
NIS2 Lieferanten-Nachweis-Checkliste: Kostenlose Vorlage (XLSX & PDF)
Kostenlose NIS2-Checkliste für Nachweisanforderungen an Lieferanten (XLSX, PDF, MD): Nachweiskategorien, Kritikalitätsstufen und Kadenzen, gemappt auf Artikel 21 Abs. 2 Buchst. d und 21 Abs. 3.
Vorlage herunterladen
Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch
NIS2 Lieferanten-Nachweis-Checkliste: Kostenlose Vorlage
Eine NIS2-Checkliste für Nachweisanforderungen an Lieferanten ist ein strukturiertes Register der Sicherheitsnachweise, die Sie von jedem direkten Lieferanten und Dienstleister anfordern — Zertifizierungen, Pentest-Zusammenfassungen, Vorfallsbenachrichtigungs-SLAs, Offenlegungen von Unterauftragnehmern und Betriebskontinuitäts-Testergebnisse — gemappt auf Artikel 21 Abs. 2 Buchst. d und Artikel 21 Abs. 3 der Richtlinie (EU) 2022/2555. Jede Nachweiszeile trägt zulässige Nachweistypen und eine an die Kritikalitätsstufe des Lieferanten gekoppelte Überprüfungskadenz — damit Ihre Lieferkettenaufsicht in jedem Moment nachweisbar ist, in dem eine Behörde fragt.
Die meisten Teams betreiben bereits einen NIS2-Lieferantenfragebogen. Was NIS2 tatsächlich prüft, ist, ob Sie Nachweise vorlegen können: welche Lieferanten kritisch sind, welche Artefakte Sie zu jedem halten, wann sie zuletzt aufgefrischt wurden und was passiert, wenn ein Lieferant nicht mehr antwortet. Diese kostenlose Vorlage — verfügbar als XLSX, PDF und maschinenlesbare Markdown-Datei für KI-Agenten (die herunterladbaren Dateien sind auf Englisch) — macht aus diesen Fragen ein funktionierendes Register. Sie ist der operative Begleiter unserer Leitfäden zu Vendor Assurance unter NIS2 und zur NIS2-Lieferkettensicherheit, die erklären, warum kontinuierliche Aufsicht gefordert ist; diese Seite gibt Ihnen das Artefakt, das sie umsetzt.
Die wichtigsten Erkenntnisse
- NIS2 Artikel 21 Abs. 2 Buchst. d macht Lieferkettensicherheit zu einer verpflichtenden Risikomanagementmaßnahme, die die sicherheitsbezogenen Aspekte der Beziehungen zu jedem einzelnen direkten Lieferanten und Dienstleister erfasst — nicht die Lieferantenbasis in Summe.
- Artikel 21 Abs. 3 sagt Ihnen, worauf Sie schauen müssen: die spezifischen Schwachstellen jedes direkten Lieferanten, die Gesamtqualität seiner Produkte und Cybersicherheitspraktiken — ausdrücklich einschließlich der Verfahren zur sicheren Entwicklung — und die Ergebnisse der koordinierten Risikobewertungen nach Artikel 22 Abs. 1.
- Nachweise schlagen Eigenerklärungen. Die ENISA-Leitlinien zur Lieferkette fordern, die Qualität der Sicherheitspraktiken der Lieferanten zu bewerten, und ihre technische Umsetzungsleitlinie vom Juni 2025 nennt Lieferantenprüfung, vertragliche Sicherheitsklauseln und laufende Überwachung als Kernerwartungen.
- Die Kadenz folgt der Kritikalität. Die Drei-Stufen-Rubrik der Vorlage weist jeder Nachweiskategorie eine Auffrischfrequenz je Stufe zu, plus Ereignisauslöser — Vorfall, Unterauftragnehmer-Änderung, Zertifikatsablauf —, die den Kalender übersteuern.
- Die Einsätze sind konkret: Wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Mio. Euro oder 1,4 %, und Aufsichtsbehörden können Lieferketten-Nachweise jederzeit anfordern.
Was in der Vorlage steckt
Das XLSX enthält vier Blätter: ein Lieferantenregister, die eigentliche Nachweis-Checkliste, eine Kritikalitätsrubrik und ein Anleitungsblatt. Das PDF spiegelt die Checkliste für Druck und Review-Meetings; die Markdown-Variante trägt die volle Struktur mit YAML-Metadaten, sodass ein KI-Agent eine Nachweisanforderung Ende zu Ende durchführen kann.
