---
name: "EU-Sicherheitsfragebogen für Lieferanten"
version: "1.0"
updated: "2026-07-13"
source: "https://www.orbiqhq.com/templates/eu-vendor-security-questionnaire"
license: "Kostenlose Nutzung; Namensnennung willkommen"
legal_basis:
  - "https://eur-lex.europa.eu/eli/reg/2016/679/oj"
  - "https://eur-lex.europa.eu/eli/dir/2022/2555/oj"
  - "https://eur-lex.europa.eu/eli/reg/2022/2554/oj"
---

# EU-Sicherheitsfragebogen für Lieferanten

Ein ausgehender Sicherheitsfragebogen für europäische Einkäufer: 67 Fragen in
10 Abschnitten, gegliedert nach der Kritikalität des Lieferanten. Von Grund auf
europäisch konzipiert — Auftragsverarbeiterpflichten nach DSGVO Artikel 28,
Lieferkettennachweise nach NIS2 Artikel 21(2)(d), Felder für IKT-Dienstleister
nach DORA sowie die Fragen zu Datenstandort und CLOUD Act, die
US-amerikanische Fragenkataloge (SIG, CAIQ) nicht stellen. Ein KI-Agent oder ein
menschlicher Prüfer kann allein auf Basis dieser Datei eine vollständige
Sicherheitsprüfung eines Lieferanten durchführen: (1) Lieferanten einstufen,
(2) den Fragensatz für diese Stufe auswählen, (3) die Fragen samt
Nachweisanforderungen versenden, (4) jede Antwort bewerten, (5) das Ergebnis
erfassen und im Turnus wiederholen.

## 1. Einstufung

Bewerten Sie den Lieferanten auf vier Dimensionen mit 1-3 Punkten
(Datensensibilität, Systemzugriff, Kritikalität der Leistung einschließlich
NIS2-/DORA-Exposition, Ersetzbarkeit).

- Gesamtpunktzahl 10-12, oder 3 Punkte sowohl bei Datensensibilität ALS AUCH bei Kritikalität der Leistung → `T1` (Kritisch)
- Gesamtpunktzahl 7-9 → `T2` (Standard)
- Gesamtpunktzahl 4-6 → `T3` (Leicht)

Fragenauswahl nach Stufe:

- `T3` — Zeilen mit der Stufe `All` (23 Fragen)
- `T2` — Zeilen mit der Stufe `All` + `T1-T2` (46 Fragen)
- `T1` — alle 67 Fragen, einschließlich Abschnitt J (DORA-Zusatz), wenn der
  Einkäufer ein Finanzunternehmen im Anwendungsbereich der Verordnung (EU)
  2022/2554 ist

Antwort-Enum je Frage: `yes` | `partial` | `no` | `n/a`.
Enum für die Bewertung des Prüfers: `adequate` | `follow-up-required` | `deficient` | `not-assessed`.
Regel: Jede Antwort `yes`/`partial` bei einem T1-/T2-Lieferanten muss auf einen
beigefügten Nachweis verweisen; eine Antwort ohne Nachweis ist eine
Selbstauskunft, keine Prüfsicherheit.

## 2. Fragenkatalog

### A — Unternehmen & Governance

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| A1 | Haben Sie eine benannte Sicherheitsverantwortliche Person (CISO oder gleichwertig) und eine eigene Sicherheitsfunktion? | Auszug aus dem Organigramm oder Rollenbeschreibung | `All` |
| A2 | Führen Sie ein dokumentiertes, von der Leitung genehmigtes Richtlinienwerk zur Informationssicherheit, das mindestens jährlich überprüft wird? | Richtlinienverzeichnis mit Datum der letzten Überprüfung | `All` |
| A3 | Verfügen Sie über ein gültiges ISO/IEC 27001:2022-Zertifikat, dessen Geltungsbereich die von uns bezogene Leistung abdeckt? | Zertifikat mit Geltungsbereichserklärung und Ablaufdatum | `All` |
| A4 | Über welche weiteren unabhängigen Prüfnachweise verfügen Sie (SOC 2 Type II, TISAX, C5, SecNumCloud)? | Bericht oder Zertifikat; Bridge Letter, wenn der Bericht älter als 12 Monate ist | `T1-T2` |
| A5 | Unterhalten Sie eine Cyber-Haftpflichtversicherung, die der Leistung angemessen ist? | Versicherungsnachweis (Deckungssumme, Laufzeit) | `T1-T2` |
| A6 | Fallen Sie selbst in den Anwendungsbereich von NIS2 (wesentliche/wichtige Einrichtung) oder DORA (Finanzunternehmen / IKT-Drittdienstleister)? | Erklärung zum regulatorischen Anwendungsbereich und zu Registrierungen | `T1-T2` |

