NIS2 Cybersecurity-Schulungsanforderungen: Was Ihre Organisation tun muss
Unter allen Anforderungen der NIS2-Richtlinie gehört die Cybersecurity-Schulung zu den am explizitesten und präzisesten vorgeschriebenen — und zu den am häufigsten unterschätzten. Die meisten Compliance-Diskussionen konzentrieren sich auf technische Maßnahmen: Firewalls, Verschlüsselung, Notfallpläne. Schulungen werden häufig als nachrangig betrachtet, als bloße Formsache oder als Aufgabe, die an die Personalabteilung delegiert werden kann.
NIS2 sieht dies anders. Zwei separate Artikel schreiben Schulungen vor — auf zwei verschiedenen Ebenen der Organisation, mit sehr unterschiedlichen Konsequenzen bei Nichteinhaltung. Article 20(2) verpflichtet jedes Mitglied des Leitungsorgans — individuell und persönlich — zur Teilnahme an Cybersecurity-Schulungen. Article 21(2)(g) schreibt grundlegende Cyber-Hygiene und Cybersecurity-Schulungen für alle Mitarbeiter vor. Keine dieser Verpflichtungen ist optional. Keine kann vollständig delegiert werden.
Dieser Artikel erläutert genau, was jede Anforderung verlangt, für wen sie gilt, welche Themen behandelt werden müssen und welche Dokumentation Sie zum Nachweis der Compliance benötigen. Ob Sie als HR-Direktor ein Schulungsprogramm von Grund auf aufbauen oder als Compliance-Manager eine Aufsichtsprüfung vorbereiten — dieser Leitfaden bietet Ihnen den erforderlichen Rahmen.
Verwandte Inhalte: Vollständige Übersicht der NIS2-Anforderungen | NIS2-Compliance-Checkliste
Article 20(2): Das Schulungsgebot für das Management
Article 20(2) der NIS2-Richtlinie enthält eine für EU-Gesetzgebung ungewöhnlich direkte Formulierung:
„Die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen sind verpflichtet, an Schulungen teilzunehmen, und sollen die Mitarbeiter dazu ermutigen, regelmäßig an ähnlichen Schulungen teilzunehmen, um ihnen zu ermöglichen, Risiken zu erkennen und Cybersicherheits-Risikomanagementpraktiken sowie deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu bewerten.“
Jedes Wort dieser Bestimmung ist von Bedeutung. Im Folgenden wird erläutert, was sie konkret erfordert.
Wer geschult werden muss: das Leitungsorgan
Die Verpflichtung gilt für „Mitglieder der Leitungsorgane“. Dies umfasst jeden Direktor, jedes Vorstandsmitglied und jeden leitenden Manager, der dem Leitungsgremium der Einrichtung angehört. Es genügt nicht, dass ein Chief Information Security Officer (CISO) eine Schulung absolviert und dem Vorstand darüber berichtet. Jedes einzelne Mitglied muss die Schulung persönlich abschließen.
Das Leitungsorgan ist weit gefasst. In einem Privatunternehmen umfasst dies in der Regel den Vorstand und — je nach Governance-Struktur — leitende Führungskräfte mit Entscheidungsbefugnis in Cybersecurity-Angelegenheiten. In Behörden und öffentlichen Einrichtungen gilt dies für denjenigen, der eine gleichwertige Leitungsautorität innehat.
Was die Schulung leisten muss
Die Schulung geht über bloßes Bewusstsein hinaus. Article 20(2) legt drei Kompetenzen fest, die die Schulung vermitteln muss:
- Cybersecurity-Risiken erkennen — das Management muss in der Lage sein, zu erkennen, wann die Organisation mit einem erheblichen Cyberrisiko konfrontiert ist, und sich nicht allein auf zusammenfassende Berichte verlassen.
- Cybersecurity-Risikomanagementpraktiken bewerten — die Mitglieder müssen beurteilen können, ob die vorhandenen Maßnahmen angemessen sind, was ein fundiertes Verständnis bewährter Praktiken voraussetzt.
