Awareness- und Schulungskonzept: Vorlage nach ISO 27001 und NIS2
Der Mensch ist die häufigste Angriffsfläche. Diese kostenlose Vorlage strukturiert Ihr Awareness- und Schulungskonzept nach Zielgruppen, Themen, Frequenz und Wirksamkeitsnachweis, inklusive der NIS2-Pflicht zur Schulung der Geschäftsleitung.
Worum geht es?
Ein Awareness-Konzept legt fest, wer wann zu welchen Sicherheitsthemen geschult wird und wie die Wirksamkeit belegt wird. Es setzt ISO 27001 A.6.3 um und ist Teil der NIS2-Pflicht zu Cyberhygiene und Schulungen.
Die Vorlage unterscheidet Zielgruppen: alle Beschäftigten (Basis-Awareness), Rollen mit erhöhtem Risiko (IT, Buchhaltung, HR) sowie die Geschäftsleitung, die unter NIS2 ausdrücklich selbst an Schulungen teilnehmen muss.
Enthalten sind eine Themenauswahl von Phishing bis Meldeprozess, Vorgaben zu Format und Frequenz (Onboarding, jährliche Wiederholung, Phishing-Simulationen) sowie ein Abschnitt zu Nachweis und Wirksamkeitskennzahlen.
Was die Vorlage enthält
Zweck & Ziele
Warum geschult wird und was erreicht werden soll
Zielgruppen
Alle Beschäftigten, Risikorollen und Geschäftsleitung
Themen
Phishing, Passwörter/MFA, Datenumgang, Vorfallmeldung, DSGVO
Format & Frequenz
Onboarding, jährliche Wiederholung, Phishing-Simulationen
Nachweis & Wirksamkeit
Teilnahmenachweise und Kennzahlen wie Klickrate
Rollen & Überprüfung
Verantwortliche und jährliche Aktualisierung
Die Vorlage eignet sich für ISB, HR und Geschäftsführung, die Sensibilisierung strukturiert aufsetzen und nachweisen müssen. Ergänzen Sie Ihre Themen je Rolle und definieren Sie die Nachweisführung.
Häufige Fehler beim Ausfüllen
Geschäftsleitung ausgenommen
NIS2 verpflichtet gerade die Leitung zur Teilnahme. Ein Konzept, das die Führungsebene ausklammert, erfüllt die Anforderung nicht.
Schulung ohne Nachweis
Ohne dokumentierte Teilnahme lässt sich die Durchführung im Audit nicht belegen.
Einmal statt wiederkehrend
Eine einmalige Schulung reicht nicht. Awareness braucht Wiederholung und anlassbezogene Auffrischung.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
Dies ist eine gekürzte Muster-Fassung. In CompliantDesk planen und verteilen Sie Awareness-Schulungen und Phishing-Simulationen, erfassen Teilnahmenachweise je Mitarbeiter automatisch und belegen die Wirksamkeit mit Kennzahlen, inklusive Versionierung und Freigabe des Konzepts.
Häufig gestellte Fragen
Wie oft müssen Mitarbeiter geschult werden?
Bei Eintritt (Onboarding) und danach mindestens jährlich, ergänzt um anlassbezogene Kurzformate, etwa nach einem Vorfall oder bei neuer Bedrohungslage.
Muss die Geschäftsführung wirklich mitmachen?
Ja. NIS2 verpflichtet die Leitungsorgane ausdrücklich, an Schulungen teilzunehmen, um Risiken bewerten zu können.
Wie weise ich die Wirksamkeit nach?
Über Teilnahmenachweise je Person sowie Kennzahlen wie Teilnahmequote und Phishing-Klickrate, die Sie der Leitung berichten.
Weiterführend
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.