### B — DSGVO & Datenschutz (Artikel 28)

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| B1 | Bieten Sie einen Auftragsverarbeitungsvertrag (AVV) an, der sämtliche Pflichtklauseln nach Artikel 28(3) enthält? | AVV-Vorlage (öffentlicher Link bevorzugt) | `All` |
| B2 | Verarbeiten Sie personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, auch bei internationalen Datenübermittlungen? | Fundstelle der AVV-Klausel | `All` |
| B3 | Sind alle zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet? | Fundstelle der AVV-Klausel oder Richtlinienauszug | `T1-T2` |
| B4 | Führen Sie eine Dokumentation der technischen und organisatorischen Maßnahmen (TOM) im Einklang mit DSGVO Artikel 32? | TOM-Anlage oder Security-Whitepaper | `All` |
| B5 | Veröffentlichen Sie eine aktuelle Subprozessorenliste und betreiben Sie einen Mechanismus zur Änderungsmitteilung mit Widerspruchsfrist? | URL der öffentlichen Subprozessorenseite + Beschreibung des Mitteilungsmechanismus | `All` |
| B6 | Unterstützen Sie Kunden bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Datenübertragbarkeit)? | Fundstelle der AVV-Klausel; Funktions- oder Prozessbeschreibung | `T1-T2` |
| B7 | Sagen Sie eine Frist zur Meldung von Verletzungen des Schutzes personenbezogener Daten zu, die es dem Kunden ermöglicht, seine eigene 72-Stunden-Pflicht nach Artikel 33 einzuhalten? | Vertragliche Meldeklausel mit Stundenangabe | `All` |
| B8 | Löschen oder übergeben Sie bei Vertragsende sämtliche personenbezogenen Daten (nach Wahl des Kunden) und löschen Sie vorhandene Kopien? | Fundstelle der AVV-Klausel; Löschverfahren | `T1-T2` |
| B9 | Gewähren Sie Prüf- und Informationsrechte nach Artikel 28(3)(h), einschließlich vom Kunden beauftragter Prüfungen durch Dritte? | Fundstelle der AVV-Klausel | `T1` |
| B10 | Haben Sie, soweit erforderlich, einen Datenschutzbeauftragten oder einen EU-Vertreter (Artikel 27) benannt? | Kontaktdaten des Datenschutzbeauftragten / Vertreters | `T1-T2` |

### C — Datenstandort & Datensouveränität

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| C1 | In welchen Ländern/Regionen werden Produktionsdaten und Backups gespeichert und verarbeitet? | Erklärung zum Datenstandort je Umgebung | `All` |
| C2 | Bieten Sie eine Hosting-Option ausschließlich in der EU/im EWR an, sowohl für ruhende Daten als auch für die Verarbeitung (einschließlich Supportzugriff)? | Dokumentation zu Regionen/Bereitstellung | `All` |
| C3 | Welcher Übermittlungsmechanismus deckt etwaige Drittlandübermittlungen ab (Angemessenheitsbeschluss, Standardvertragsklauseln, EU-US DPF)? | Verzeichnis der Übermittlungsmechanismen; Fundstellen der SCC-Module | `T1-T2` |
| C4 | Unterliegt Ihre Unternehmensstruktur einem Rechtsraum außerhalb der EU (z. B. US-Muttergesellschaft), der eine Herausgabe nach dem US CLOUD Act erzwingen könnte? | Erklärung zur Unternehmensstruktur; Richtlinie zum Umgang mit behördlichen Anfragen | `T1-T2` |
| C5 | Haben Sie eine Transfer-Folgenabschätzung (TIA) durchgeführt, die Zugriffe nach Art des FISA Section 702 berücksichtigt, und können Sie diese teilen? | Zusammenfassung der TIA oder Schrems-II-Analyse | `T1` |
| C6 | Werden Kundendaten bei der Übertragung (TLS 1.2+) und im Ruhezustand (AES-256 oder gleichwertig) verschlüsselt? | Dokumentation der Verschlüsselungsstandards | `All` |
| C7 | Können Verschlüsselungsschlüssel vom Kunden oder einer ausschließlich in der EU ansässigen Einheit gehalten oder kontrolliert werden (BYOK/HYOK)? | Beschreibung der Schlüsselmanagement-Architektur | `T1` |
| C8 | Veröffentlichen Sie einen Transparenzbericht oder eine Richtlinie zum Umgang mit behördlichen Datenanfragen? | URL des Transparenzberichts oder Richtlinie | `T1` |