- Die Auswirkungen auf Dienste verstehen — die Schulung muss Cybersecurity mit der Geschäftskontinuität und den von der Einrichtung erbrachten Diensten verknüpfen, sodass Risiken greifbar und nicht abstrakt bleiben.
Dies stellt eine wesentlich höhere Anforderung dar als bloße „Sensibilisierung“. Eine einstündige allgemeine Übersicht über Cyberbedrohungen erfüllt diese Anforderung nicht. Die Schulung muss dem Management ausreichend tiefgehende Kenntnisse vermitteln, um fundierte Governance-Entscheidungen treffen zu können.
Warum dies wichtig ist: persönliche Haftung
Article 20 NIS2 ist auch die Bestimmung, die die persönliche Haftung des Managements begründet. Aufsichtsbehörden können einzelne Manager direkt für Cybersecurity-Versäumnisse zur Rechenschaft ziehen und in schwerwiegenden oder wiederholten Fällen vorübergehende Verbote für die Ausübung von Leitungsfunktionen verhängen.
Mitglieder des Leitungsorgans, die die erforderliche Schulung nicht absolviert haben, sind bei Ermittlungen der Aufsichtsbehörde nach einem Vorfall erheblich stärker exponiert. Die unterlassene Schulung stellt bereits für sich genommen einen Compliance-Verstoß dar — und sie untergräbt zudem jede Verteidigung, der Manager habe in gutem Glauben auf Grundlage einer angemessenen Governance gehandelt. Einen umfassenden Überblick über das persönliche Haftungsrisiko finden Sie in unserem Leitfaden zu NIS2-Sanktionen und Management-Haftung.
Article 21(2)(g): Cyber-Hygiene und Sicherheitsbewusstsein der Mitarbeiter
Article 21(2)(g) verpflichtet wesentliche und wichtige Einrichtungen, „grundlegende Cyber-Hygienepraktiken und Cybersecurity-Schulungen“ als eine der zehn verbindlichen Cybersecurity-Risikomanagementmaßnahmen umzusetzen.
Die Durchführungsverordnung CIR 2024/2690 (die Article 21 verbindliche technische Details hinzufügt) konkretisiert diese Anforderung in Annex 8. Die wesentlichen Elemente sind:
- Geltungsbereich: Das Sensibilisierungsprogramm muss alle Mitarbeiter abdecken, einschließlich Auftragnehmer, Zeitarbeitskräfte und Dritte mit Zugang zu den Systemen der Einrichtung.
- Aktualität: Die Inhalte müssen die aktuelle Bedrohungslage und gängige Angriffsvektoren berücksichtigen, die für den Sektor der Einrichtung relevant sind.
- Praktische Fähigkeiten: Die Schulung muss handlungsrelevante Verhaltensweisen vermitteln — Phishing erkennen, verdächtige E-Mails handhaben, Sicherheitsvorfälle melden, Passwortverwaltung, Regelungen zur aufgeräumten Arbeitsumgebung und zur Bildschirmsperre sowie Bewusstsein für Social Engineering.
- Regelmäßigkeit: Schulungen müssen regelmäßig durchgeführt werden, nicht nur bei der Einarbeitung. Eine einmalige Einführungsveranstaltung erfüllt die laufende Anforderung nicht.
- Messung der Wirksamkeit: Die Einrichtung muss bewerten, ob die Schulung zu Verhaltensänderungen führt — nicht lediglich die Teilnahme erfassen.
Wer was benötigt: Schulungsanforderungen nach Rolle
NIS2 schreibt kein einheitliches Schulungsprogramm für alle vor. Verschiedene Rollen tragen unterschiedliche Verpflichtungen und erfordern unterschiedliche Inhalte. Die folgende Tabelle ordnet jeder Gruppe ihre spezifischen Anforderungen zu.
