Häufig gestellte Fragen

Das FR Rating ist ein unabhängiger Score, der die regulatorische Cybersicherheitslage einer Organisation zusammenfasst. Es umfasst 8 Stufen von FR-Aaa (höchste) bis FR-Ca (niedrigste) und aggregiert die Compliance-Reife über 3 europäische Frameworks: ISO 27001, NIS2 und DORA.

Finnovia Solutions, eine unabhängige europäische Agentur. Die Plattform liefert zwei Ergebnisse: ein Self-Assessment FR Rating, das automatisch aus Ihren Antworten berechnet wird, und ein Verified FR Rating, das vor der Veröffentlichung von Finnovia-Analysten kontrollweise geprüft wird. Nur das Verified Rating — verfügbar in den zahlungspflichtigen Plänen — entspricht dem Ansatz von Finanz-Ratingagenturen wie Moody's oder S&P, angewandt auf Cybersicherheit.

Jede Kontrolle wird auf einer Reifegradskala von 0 (keine) bis 4 (optimiert) bewertet, auf 0–100 % normalisiert und anschließend pro Domäne mit den jeweiligen Domänengewichtungen aggregiert. Der Gesamtscore wird über feste Schwellenwerte einer von 8 Stufen zugeordnet (FR-A ab 70 %, FR-Aaa ab 90 %). Die vollständige Methodik finden Sie auf der Methodologie-Seite.

Die Ratings werden in drei Risikobänder gruppiert. Niedriges Risiko: FR-Aaa, FR-Aa, FR-A (Scores ≥ 70 %). Mittleres Risiko: FR-Baa, FR-Ba (Scores 50–69 %). Hohes Risiko: FR-B, FR-Caa, FR-Ca (Scores unter 50 %). Jede Stufe spiegelt definierte Lücken und Verbesserungsprioritäten wider.

Drei Frameworks: ISO 27001 (internationaler Standard für Cybersicherheitsmanagement), NIS2 (EU-Richtlinie zur Netz- und Informationssicherheit, anwendbar seit 2024) und DORA (Digital Operational Resilience Act, verbindlich für EU-Finanzunternehmen seit 2025).

Live numbers from the assessment engine — DORA: 38 questions across 7 domains; ISO 27001: 56 questions across 10 domains; NIS2: 37 questions across 7 domains.

ISO 27001 is voluntary but globally recognised. NIS2 is mandatory for most large EU entities classified as essential or important. DORA is mandatory for EU financial entities and their critical ICT providers. Most organisations need at least two; Finnovia supports activation per framework.

Ein ISO-27001-Fragebogen dauert für eine mit den Kontrollen vertraute Person etwa 35–40 Minuten. NIS2 und DORA benötigen jeweils rund 25 Minuten. Sie können Ihren Fortschritt jederzeit speichern und später fortsetzen.

Ein selbstbewertetes Rating ist 12 Monate ab Einreichung gültig. Ein verifiziertes Rating nach Prüfung durch einen Finnovia-Analysten ist 24 Monate ab Freigabe gültig. Beide laufen automatisch ab — wiederkehrende Bewertungen halten das Rating aktuell.

Ein selbstbewertetes Rating spiegelt die von Ihnen eingereichten Antworten wider. Ein verifiziertes Rating wurde kontrollweise von einem Finnovia-Analysten geprüft, der bestätigt, dass die Bewertung belastbar ist. Nur verifizierte Ratings werden öffentlich gelistet und als offiziell anerkannt.

Selbstbewertete Ratings sind privat und nur innerhalb Ihrer Organisation sichtbar. Verifizierte Ratings werden öffentlich auf der Ratings-Seite gelistet und sind für jedermann einsehbar — das ist der Sinn einer unabhängigen Agentur. Sie behalten die Kontrolle darüber, welche Frameworks Sie veröffentlichen möchten.

Ja. Sie können jederzeit einen Widerruf beantragen. Das Rating wird dann nicht mehr auf der Seite der aktiven Ratings angezeigt; es verbleibt aus Transparenzgründen in unserem Archiv, deutlich als „zurückgezogen“ gekennzeichnet.