### D — Zugriffskontrolle & Identität

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| D1 | Wird Multi-Faktor-Authentifizierung für sämtliche Mitarbeiterzugriffe auf Produktion und Kundendaten erzwungen? | Auszug der IAM-Richtlinie; Erklärung zur MFA-Abdeckung | `All` |
| D2 | Unterstützen Sie SSO (SAML/OIDC) und SCIM-Provisionierung für Kundenmandanten? | Produktsicherheitsdokumentation | `T1-T2` |
| D3 | Erfolgt der Zugriff auf Kundendaten rollenbasiert nach dem Least-Privilege-Prinzip, wobei der Produktionszugriff auf einen benannten Personenkreis beschränkt ist? | Zugriffskontrollrichtlinie; Rollenmatrix | `All` |
| D4 | Werden Zugriffsrechte in einem festgelegten Turnus überprüft (bei privilegiertem Zugriff mindestens vierteljährlich)? | Jüngstes Protokoll der Zugriffsüberprüfung (geschwärzt) | `T1-T2` |
| D5 | Werden privilegierte Konten über eine PAM-Lösung mit Sitzungsprotokollierung verwaltet? | Beschreibung der PAM-Werkzeuge | `T1` |
| D6 | Entzieht Ihr Joiner-/Mover-/Leaver-Prozess Zugriffsrechte bei Austritt innerhalb eines festgelegten SLA? | Prozessbeschreibung mit SLA | `T1-T2` |
| D7 | Führen Sie, soweit rechtlich zulässig, Überprüfungen (Screening) von Beschäftigten mit Zugriff auf Kundendaten durch? | Erklärung zur Screening-Richtlinie | `T1` |

### E — Infrastruktur & Betrieb

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| E1 | Beschreiben Sie Ihr Hosting-Modell (Cloud-Anbieter, Regionen, Single-/Multi-Tenant). | Architekturüberblick | `All` |
| E2 | Sind Produktions-, Staging- und Entwicklungsumgebungen getrennt, ohne Kundendaten außerhalb der Produktion? | Umgebungsrichtlinie; Ansatz zur Datenmaskierung | `T1-T2` |
| E3 | Betreiben Sie ein Schwachstellenmanagement-Programm mit festgelegten Behebungs-SLAs für kritische Feststellungen? | Richtlinie + Time-to-Patch-Kennzahlen der letzten 6-12 Monate | `All` |
| E4 | Wird die Leistung mindestens jährlich von einer unabhängigen Stelle einem Penetrationstest unterzogen, und teilen Sie die Managementzusammenfassung? | Jüngste Managementzusammenfassung des Penetrationstests mit Behebungsstatus | `All` |
| E5 | Sind Endgeräte mit EDR/Anti-Malware geschützt und Server nach einer dokumentierten Baseline gehärtet? | Beschreibung der Werkzeuge und der Baseline | `T1-T2` |
| E6 | Protokollieren Sie Sicherheitsereignisse zentral und überwachen Sie diese (SIEM/SOC) mit festgelegter Aufbewahrungsdauer? | Beschreibung von Protokollierung/Monitoring; Aufbewahrungsdauer | `T1-T2` |
| E7 | Wird die Infrastrukturkonfiguration als Code verwaltet bzw. einer Änderungssteuerung mit Peer Review unterworfen? | Beschreibung des Änderungsmanagement-Prozesses | `T1` |
| E8 | Verfügen Sie über DDoS-Schutz und Kapazitätsmanagement für verfügbarkeitskritische Komponenten? | Erklärung zu Anbieter/Technologie | `T1` |

