// Bewertungsmethodik //

Bewertungsmethodik

Erfahren Sie, wie Finnovia die Cybersicherheitslage Ihrer Organisation bewertet und benotet.

Überblick

Finnovia bewertet Organisationen anhand von drei europäischen Cybersicherheits-Rahmenwerken: ISO 27001, NIS2 und DORA. Jede Bewertung basiert auf einem strukturierten Fragebogen, der in Domänen gegliedert ist. Die Antworten werden in gewichtete Scores umgerechnet, um ein FR-Gesamtrating zu erstellen.

Unsere Methodik ist transparent, reproduzierbar und auf die europäischen regulatorischen Anforderungen abgestimmt. Die Gewichtungen spiegeln die Prioritäten des jeweiligen Rahmenwerks wider.

DORA

38 Fragen · 7 Domänen

ISO 27001

56 Fragen · 10 Domänen

NIS2

37 Fragen · 7 Domänen

Reifegradskala

Jede Frage wird auf einer 5-stufigen Reifegradskala bewertet, von 0 (keine Maßnahmen) bis 4 (optimierter Prozess mit kontinuierlicher Verbesserung).

StufeReifegradBeschreibungPunktzahl
0KeinerKeine Maßnahmen vorhanden oder undokumentierte Praxis.0%
1InitialAd-hoc-Praktiken, nicht formalisiert oder wiederholbar.25%
2DefiniertDokumentierter Prozess, der konsistent angewendet wird.50%
3GesteuertProzess wird gemessen, kontrolliert und regelmäßig auditiert.75%
4OptimiertKontinuierliche Verbesserung, Benchmarking und proaktive Anpassung.100%

Als „Nicht zutreffend“ markierte Fragen werden aus der Berechnung ausgeschlossen und beeinträchtigen den Score nicht.

Berechnungsprozess

Schritt 1 — Domänen-Score

Für jede Domäne ist der Score der Durchschnitt der gegebenen Antworten, umgerechnet in Prozent. „Nicht zutreffend“-Antworten werden ausgeschlossen. Eine Domäne, in der alle Fragen Stufe 3 (Gesteuert) erreichen, hat einen Score von 75 %.

Schritt 2 — Gewichteter Gesamtscore

Der Gesamtscore wird als gewichtete Summe der einzelnen Domänen-Scores berechnet. Jede Domäne trägt proportional zu ihrer Gewichtung bei, die ihre Bedeutung im Rahmenwerk widerspiegelt.

Schritt 3 — FR-Rating-Zuweisung

Der Gesamtscore wird anhand einer festen 7-stufigen Skala in ein FR-Rating umgewandelt, von FR-Caa (Score unter 25 %) bis FR-Aaa (Score ab 95 %).

FR-Rating-Skala

Das FR-Rating übersetzt den Gesamtscore in eine vergleichbare Note, angelehnt an Finanzbewertungen. Es ermöglicht eine sofortige Einschätzung des Compliance-Reifegrads.

FR-AaaExzellenz
≥ 90%
FR-AaSehr hoch
≥ 80%
FR-AHoch
≥ 70%
FR-BaaZufriedenstellend
≥ 60%
FR-BaModerat
≥ 50%
FR-BNiedrig
≥ 40%
FR-CaaUnzureichend
≥ 20%
FR-CaKritisch
< 20 %

Domänengewichtungen je Rahmenwerk

Jedes Rahmenwerk weist seinen Domänen unterschiedliche Gewichtungen zu, die die regulatorischen Prioritäten widerspiegeln. Höher gewichtete Domänen haben einen größeren Einfluss auf das Endrating.

DORA

38 Fragen · 7 Domänen

IKT-Risikomanagement-Framework20%
IKT-Vorfallmanagement & Meldung20%
Tests der digitalen operationalen Resilienz17%
IKT-Drittanbieter-Risikomanagement18%
Cyber Threat Intelligence & Austausch10%
Governance & Rechenschaftspflicht10%
Datenschutz & Wiederherstellung5%

ISO 27001

56 Fragen · 10 Domänen

Governance & Führung15%
Risikomanagement15%
Zugriffskontrolle & Identität13%
Vorfallmanagement12%
Lieferanten- & Drittanbieterrisiko10%
Geschäftskontinuität10%
Asset-Management & Klassifizierung8%
Kryptographie & Datenschutz8%
Physische & Umgebungssicherheit5%
Schwachstellen- & Patch-Management4%

NIS2

37 Fragen · 7 Domänen

Governance & Verantwortung der Geschäftsleitung18%
Vorfallmeldung18%
Technische Sicherheitsmaßnahmen25%
Lieferkettensicherheit12%
Risikomanagement & Resilienz12%
Zugriffskontrolle & Authentifizierung8%
Geschäftskontinuität & Krisenmanagement7%

Unsere Verpflichtungen

Die Methodik von Finnovia basiert auf Transparenz und Rigorosität:

  • Öffentliche Gewichtungen — Die Domänengewichtungen werden offen kommuniziert.
  • Deterministische Bewertung — Identische Antworten ergeben immer identische Scores. Keine subjektiven Faktoren.
  • Regulatorische Ausrichtung — Die Fragebögen decken die Anforderungen jedes Rahmenwerks vollständig ab.
  • Unabhängige Verifizierung — Eingereichte Bewertungen können vor Veröffentlichung von einem Finnovia-Analysten geprüft werden.