| Rollengruppe | Rechtsgrundlage | Erforderliche Kernthemen | Mindesthäufigkeit |
|---|---|---|---|
| Leitungsorgan / Vorstand | Art. 20(2) — verbindliche persönliche Verpflichtung | NIS2-Überblick und Verpflichtungen; organisatorische Risikolage; Bewertung der Wirksamkeit des Risikomanagements; Implikationen der persönlichen Haftung; Meldepflichten für Vorfälle auf Vorstandsebene | Mindestens jährlich; sowie bei wesentlichen regulatorischen oder organisatorischen Veränderungen |
| NIS2-Beauftragter / CISO | Art. 21(2)(g) + berufliche Verantwortung | Vollständige NIS2- und CIR-Anforderungen; Methodik der Risikobewertung; Incident-Handling und -Meldung (72-Stunden-Regel); Management der Lieferkettensicherheit; alle zehn Art. 21-Maßnahmen in der Tiefe | Kontinuierliche berufliche Weiterentwicklung; mindestens jährliche formelle Überprüfung |
| IT- und Sicherheitspersonal | Art. 21(2)(g) | Sichere Konfiguration; Schwachstellenmanagement; Erkennung und Reaktion auf Vorfälle; Sicherungs- und Wiederherstellungsverfahren; Zugriffskontrolle; Überwachung und Protokollierung | Mindestens jährlich; technologiespezifische Schulungen bei Rollenänderungen oder der Einführung neuer Systeme |
| HR- und Verwaltungspersonal | Art. 21(2)(g) + CIR Annex 8 | Verfahren zur Vorstellungsüberprüfung; sichere Einarbeitungs- und Offboarding-Prozesse; Umgang mit personenbezogenen Daten; Dokumentenklassifizierung und -handhabung; Besuchermanagement; Zugangsentzug beim Ausscheiden | Jährlich; bei Übernahme der HR-Rolle |
| Alle Mitarbeiter | Art. 21(2)(g) + CIR Annex 8 | Erkennung von Phishing und Social Engineering; Passwortverwaltung und MFA-Nutzung; Meldung verdächtiger Aktivitäten und Vorfälle; aufgeräumte Arbeitsumgebung und Bildschirmsperre; Richtlinien zu Wechseldatenträgern und BYOD; physische Sicherheitssensibilisierung; Sicherheit beim Remote-Arbeiten | Bei der Einarbeitung; jährliche umfassende Auffrischung; anlassbezogene Hinweise bei neuen Bedrohungen |
Erforderliche Schulungsthemen gemäß CIR 2024/2690
CIR 2024/2690 Annex 8 enthält die detailliertesten Vorgaben für die erforderlichen Sensibilisierungsinhalte für alle Mitarbeiter. Annex 10 ergänzt spezifische Anforderungen für Schulungen auf Managementebene. Diese sind keine Empfehlungen — sie definieren den Mindeststandard, den Ihr Programm abdecken muss.
Annex 8 — Sensibilisierungsthemen für alle Mitarbeiter
- Regulatorische Verpflichtungen aus NIS2 und die Folgen der Nichteinhaltung
- Aktuelle Bedrohungslage, die für den Sektor und die Größe der Einrichtung relevant ist
- Erkennung und Reaktion auf Social Engineering und Phishing
- Passwortsicherheit, Passwortmanager und bewährte Authentifizierungspraktiken
- E-Mail- und Internetsicherheit — sicheres Surfen, Link-Überprüfung, Umgang mit Anhängen
- Sicherheitsrichtlinien für Wechseldatenträger und mobile Geräte
- Physische Sicherheitssensibilisierung — Tailgating, Besucherzugang, Sicherheitsbereiche
- Erkennung von Vorfällen und Meldeverfahren (einschließlich der Definition meldepflichtiger Vorfälle)
- Datenklassifizierung und sicherer Umgang mit sensiblen Informationen
- Regelungen zur aufgeräumten Arbeitsumgebung und zur automatischen Bildschirmsperre
- Sicherheit beim Remote-Arbeiten — VPN-Nutzung, Risiken im Heimnetzwerk, öffentliches WLAN
Annex 10 — Managementspezifische Themen
- Grundsätze der Risikobewertung und Interpretation von Risikoberichten
- Cybersecurity-Governance — Rollen, Verantwortlichkeiten und Aufsicht auf Vorstandsebene
- Regulatorische Compliance-Verpflichtungen und Durchsetzungsmechanismen unter NIS2
- Business-Continuity-Management und die Cybersecurity-Dimension der Resilienzplanung
- Sicherheitsrisiken in der Lieferkette und die Exposition durch Drittanbieterbeziehungen
Wenn Sie Schulungen für das Management konzipieren oder beschaffen, nutzen Sie Annex 10 als inhaltliche Checkliste. Jedes Programm, das diese fünf Bereiche nicht abdeckt, wird Article 20(2) voraussichtlich nicht erfüllen.