### F — Vorfallsmanagement & Meldung

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| F1 | Führen Sie einen getesteten Incident-Response-Plan mit definierten Rollen und Schweregraden? | Zusammenfassung des IR-Plans; Datum des letzten Tests/der letzten Übung | `All` |
| F2 | Stellen Sie Kunden einen 24/7-Kontakt für Sicherheitsvorfälle zur Verfügung? | Kontaktdaten / Eskalationspfad | `All` |
| F3 | Welche vertragliche Frist gilt für die Benachrichtigung von Kunden über Vorfälle mit Auswirkung auf deren Leistung oder Daten (in Stunden)? | Vertragsklausel; muss mit der 24-Stunden-Frühwarnpflicht des Kunden nach NIS2 Artikel 23 vereinbar sein | `All` |
| F4 | Für Kunden, die Finanzunternehmen sind: Können Sie deren DORA-Meldefristen für schwerwiegende Vorfälle durch rechtzeitige Informationen unterstützen? | Prozessbeschreibung mit Bezug auf DORA Artikel 19 | `T1` |
| F5 | Können Sie forensische Beweismittel zu Vorfällen mit Kundenbezug sichern und bereitstellen? | Verfahren zum Umgang mit Beweismitteln | `T1` |
| F6 | Stellen Sie betroffenen Kunden Nachbereitungsberichte (Ursache, Auswirkung, Korrekturmaßnahmen) zur Verfügung? | Muster oder Vorlage eines Nachbereitungsberichts | `T1-T2` |

### G — Betriebskontinuität & Notfallwiederherstellung

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| G1 | Führen Sie Pläne für Betriebskontinuität und Notfallwiederherstellung, die die von uns bezogene Leistung abdecken? | Auszug aus dem BCP-/DR-Plan | `All` |
| G2 | Welche RTO und RPO sagen Sie für die Leistung verbindlich zu? | SLA- oder DR-Dokumentation | `T1-T2` |
| G3 | Sind Backups verschlüsselt, geografisch getrennt und werden sie in einem festgelegten Turnus auf Wiederherstellbarkeit getestet? | Backup-Richtlinie; Datum und Ergebnis des letzten Wiederherstellungstests | `All` |
| G4 | Wann haben Sie Ihren DR-Plan zuletzt getestet, und mit welchem Ergebnis? | Zusammenfassung des DR-Testberichts | `T1` |
| G5 | Welche kritischen Abhängigkeiten (Anbieter, Regionen, Single Points of Failure) weist die Leistung auf? | Erklärung zu Abhängigkeiten/Konzentration | `T1` |

### H — Sichere Entwicklung

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| H1 | Folgen Sie einem dokumentierten sicheren Entwicklungslebenszyklus mit Sicherheitsanforderungen je Release? | Zusammenfassung der SDLC-Richtlinie | `T1-T2` |
| H2 | Wird Code vor der Bereitstellung in der Produktion einem Peer Review unterzogen und gescannt (SAST/DAST/Dependency Scanning)? | Beschreibung der Security Gates in CI/CD | `T1-T2` |
| H3 | Führen Sie für die Leistung eine SBOM oder ein Abhängigkeitsverzeichnis und überwachen Sie dieses auf Schwachstellen? | Erklärung zur Verfügbarkeit der SBOM (Format, Turnus) | `T1` |
| H4 | Werden Secrets und Zugangsdaten in einem dedizierten Vault verwaltet (niemals in Code-Repositorys)? | Beschreibung des Secrets-Managements | `T1-T2` |
| H5 | Erhalten Entwickler in einem festgelegten Turnus Schulungen zu sicherer Programmierung? | Erklärung zum Schulungsprogramm | `T1` |
| H6 | Werden Sicherheitstests bei größeren Releases und Architekturänderungen durchgeführt? | Prozess für Sicherheitstests bei Releases | `T1` |

