie die vollständige Sechs-Bahnen-Bewertung quartalsweise durch und bewerten Sie eine einzelne Bahn neu, sobald sie sich wesentlich ändert — nach einer neuen Zertifizierung oder einem Audit, einer Subprozessor-Änderung, einem Sicherheitsvorfall, einer Preisänderung oder einer Änderung Ihrer maschinenlesbaren Endpunkte. Zertifikatsgültigkeiten und Subprozessor-Listen veralten am schnellsten — prüfen Sie diese monatlich.

Brauchen britische und norwegische Unternehmen dieselbe Trust-Center-Readiness?

Ja, mit lokalen Anpassungen. Britische Unternehmen operieren unter der UK GDPR und der kommenden Cyber Security and Resilience Bill und verkaufen weiterhin an EU-Käufer, die ISO-27001- und DSGVO-first-Nachweise erwarten. Norwegische Unternehmen wenden DORA bereits über das nationale DORA-Gesetz an (in Kraft seit dem 1. Juli 2025), während NIS2 in Norwegen noch nicht in Kraft ist. Das Sechs-Bahnen-Readiness-Modell gilt über EU, EWR und UK hinweg.

Europäisches Trust Center: Readiness-Checkliste...