Der Kern der Vorlage ist die Nachweis-Checkliste — faktisch eine NIS2-Lieferkettenanforderungs-Checkliste, Zeile für Zeile. Hier eine Vorschau auf die tatsächlichen Zeilen:
| Nachweiskategorie | Was anzufordern ist | Zulässige Nachweistypen | Kadenz (Stufe 1 / 2 / 3) | NIS2-Anker |
|---|---|---|---|---|
| Zertifizierungen & unabhängige Prüfung | Aktuelles Zertifikat oder Attest für den eingekauften Dienst | ISO-27001-Zertifikat mit Geltungsbereich + Gültigkeit; SOC-2-Type-II-Bericht (+ Bridge Letter, falls >12 Monate) | Jährlich + Ablauf-Alerts / Jährlich / Alle 3 Jahre | Art. 21 Abs. 3 — Qualität der Cybersicherheitspraktiken |
| Penetrationstests | Aktuellste Pentest-Management-Summary | Zusammenfassung mit Umfang, Methodik, Schweregrad der Befunde, Behebungsstatus — nicht der vollständige Exploit-Bericht | Jährlich / Jährlich / Eigenerklärung | Art. 21 Abs. 2 Buchst. e, f |
| Schwachstellen- & Patch-Management | Patching-SLAs und Time-to-Patch-Kennzahlen | Schwachstellenmanagement-Richtlinie; Kennzahlen für kritische CVEs der letzten 6–12 Monate | Quartalsweise Kennzahlen / Jährlich / Onboarding | Art. 21 Abs. 2 Buchst. e |
| Sichere Entwicklung | SDLC-Sicherheitspraktiken für Software-Lieferanten | Richtlinie zur sicheren Entwicklung; SAST-/DAST-Nachweise; SBOM für kritische Software | Jährlich / Jährlich / n/a | Art. 21 Abs. 3 — Verfahren zur sicheren Entwicklung |
| Vorfallsbenachrichtigungs-SLA | Vertragliche Zusage, Sie über Vorfälle mit Auswirkung auf Ihren Dienst zu benachrichtigen | Unterzeichnete Klausel mit Benachrichtigungsfenster (Stunden), benannten Kontakten, Eskalationspfad | Beim Onboarding + jährlich prüfen / Jährlich / Vertragsprüfung | Art. 21 Abs. 2 Buchst. b; speist Ihre Art.-23-Zeitleiste |
| Offenlegung der Unterauftragnehmer | Aktuelles Register der Unterauftragnehmer/Subprozessoren + Zusage zur Änderungsbenachrichtigung | Register mit Gesellschaften, Standorten, Diensten; Nachweis der Flow-down-Sicherheitsklausel | Quartalsweise oder bei Änderung / Jährlich / Onboarding | Art. 21 Abs. 2 Buchst. d |
| Betriebskontinuität & DR | BCP/DR für Ihren Dienst, mit RTO/RPO und Testnachweisen | Plan-Auszug; jüngster Testbericht mit Datum, Szenario, Korrekturmaßnahmen | Jährlicher Testnachweis / Jährliche Bestätigung / Eigenerklärung | Art. 21 Abs. 2 Buchst. c |
| Zugriffskontrolle & Verschlüsselung | IAM- und Kryptografie-Aufstellung für Systeme mit Ihren Daten | MFA-/PAM-Richtlinie; beispielhafte Zugriffsüberprüfung; Verschlüsselungsstandards bei Übertragung und im Ruhezustand | Jährlich / Jährlich / Eigenerklärung | Art. 21 Abs. 2 Buchst. i, j |
Jede Zeile im XLSX trägt zusätzlich Workflow-Felder — Anforderungsdatum, Eingangsdatum, Status, Prüfer —, sodass das Register zugleich Ihr Prüfpfad ist.