### I — Unterauftragnehmer & Lieferkette

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| I1 | Führen Sie ein aktuelles Register der an der Leistungserbringung beteiligten Unterauftragnehmer mit Standorten und Rollen? | Unterauftragnehmerregister | `All` |
| I2 | Geben Ihre Verträge mit Unterauftragnehmern gleichwertige Sicherheits- und Datenschutzpflichten weiter? | Erklärung zur Weitergabeklausel | `T1-T2` |
| I3 | Bewerten Sie die Sicherheit Ihrer eigenen Lieferanten vor dem Onboarding und in einem festgelegten Turnus? | Beschreibung des Prozesses zur Lieferantenbewertung | `T1-T2` |
| I4 | Werden Sie uns Änderungen bei Unterauftragnehmern vorab mitteilen und uns ein Widerspruchsrecht einräumen? | Vertragsklausel; Mitteilungsfrist | `All` |
| I5 | Unterstützen Sie den Ausstieg des Kunden: Datenexport in einem offenen Format, Migrationsunterstützung und einen definierten Exit-Plan? | Dokumentation zu Exit/Datenportabilität (vgl. DORA Artikel 28(8) für Finanzunternehmen) | `T1-T2` |
| I6 | Können Sie Lieferantennachweise weitergeben, die wir aufgrund unserer Lieferkettenpflichten nach NIS2 Artikel 21(2)(d) anfordern? | Zusageerklärung; Prozess zur Nachweisweitergabe | `T1` |

### J — Zusatz für Finanzunternehmen (DORA)

| ID | Frage | Angeforderte Nachweise | Stufe |
|---|---|---|---|
| J1 | Können Sie die Datenfelder bereitstellen, die Kunden als Finanzunternehmen für ihr DORA-Informationsregister benötigen (LEI, Dienstleistungsart, Datenstandorte)? | Feldübersicht zum Informationsregister (vgl. ITS (EU) 2024/2956) | `T1` |
| J2 | Enthalten Ihre Verträge für kritische/wichtige Funktionen die Bestimmungen nach DORA Artikel 30(3) (Zugang, Prüfung, Kündigung, Ausstieg)? | Fundstellen in der Vertragsvorlage | `T1` |
| J3 | Rechnen Sie mit einer Einstufung als kritischer IKT-Drittdienstleister unter DORA-Überwachung oder bereiten Sie sich darauf vor? | Erklärung | `T1` |
| J4 | Werden Sie, soweit erforderlich, an den bedrohungsgeleiteten Penetrationstests (TLPT) des Kunden mitwirken? | Zusageerklärung (vgl. DORA Artikel 26-27) | `T1` |
| J5 | Unterstützen Sie dokumentierte Ausstiegsstrategien einschließlich Übergangsunterstützung und Parallelbetriebsphasen? | Dokumentation der Ausstiegsstrategie | `T1` |

## 3. Turnus und Auslöser

- `T1` — jährliche Neubewertung; Zertifikate und Wechsel von Subprozessoren vierteljährlich überwachen.
- `T2` — Neubewertung alle 12-18 Monate.
- `T3` — Neubewertung alle 2-3 Jahre oder bei Vertragsverlängerung.
- Ereignisauslöser gehen für alle Stufen dem Kalender vor: Sicherheitsvorfall
  beim Lieferanten, Wechsel eines Unterauftragnehmers, Zertifikatsablauf,
  wesentliche Änderung der Leistung.

## 4. Rechtliche Anker

- DSGVO Artikel 28 (Auftragsverarbeitungsverträge): Verordnung (EU) 2016/679 — https://eur-lex.europa.eu/eli/reg/2016/679/oj
- NIS2 Artikel 21(2)(d) (Sicherheit der Lieferkette): Richtlinie (EU) 2022/2555 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- DORA Artikel 28-30 (Risiko durch IKT-Drittparteien): Verordnung (EU) 2022/2554 — https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- Feldzuordnung des Informationsregisters für Finanzunternehmen: ITS (EU) 2024/2956 — https://eur-lex.europa.eu/eli/reg_impl/2024/2956/oj

Dieser Fragebogen erhebt Selbstauskünfte samt Nachweisen. Er ist ein Baustein
der Lieferantenprüfung — kombinieren Sie ihn mit dem Nachweisregister unter
https://www.orbiqhq.com/templates/nis2-supplier-evidence-request-checklist
(NIS2-Einkäufer) oder
https://www.orbiqhq.com/templates/dora-ict-provider-evidence-checklist
(Finanzunternehmen).
