Gibt es eine offizielle NIS-2-Fragebogen-Vorlage?
Kurze Antwort: Nein. Weder das BSI noch die EU-Kommission veröffentlichen eine verbindliche Vorlage. In der Praxis nutzen NIS-2-pflichtige Unternehmen eigene Fragebögen, die auf etablierten Frameworks aufbauen:
- ISO/IEC 27001 Anhang A (114 Controls)
- BSI IT-Grundschutz (Bausteine SYS, NET, OPS, ORP)
- NIST Cybersecurity Framework
- TISAX-Katalog (besonders in der Automotive-Lieferkette)
Welche Struktur ist sinnvoll?
Ein praktikabler NIS-2-Fragebogen folgt diesen 10 Bereichen — orientiert an §30 Abs. 2 BSIG:
1. Risikomanagement
- Existiert eine schriftliche Risikoanalyse?
- Wie oft wird sie aktualisiert?
- Welche Methodik wird verwendet (z. B. BSI-Standard 200-3)?
2. Incident Response
- Gibt es einen dokumentierten Prozess?
- Wer ist Ansprechpartner im Vorfall?
- Wann wurde der Prozess zuletzt getestet?
3. Business Continuity
- Welche RTO/RPO werden für kritische Systeme garantiert?
- Wann wurde der letzte Wiederanlauftest durchgeführt?
- Wo werden Backups gelagert?
4. Lieferantenmanagement
- Wie werden eure eigenen Sub-Lieferanten geprüft?
- Existieren vertragliche Sicherheitsanforderungen?
5. Sicherheit in Entwicklung & Beschaffung
- Wird Secure-by-Design angewandt?
- Wie werden Schwachstellen in eingekaufter Software behandelt?
6. Wirksamkeitsprüfung
- Welche Audits/Pentests werden durchgeführt?
- Wie werden Findings nachverfolgt?
7. Schulungen & Cyberhygiene
- Wie häufig finden Awareness-Schulungen statt?
- Welche Inhalte werden vermittelt?
8. Kryptografie
- Welche Verschlüsselung wird wo eingesetzt?
- Wie werden Schlüssel verwaltet?
9. Personalsicherheit & Zugriff
- Onboarding/Offboarding-Prozesse?
- Berechtigungsreviews?
10. MFA & sichere Kommunikation
- Wo ist MFA aktiviert?
- Wie ist Notfallkommunikation sichergestellt?
Wie formatieren wir Antworten am besten?
Für jede Frage drei Felder:
- Status: erfüllt / teilweise / nicht erfüllt
- Nachweis: Verweis auf Richtlinie, Tool oder Prozess
- Maßnahmen bei Lücken: konkreter Plan mit Zeithorizont
So bleibt die Antwort kompakt, prüfbar und ehrlich.
Wo bekomme ich eine fertige Vorlage?
Wir stellen unseren Kunden eine kuratierte Vorlage zur Verfügung, die auf die meisten in Deutschland verwendeten Fragebögen passt. Du musst nicht bei Null anfangen — siehe unsere Pakete.
Häufige Fragen
Kann ich eine kostenlose Vorlage herunterladen?
Es gibt unterschiedliche kostenlose Templates (BSI, ISACA, branchenspezifisch). Sie sind meist zu generisch — eigene Anpassung bleibt nötig.
Welches Excel-Format ist üblich?
Häufig kommen Excel-Sheets mit einer Tabelle pro Themenbereich und Spalten für Frage, Status, Kommentar, Nachweis.
Sollte ich Lücken offen kommunizieren?
Ja. Ehrliche Lücken mit Maßnahmenplan sind glaubwürdiger als geschönte Volltreffer.
Wie lang sollte die Vorlage maximal sein?
Praktikabel sind 80–150 Fragen. Mehr lähmt die Antworter, weniger lässt zu viele Risiken offen.
Muss ich für jede Kundenfrage einzeln neu antworten?
Nein — mit einer eigenen Wissensbasis kannst du 80 % der Antworten wiederverwenden und nur kundenspezifische Details anpassen.
Brauche ich einen externen Berater?
Beim ersten Fragebogen lohnt es sich meist — für 690–2.490 EUR sparst du zwei bis vier Wochen interner Arbeit.
Bereit für den nächsten Schritt?
Wir bereiten deine NIS-2-Antworten strukturiert vor — orientiert an §30 BSIG. Keine Floskeln, keine Rechtsberatung.