Zahlende Kunden können ihre Lieferanten einladen, eine Bewertung durchzuführen. Der Lieferant erhält einen privaten Link, füllt den Fragebogen aus, und Finnovia berechnet sein FR Rating. Sie sehen ein Dashboard mit allen Ihren Lieferanten und deren Ratings — eine transparente Drittansicht auf Ihr Lieferketten-Cyberrisiko.

Es werden drei automatische Erinnerungen im Abstand von 7 Tagen versendet. Danach erscheint der Lieferant in Ihrem Dashboard als „nicht reagiert“, ohne weitere Kontaktversuche. Ihre Lieferantenliste zeigt auf einen Blick, wer bewertet, in Bearbeitung, eingeladen oder nicht reagierend ist.

Nein. Ein Lieferant, der eine Bewertung für Sie durchführt, sieht nur seinen eigenen Fragebogen. Er erfährt weder, wer ihn sonst noch eingeladen hat, noch sieht er aggregierte Daten über mehrere Kunden hinweg. Nach Verifizierung ist das Rating portabel — das heißt, mehrere Kunden desselben Lieferanten teilen sich dasselbe veröffentlichte Rating.

Die Lieferantenüberwachung ist in Founding Member und Enterprise enthalten. Die kostenlose Discovery-Stufe umfasst nur die Selbstbewertung. Founding Member ist auf 25 Lieferanten begrenzt; Enterprise hebt diese Obergrenze auf.

Ja — die Discovery-Stufe ist kostenlos und ermöglicht Selbstbewertungen zu ISO 27001 und NIS2. Es werden teilweise Domänen-Scores angezeigt. Das verifizierte Rating, die Lieferantenüberwachung und die vollständige Ergebnisaufschlüsselung erfordern ein Upgrade.

Founding Member schaltet frei: verifizierte, von Analysten geprüfte FR Ratings auf den drei Frameworks, Lieferantenüberwachung, vollständiges Dashboard, priorisierte Support-Roadmap. Die Preise sind für 24 Monate festgeschrieben. Beschränkt auf 50 Organisationen in ganz Europa.

Enterprise richtet sich an Organisationen mit größeren Lieferanten-Ökosystemen, individuellen Integrationen, einem dedizierten CSM und vertraglichen SLAs. Preise auf Anfrage. Kontaktieren Sie unser Team für Details.

Ja, jederzeit. Sie können von Discovery zu Founding Member wechseln, solange Plätze verfügbar sind, oder von Founding Member zu Enterprise. Downgrades werden zur nächsten Vertragsverlängerung wirksam.

Finnovia wird vollständig in Europa betrieben. Die Anwendung ist in Vercels europäischen Regionen gehostet; die PostgreSQL-Datenbank läuft auf Supabase, ebenfalls in der EU. Keine Kundendaten verlassen die europäische Jurisdiktion.

Ja. Finnovia Solutions ist ein französisches Unternehmen. Wir verarbeiten personenbezogene Daten auf vertraglicher Grundlage (Ihr Abonnement). Unsere vollständige DSGVO-Position, das Verarbeitungsverzeichnis und die Unterauftragsverarbeiter sind in der Datenschutzerklärung dokumentiert.

Standardmäßig nur Sie und Ihre autorisierten Kollegen. Bei verifizierten Ratings prüft ein autorisierter Finnovia-Analyst die Antworten kontrollweise. Wir geben Fragebogeninhalte niemals an Dritte weiter. Aggregierte, vollständig anonymisierte Statistiken können für Branchen-Benchmarks verwendet werden — niemals organisationsbezogen ohne Einwilligung.

Ja. Finnovia Solutions ist in Privatbesitz, betreibt keine Beratungssparte, verkauft keine Cybersicherheitsprodukte und nimmt von bewerteten Organisationen keine Vergütung über das Standard-Abonnement hinaus an. Unser Geschäftsmodell ist das Rating-Abonnement — keine Beratung, keine Pentests, keine Implementierung. Diese strukturelle Unabhängigkeit ist der entscheidende Punkt.