So nutzen Sie sie: Stufen, Kadenz, Eskalation
Schritt 1 — Jeden Lieferanten einstufen. Die Kritikalitätsrubrik bewertet jeden direkten Lieferanten auf drei Dimensionen: Dienstabhängigkeit (würde ein Ausfall Ihren wesentlichen oder wichtigen Dienst stören?), Zugriff (Produktionssysteme, sensible Daten, Netzwerkkonnektivität) und Substituierbarkeit. Stufe-1-Lieferanten erhalten den vollständigen Nachweissatz, Stufe 2 einen Kernsatz, Stufe 3 eine schlanke Eigenerklärung. So werden Sie den „spezifischen Schwachstellen jedes direkten Lieferanten" aus Artikel 21 Abs. 3 gerecht, ohne in Papierkram zu ertrinken — die Verhältnismäßigkeit ist im „geeignet und verhältnismäßig"-Maßstab der Richtlinie angelegt.
Schritt 2 — Die Nachweis-Kadenz fahren. Jede Checklistenzeile nennt ihre Auffrischfrequenz je Stufe. Die Kalender-Kadenz ist der Boden, nicht die Decke: Ereignisauslöser — ein Vorfall beim Lieferanten, ein neuer Unterauftragnehmer, ein ablaufendes Zertifikat, eine Änderung des Leistungsumfangs — übersteuern den Zeitplan und lösen eine sofortige Neuanforderung nur für die betroffenen Kategorien aus. Genau dieses ereignisgetriebene Muster trennt laufende Lieferantenaufsicht von punktueller Bewertung.
Schritt 3 — Bei Schweigen eskalieren. Die Vorlage wird mit einem vierstufigen Eskalations-Workflow ausgeliefert: Erinnerung nach 10 Arbeitstagen, Eskalation an den kommerziellen Owner nach 20, förmliche Aufforderung unter Berufung auf die Audit-/Nachweisklausel des Vertrags nach 30 und eine dokumentierte Risikoentscheidung — Akzeptanz, kompensierende Kontrollen oder Kündigungsprüfung — nach 45. Jede Stufe wird protokolliert, denn eine Eskalationsspur ist selbst der Nachweis, dass Ihre Aufsicht funktioniert. Behörden, die wesentliche und wichtige Einrichtungen beaufsichtigen, können Nachweise für Artikel-21-Maßnahmen jederzeit verlangen, und Auditoren fragen zunehmend genau nach dieser Art von Dokumentation.
Rechtsgrundlage
Die Checkliste ist in der Richtlinie (EU) 2022/2555 (NIS2) verankert, in Kraft seit dem 16. Januar 2023 mit Umsetzungsfrist zum 17. Oktober 2024. Artikel 21 Abs. 2 Buchst. d führt die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern" unter den Mindest-Risikomanagementmaßnahmen auf. Artikel 21 Abs. 3 verlangt von Einrichtungen, die spezifischen Schwachstellen jedes direkten Lieferanten und Dienstleisters zu berücksichtigen, die Gesamtqualität ihrer Produkte und Cybersicherheitspraktiken — einschließlich ihrer Verfahren zur sicheren Entwicklung — sowie die Ergebnisse der koordinierten Sicherheitsrisikobewertungen kritischer Lieferketten nach Artikel 22 Abs. 1.
Die Zeile zum Vorfallsbenachrichtigungs-SLA knüpft an Artikel 23 an, der Sie verpflichtet, bei einem erheblichen Vorfall innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung abzugeben, innerhalb von 72 Stunden eine Vorfallsmeldung und innerhalb eines Monats einen Abschlussbericht. Diese Fenster können Sie nicht einhalten, wenn ein Lieferantenvorfall Sie zu spät erreicht — deshalb ist die Benachrichtigungsklausel des Lieferanten ein Nachweisgegenstand und kein Nice-to-have. Unser Leitfaden zu den Artikeln 21 und 23 im Zusammenspiel behandelt diese Abhängigkeit im Detail.
