Unabhängig · PrüfbarMethodology Book v3bis

// METHODIK //

Wie FR Ratings berechnet werden

Eine transparente, deterministische Methodik, abgestimmt auf ISO 27001, NIS2 und DORA. Gleiche Antworten → gleiches Rating, jedes Mal.

FR-Rating-Skala ansehenFAQ lesen
FR RISK RATING
FR-A
74.2%
Verified · June 2026

Score aggregiert über 3 Cybersicherheits-Frameworks.

CaBBaBaaAAaa

// ÜBERBLICK //

Drei Frameworks, ein transparenter Score

Finnovia bewertet Organisationen anhand von drei europäischen Cybersicherheits-Rahmenwerken: ISO 27001, NIS2 und DORA. Jede Bewertung basiert auf einem strukturierten Fragebogen, der in Domänen gegliedert ist. Die Antworten werden in gewichtete Scores umgerechnet, um ein FR-Gesamtrating zu erstellen.

Unsere Methodik ist transparent, reproduzierbar und auf die europäischen regulatorischen Anforderungen abgestimmt. Die Gewichtungen spiegeln die Prioritäten des jeweiligen Rahmenwerks wider.

DORA

38 Fragen · 7 Domänen

ISO 27001

56 Fragen · 10 Domänen

NIS2

37 Fragen · 7 Domänen

// SO FUNKTIONIERT ES //

Berechnungsprozess

  1. 1

    Schritt 1 — Domänen-Score

    Für jede Domäne ist der Score der Durchschnitt der gegebenen Antworten, umgerechnet in Prozent. „Nicht zutreffend“-Antworten werden ausgeschlossen. Eine Domäne, in der alle Fragen Stufe 3 (Gesteuert) erreichen, hat einen Score von 75 %.

  2. 2

    Schritt 2 — Gewichteter Gesamtscore

    Der Gesamtscore wird als gewichtete Summe der einzelnen Domänen-Scores berechnet. Jede Domäne trägt proportional zu ihrer Gewichtung bei, die ihre Bedeutung im Rahmenwerk widerspiegelt.

  3. 3

    Schritt 3 — FR-Rating-Zuweisung

    Der Gesamtscore wird über eine feste 8-stufige Skala in ein FR Rating umgerechnet, von FR-Ca (Score unter 20 %) bis FR-Aaa (Score von 90 % oder mehr). Jede Stufe hat einen präzisen, im Code definierten Schwellenwert (FR_RATING_THRESHOLDS) — niemals nachträglich angepasst.

// REIFEGRAD-SKALA //

Bewertung jeder Antwort auf einer Reifegradskala

Jede Frage wird auf einer 5-stufigen Reifegradskala bewertet, von 0 (keine Maßnahmen) bis 4 (optimierter Prozess mit kontinuierlicher Verbesserung).

StufeReifegradScore
0Keiner0%
1Initial25%
2Definiert50%
3Gesteuert75%
4Optimiert100%
N/ANicht anwendbarexcluded

// FR-RATING-SKALA //

Vom Score zum Buchstaben-Rating

Das FR-Rating übersetzt den Gesamtscore in eine vergleichbare Note, angelehnt an Finanzbewertungen. Es ermöglicht eine sofortige Einschätzung des Compliance-Reifegrads.

CaCaaBBaBaaAAaAaa
FR-AaaExzellenz
≥ 90%
FR-AaSehr hoch
80–89%
FR-AHoch
70–79%
FR-BaaZufriedenstellend
60–69%
FR-BaModerat
50–59%
FR-BNiedrig
40–49%
FR-CaaUnzureichend
20–39%
FR-CaKritisch
< 20%

// RISIKOBÄNDER //

Drei Risikobänder auf einen Blick

Die 8 FR-Rating-Stufen werden zu drei Risikobändern aggregiert, für übergeordnetes Reporting und Benchmarking — definiert in Methodology Book §5.1.

