A.6 Personenbezogene Maßnahmen
Informationssicherheitsbewusstsein, Schulung und Training
Alle Beschäftigten und relevante Externe müssen ein angemessenes Bewusstsein für Informationssicherheit erhalten sowie regelmäßige Schulungen und Aktualisierungen passend zu ihrer Funktion.
Was fordert dieses Control?
Alle Beschäftigten und relevante Externe müssen ein angemessenes Bewusstsein für Informationssicherheit erhalten sowie regelmäßige Schulungen und Aktualisierungen passend zu ihrer Funktion.
Warum ist das wichtig?
Der Mensch ist das häufigste Einfallstor. Regelmäßige Awareness senkt die Erfolgsquote von Phishing und Social Engineering messbar und ist eine zentrale NIS2-Pflicht.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 20 (2) | Direkt |
| TISAX | 2.1.2 | Direkt |
| BSI | ORP.3 | Direkt |
Was der Auditor erwartet
- 1Schulungsplan mit Zielgruppen, Themen und Intervallen
- 2Teilnahmenachweise und Ergebnisse (z.B. Quiz, Phishing-Tests)
- 3Rollenangepasste Inhalte für besonders exponierte Funktionen
Audit-Checkliste
Dokumente
Awareness- und Schulungskonzept
Zielgruppen, Themen, Frequenz und Verantwortliche
Nachweise
Teilnahmequoten und Abschlüsse
Wer wann welche Schulung absolviert hat
Phishing-Simulationsergebnisse
Klickraten und Lernfortschritt über die Zeit
Interviews
Stichprobe Mitarbeiter
Kennen sie Melde- und Verhaltensregeln im Ernstfall
Praxis-Tipps zur Umsetzung
Kurz und regelmäßig
Mehrere kurze Einheiten über das Jahr wirken besser als eine jährliche Pflichtschulung.
Mit Simulationen messen
Phishing-Tests machen den Lernerfolg sichtbar und liefern Audit-Nachweise.
Leitung einbeziehen
NIS2 verlangt ausdrücklich auch Schulung der Geschäftsführung.
Häufige Fehler
Einmal und nie wieder
Onboarding-Schulung ohne jährliche Auffrischung erfüllt die Anforderung nicht.
Externe vergessen
Dienstleister mit Systemzugriff bleiben oft ungeschult.
Häufig gestellte Fragen
Wie oft muss geschult werden?
Mindestens jährlich, ergänzt um anlassbezogene Sensibilisierung. Exponierte Rollen häufiger.
Zählt eine E-Learning-Plattform?
Ja, sofern Teilnahme und Abschluss nachweisbar dokumentiert werden.
Muss die Geschäftsführung teilnehmen?
Unter NIS2 ja, Schulung der Leitungsorgane ist verpflichtend.
So hilft CompliantDesk bei A.6.3
Das Awareness-Modul plant Kampagnen, versendet Schulungen per Magic-Link, führt Phishing-Simulationen durch und liefert auditfähige Teilnahme-Reports.