Für Einrichtungen der digitalen Infrastruktur und IKT-Dienste spezifiziert die Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 die technischen und methodischen Anforderungen, und die technische Umsetzungsleitlinie der ENISA (Juni 2025) beschreibt Lieferantenprüfung, Vertragsklauseln und laufende Überwachung als Umsetzungserwartungen. Die früheren Good Practices for Supply Chain Cybersecurity der ENISA (Juni 2023) empfehlen, eine dokumentierte Lieferantenliste zu führen, Risikokriterien je Lieferantentyp zu definieren und die Fähigkeit der Lieferanten zur Erfüllung der Sicherheitsanforderungen periodisch zu überprüfen — Register und Rubrik der Vorlage setzen diese Praktiken direkt um. Die Umsetzung ist weiterhin uneinheitlich — die Kommission eskalierte im Mai 2025 Vertragsverletzungsverfahren gegen 19 Mitgliedstaaten zu mit Gründen versehenen Stellungnahmen, und bis Mitte 2026 haben die meisten, aber nicht alle Mitgliedstaaten nationale Gesetze in Kraft (Deutschlands NIS2UmsuCG etwa gilt seit dem 6. Dezember 2025). Ihre Pflichten binden, sobald das Gesetz Ihres Mitgliedstaats gilt — aber die Kunden Ihrer Lieferanten fragen jetzt schon. Das vollständige Umsetzungsbild zeichnet die Übersicht zur NIS2-Richtlinie.
Über die EU hinaus: UK und Norwegen
Dieselbe Checklisten-Logik erstreckt sich über die gesamte europäische Landkarte. UK ersetzt seine NIS-Regulierung von 2018 durch die Cyber Security and Resilience Bill, am 12. November 2025 ins Parlament eingebracht und Mitte 2026 im House of Lords, mit erwartetem Royal Assent Ende 2026. Sie bringt Managed Service Provider, erfasste Rechenzentren und von Regulierern designierte „kritische Lieferanten" in den direkten Anwendungsbereich, mit 24-Stunden-Erstmeldung und 72-Stunden-Vollmeldung bei Vorfällen — britische Lieferanten sollten also Nachweisanforderungen genau dieser Form erwarten. Norwegen wendet die ursprüngliche NIS-Richtlinie über das digitalsikkerhetsloven an, in Kraft seit dem 1. Oktober 2025 und beaufsichtigt von der NSM (die auch das nationale CSIRT betreibt), während NIS2 auf die Übernahme in das EWR-Abkommen wartet. Wenn Ihre Lieferantenbasis EU, UK und EWR umspannt, schlägt ein Nachweisregister mit jurisdiktionsbewussten Anmerkungen — wie es diese Vorlage bietet — drei parallele Tabellen.
Von der Checkliste zur kontinuierlichen Assurance
Eine Tabelle beweist, dass Sie einen Prozess haben; sie kann Lieferanten nicht nachfassen, Antworten nicht neu bewerten und Sie nicht alarmieren, wenn ein Zertifikat abläuft. Wenn das Register der manuellen Pflege entwächst, betreibt Orbiqs Vendor Assurance Platform dieselbe Einstufung, Nachweiserhebung und denselben Eskalations-Workflow kontinuierlich — mit KI-bewerteten Antworten und einem Prüfpfad, der als Nebenprodukt der Arbeit entsteht.
Quellen & Referenzen
- Richtlinie (EU) 2022/2555 (NIS2) — Volltext — Artikel 21 Abs. 2 Buchst. d, 21 Abs. 3, 22, 23 und 34.
- Durchführungsverordnung (EU) 2024/2690 der Kommission — technische und methodische Anforderungen für Einrichtungen der digitalen Infrastruktur.
- ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — Juni 2025, Version 1.0.
- ENISA — Good Practices for Supply Chain Cybersecurity — Juni 2023.
- Europäische Kommission — NIS2-Richtlinie (Policy-Seite) — Umsetzungsstand und Vertragsverletzungsverfahren.
- UK Government — Cyber Security and Resilience Bill (Sammlung) — Gesetzesdokumente und Factsheets.
- NSM — Norwegian National Cyber Security Centre — Norwegens nationales CSIRT und Aufsichtskontext.
Weiterführende Lektüre
- Vendor Assurance unter NIS2: Was Artikel 21 verlangt
- NIS2-Lieferkettensicherheit: Anforderungen, Lücken und wie man sie erfüllt
- NIS2-Compliance-Checkliste: Die vollständigen Artikel-21-Anforderungen
- NIS2-Drittparteien-Risikodokumentation: Was Auditoren sehen wollen
- NIS2-Artikel 21 und 23: Vorfallsmeldung und Lieferkettensicherheit
Vorlage herunterladen
Version 1.0 · Aktualisiert 11. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Download-Dateien auf Englisch
Häufig gestellte Fragen
Was ist eine NIS2-Checkliste für Nachweisanforderungen an Lieferanten?