≥ 70 %

Niedriges Risiko

FR-Aaa · FR-Aa · FR-A

Starke Cybersicherheitslage mit gemessenen, dokumentierten und konsistent angewandten Kontrollen.

50 – 69 %

Mittleres Risiko

FR-Baa · FR-Ba

Zufriedenstellende Lage mit identifizierten Verbesserungsbereichen und bekannten Restrisiken.

< 50 %

Hohes Risiko

FR-B · FR-Caa · FR-Ca

Erhebliche Lücken, die sofortige Aufmerksamkeit erfordern; Kontrollen sind teilweise vorhanden, ad hoc oder fehlen ganz.

// DOMÄNENGEWICHTE //

Wie jede Domäne gewichtet wird

Jedes Rahmenwerk weist seinen Domänen unterschiedliche Gewichtungen zu, die die regulatorischen Prioritäten widerspiegeln. Höher gewichtete Domänen haben einen größeren Einfluss auf das Endrating.

DORA

38 Fragen · 7 Domänen

IKT-Risikomanagement-Framework
20%
IKT-Vorfallmanagement & Meldung
20%
Tests der digitalen operationalen Resilienz
17%
IKT-Drittanbieter-Risikomanagement
18%
Cyber Threat Intelligence & Austausch
10%
Governance & Rechenschaftspflicht
10%
Datenschutz & Wiederherstellung
5%

ISO 27001

56 Fragen · 10 Domänen

Governance & Führung
15%
Risikomanagement
15%
Zugriffskontrolle & Identität
13%
Vorfallmanagement
12%
Lieferanten- & Drittanbieterrisiko
10%
Geschäftskontinuität
10%
Asset-Management & Klassifizierung
8%
Kryptographie & Datenschutz
8%
Physische & Umgebungssicherheit
5%
Schwachstellen- & Patch-Management
4%

NIS2

37 Fragen · 7 Domänen

Governance & Verantwortung der Geschäftsleitung
18%
Vorfallmeldung
18%
Technische Sicherheitsmaßnahmen
25%
Lieferkettensicherheit
12%
Risikomanagement & Resilienz
12%
Zugriffskontrolle & Authentifizierung
8%
Geschäftskontinuität & Krisenmanagement
7%

// GÜLTIGKEIT //

Wie lange gilt ein Rating?

Jedes Rating hat einen festen Gültigkeitszeitraum. Nach Ablauf zählt es nicht mehr als aktueller Nachweis und wird nicht mehr auf der öffentlichen Ratings-Seite gelistet.

Selbstbewertetes Rating

12 Monate

Ab Einreichungsdatum

Spiegelt die von der Organisation eingereichten Antworten wider. In dieser Phase keine Analystenprüfung.

Verifiziertes Rating

24 Monate

Ab Freigabedatum durch den Analysten

Kontrollweise von einem Finnovia-Analysten geprüft. Nur verifizierte Ratings werden veröffentlicht.

// UNSERE VERPFLICHTUNGEN //

Auf Transparenz gebaut, auf Strenge geprüft

Die Methodik von Finnovia basiert auf Transparenz und Rigorosität:

  • Öffentliche Gewichtungen — Die Domänengewichtungen werden offen kommuniziert.

  • Deterministische Bewertung — Identische Antworten ergeben immer identische Scores. Keine subjektiven Faktoren.

  • Regulatorische Ausrichtung — Die Fragebögen decken die Anforderungen jedes Rahmenwerks vollständig ab.

  • Unabhängige Verifizierung — Eingereichte Bewertungen können vor Veröffentlichung von einem Finnovia-Analysten geprüft werden.

// BEREIT FÜR IHR RATING //

Führen Sie Ihre erste Bewertung in wenigen Minuten durch

Starten Sie mit der kostenlosen Discovery-Stufe. Upgraden Sie auf ein verifiziertes Rating, sobald Sie bereit sind.

Bewertung startenÖffentliche Ratings ansehen