NIS2-Risikomanagementpflicht · Buchstabe g)
Cyberhygiene & Schulungen
NIS2 fordert grundlegende Cyberhygiene-Praktiken und regelmäßige Schulungen für alle Beschäftigten, ausdrücklich auch für die Geschäftsleitung. Ziel ist ein durchgängiges Sicherheitsbewusstsein im gesamten Unternehmen.
Warum diese Pflicht wichtig ist
Der Mensch ist das häufigste Einfallstor. NIS2 verpflichtet zudem ausdrücklich die Leitungsorgane, an Schulungen teilzunehmen, da sie für das Risikomanagement persönlich verantwortlich sind.
So setzen Sie die Pflicht um
- 1Schulungsplan mit Zielgruppen, Themen und Intervallen erstellen
- 2Awareness regelmäßig und in kurzen Einheiten durchführen
- 3Phishing-Simulationen zur Messung des Lernerfolgs einsetzen
- 4Geschäftsleitung verpflichtend einbeziehen
- 5Teilnahme nachweisbar dokumentieren
Diese Nachweise erwartet die Aufsicht
- Awareness- und Schulungskonzept
- Teilnahmequoten und Abschlussnachweise
- Ergebnisse von Phishing-Simulationen
Häufige Fehler
Einmal und nie wieder
Eine Onboarding-Schulung ohne jährliche Auffrischung erfüllt die Anforderung nicht.
Leitung außen vor
Die Geschäftsführung nimmt nicht teil, obwohl NIS2 das ausdrücklich verlangt.
Passende ISO-27001-Controls
Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:
Häufig gestellte Fragen
Muss die Geschäftsführung wirklich geschult werden?
Ja. NIS2 verpflichtet die Leitungsorgane ausdrücklich, an Schulungen teilzunehmen, um Risiken bewerten zu können.
Wie oft muss geschult werden?
Mindestens jährlich, ergänzt um anlassbezogene Sensibilisierung. Exponierte Rollen häufiger.
Zählt eine E-Learning-Plattform?
Ja, sofern Teilnahme und Abschluss nachweisbar dokumentiert werden.
Cyberhygiene & Schulungen mit CompliantDesk umsetzen
CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: Awareness-Kampagnen · Schulungsnachweise · Mitarbeiter-Hub. Starten Sie mit dem kostenlosen NIS2-Check.