Eine NIS2-Checkliste für Nachweisanforderungen an Lieferanten ist ein strukturiertes Register der Sicherheitsnachweise, die eine wesentliche oder wichtige Einrichtung von jedem direkten Lieferanten und Dienstleister anfordert — Zertifizierungen, Pentest-Zusammenfassungen, Vorfallsbenachrichtigungs-SLAs, Offenlegungen von Unterauftragnehmern und BCP-/DR-Testergebnisse — gemappt auf NIS2 Artikel 21 Abs. 2 Buchst. d und Artikel 21 Abs. 3, mit einer an die Kritikalitätsstufe jedes Lieferanten gekoppelten Überprüfungskadenz.
Welche Nachweise sollte ich unter NIS2 von Lieferanten anfordern?
Zu den Kernkategorien gehören: ein gültiges ISO-27001-Zertifikat mit Geltungsbereichsangabe (oder ein SOC-2-Type-II-Bericht mit Bridge Letter), die aktuellste Pentest-Management-Summary mit Behebungsstatus, SLAs für Schwachstellenmanagement und Patching, Nachweise zur sicheren Entwicklung (Artikel 21 Abs. 3 nennt Verfahren zur sicheren Entwicklung ausdrücklich), ein vertragliches Vorfallsbenachrichtigungs-SLA im Einklang mit der Artikel-23-Zeitleiste, ein aktuelles Register der Unterauftragnehmer/Subprozessoren sowie BCP-/DR-Pläne mit dem jüngsten Testbericht.
Wie oft sollten Lieferanten unter NIS2 Nachweise neu einreichen?
NIS2 legt kein festes Intervall fest — die Maßnahmen müssen geeignet und verhältnismäßig sein. In der Praxis bewerten reife Programme Stufe-1-Lieferanten (kritisch) jährlich neu, mit quartalsweiser Überwachung von Zertifikaten und Kennzahlen, Stufe-2-Lieferanten jährlich und Stufe-3-Lieferanten beim Onboarding sowie alle drei Jahre oder bei Vertragsverlängerung — plus ereignisgetriebene Neuanforderungen für alle Stufen nach Vorfällen, Unterauftragnehmer-Änderungen oder Zertifikatsablauf.
Verlangt NIS2 Nachweise von jedem Lieferanten?
Artikel 21 Abs. 2 Buchst. d zielt auf die sicherheitsbezogenen Aspekte der Beziehungen zu den direkten Lieferanten und Dienstleistern jeder Einrichtung, und Artikel 21 Abs. 3 verlangt, die spezifischen Schwachstellen jedes direkten Lieferanten zu berücksichtigen. Es gilt Verhältnismäßigkeit: Mit einer Kritikalitätsstufen-Rubrik fordern Sie den vollständigen Nachweissatz von Lieferanten an, die wesentliche Dienste stützen, und eine schlanke Eigenerklärung von risikoarmen Anbietern.
Ist ein Lieferantenfragebogen dasselbe wie eine Nachweisanforderung?
Nein. Ein Fragebogen sammelt Eigenerklärungen; eine Nachweisanforderung sammelt verifizierbare Artefakte — Zertifikate, Prüfberichte, Testzusammenfassungen, Vertragsklauseln. Die ENISA-Leitlinien zur Lieferkette betonen, die Qualität der Sicherheitspraktiken eines Lieferanten zu bewerten, nicht nur die Existenz von Dokumentation — Fragebogen-Antworten sollten daher für alles Wesentliche durch Nachweise gestützt sein.
Gilt diese Checkliste auch für britische und norwegische Lieferanten?
Ja, mit Anpassungen. Die britische Cyber Security and Resilience Bill (Mitte 2026 im House of Lords) wird Managed Service Provider, Rechenzentren und designierte kritische Lieferanten in ein NIS-artiges Regime bringen, und Norwegens digitalsikkerhetsloven (in Kraft seit dem 1. Oktober 2025) setzt NIS1 um, während NIS2 auf die EWR-Übernahme wartet — dieselben Nachweiskategorien bedienen also Lieferanten in der EU, in UK und im EWR.