← Zurück zur Startseite

NIS-2-Selbstauskunft: Was Lieferanten beantworten müssen

Eine NIS-2-Selbstauskunft ist eine vertragliche Erklärung über deinen IT-Sicherheitsstand. Hier liest du, was reinmuss — und welche Fehler du vermeidest.

Was ist eine NIS-2-Selbstauskunft?

Eine NIS-2-Selbstauskunft ist ein Fragebogen, mit dem dein Kunde — oft ein NIS-2-pflichtiges Unternehmen aus Energie, Gesundheit, Verkehr, IT, öffentlicher Verwaltung oder Industrie — von dir wissen will, wie du als Lieferant mit Cyberrisiken umgehst. Grundlage ist §30 BSIG, der Kunden verpflichtet, ihre Lieferkette systematisch auf Sicherheitslücken zu prüfen.

Die typischen Bereiche einer Selbstauskunft

Anders als ein Audit-Bericht ist die Selbstauskunft eine Eigenerklärung. Üblich sind diese Blöcke:

Stammdaten

  • Unternehmensname, Anschrift, Geschäftsführung
  • Hauptkontakt für Sicherheitsfragen (CISO oder IT-Leitung)
  • Anzahl Mitarbeitende, Standorte, IT-Systeme

Organisatorische Sicherheit

  • Existiert eine schriftliche IT-Sicherheitsrichtlinie?
  • Wie ist Verantwortung für Informationssicherheit organisiert?
  • Wie oft werden Mitarbeitende geschult?

Technische Sicherheit

  • Welche Authentifizierungsmechanismen (Passwort, MFA)?
  • Wie werden Daten verschlüsselt (in transit / at rest)?
  • Wie werden Endgeräte abgesichert (EDR, Patch-Management)?

Notfall & Vorfall

  • Existiert ein dokumentierter Incident-Response-Prozess?
  • Wie schnell könnt ihr Vorfälle melden? An wen?
  • Wann wurde der Prozess zuletzt geübt?

Lieferantenkette

  • Welche eigenen IT-Dienstleister setzt ihr ein?
  • Sind dort vertragliche Sicherheitsvereinbarungen vorhanden?

Wie ausführlich muss die Auskunft sein?

Faustregel: Knapp, aber präzise. Pro Frage 2–6 Sätze, mit konkretem Bezug auf eingesetzte Tools oder Prozesse. Allgemeine Aussagen wie „wir nehmen Sicherheit ernst" reichen nicht — der Kunde will Konkretes.

Häufige Fehler

  1. Beschönigung — Wer schreibt „MFA überall aktiviert", obwohl es nur für E-Mail gilt, riskiert vertragliche Konsequenzen.
  2. Pauschale Ja-Antworten — „Ja, wir haben ein ISMS" ohne Beleg ist wertlos.
  3. Zu lang — 30-Seiten-Antworten frustrieren den Kunden und verbergen oft die Schwächen.
  4. Keine Roadmap — Wer Lücken hat, aber keinen Plan zur Schließung nennt, wirkt planlos.

Werkzeuge & Vorlagen

Es gibt keine offizielle Bundes-Vorlage. In der Praxis nutzen Kunden eigene Templates auf Basis von ISO 27001, BSI IT-Grundschutz oder dem TISAX-Katalog. Wir helfen dir, deine Antworten so zu strukturieren, dass sie für die häufigsten Vorlagen passen.

Häufige Fragen

Ist die Selbstauskunft rechtlich bindend?

Sie ist eine vertragliche Erklärung. Falschangaben können zur Vertragsauflösung oder Schadensersatz führen.

Wer darf die Selbstauskunft unterzeichnen?

Üblich ist die Geschäftsführung oder ein bevollmächtigter IT-Verantwortlicher mit Vertretungsbefugnis.

Muss ich Belege beilegen?

Meist nicht zwingend, aber Anlagen (Richtlinien, Schulungsnachweise, Zertifikate) erhöhen die Glaubwürdigkeit deutlich.

Wie aktuell muss die Auskunft sein?

Die meisten Kunden akzeptieren eine Auskunft, die nicht älter als 12 Monate ist. Bei größeren Veränderungen vorher aktualisieren.

Was, wenn ich Fragen nicht verstehe?

Nicht raten — entweder beim Kunden nachfragen oder einen Berater hinzuziehen, der NIS-2-Vokabular kennt.

Reicht eine einmalige Selbstauskunft?

Nein. Sie wird üblicherweise jährlich oder bei wesentlichen Änderungen wiederholt.

Was kostet die Vorbereitung extern?

Bei uns startet das Soforthilfe-Paket bei 690 EUR — strukturierte Antworten in 5 Werktagen.

Bereit für den nächsten Schritt?

Wir bereiten deine NIS-2-Antworten strukturiert vor — orientiert an §30 BSIG. Keine Floskeln, keine Rechtsberatung.