Schulungsmethoden und -durchführung
NIS2 und CIR schreiben keine spezifischen Durchführungsformate vor, aber die ENISA-Leitlinien machen deutlich, dass Wirksamkeit zählt — nicht nur der Abschluss. Verschiedene Methoden dienen unterschiedlichen Zwecken.
E-Learning-Plattformen
Skalierbar, nachverfolgbar und flexibel. Geeignet für die Grundlagensensibilisierung aller Mitarbeiter. Der wesentliche Vorteil liegt in der automatischen Anwesenheitserfassung und der Quiz-Bewertungsfunktion. Die Einschränkung besteht in der geringen Einbindung — passiver Konsum ändert selten Verhalten ohne Verstärkung. Nutzen Sie E-Learning für grundlegende Inhalte, nicht als einzige Methode.
Instructor-led-Workshops
Höhere Einbindung, ermöglicht Fragen, besser geeignet für differenzierte Themen. Dringend empfohlen für Management-Schulungen, bei denen die Möglichkeit, reale Szenarien zu besprechen und Fragen zum spezifischen Risikoprofil der Einrichtung zu stellen, wertvoll ist. Workshops sind bei Aufsichtsprüfungen auch glaubwürdigere Nachweise für substantielle Schulungen.
Tabletop-Übungen
Szenariobasierte Übungen testen die tatsächliche Entscheidungsfindung unter simuliertem Druck. Besonders wirksam für die Schulung zu Incident-Response und Krisenmanagement. Empfohlen vierteljährlich für das Senior-Management und mindestens jährlich für IT- und Sicherheitsteams. Eine Tabletop-Übung für den Vorstand, die ein Ransomware-Szenario einschließlich der 72-Stunden-Meldepflicht durchspielt, ist häufig die effizienteste Methode, um die Anforderung aus Article 20(2) zur „Fähigkeit, Risikomanagementpraktiken zu bewerten“ in einer einzigen Sitzung zu erfüllen.
Phishing-Simulationen
Das direkteste Maß für tatsächliche Verhaltensänderungen. Versenden Sie simulierte Phishing-E-Mails und verfolgen Sie, wer klickt, wer meldet und wer ignoriert. Monatliche Simulationen werden empfohlen. Verfolgen Sie Trends im Zeitverlauf — eine sinkende Klickrate und eine steigende Melderate sind objektive Belege dafür, dass Ihr Programm wirksam ist. Diese Daten sind bei Prüfungen wertvoll.
Themenbezogene Lunch-and-Learn-Sitzungen
Informelle Sitzungen zu neuen Bedrohungen halten das Thema Sicherheit zwischen den jährlichen Schulungszyklen präsent. Eine 20-minütige Sitzung zu einer neuen Phishing-Technik oder einem aktuellen sektorspezifischen Vorfall ist weitaus einprägsamer als die Wiederholung desselben Jahresmoduls. Wechseln Sie die Themen vierteljährlich.
Praxisbezogene technische Labore (nur IT-/Sicherheitspersonal)
Praktische Übungen in sicheren Umgebungen — Schwachstellenscans, Incident-Response-Übungen, Protokollanalyse. Unverzichtbar für technisches Personal, aber nicht als allgemeine Sensibilisierungsmethode geeignet.
Empfohlene Kombination
Für die meisten wesentlichen und wichtigen Einrichtungen deckt das folgende Programm sowohl die Verpflichtungen aus Article 20(2) als auch aus Article 21(2)(g) ab:
- Monatlich: Phishing-Simulation für alle Mitarbeiter
- Vierteljährlich: Briefing zu neuen Bedrohungen (alle Mitarbeiter) + Tabletop-Übung (Management und IT)
- Jährlich: umfassende E-Learning-Auffrischung (alle Mitarbeiter) + Management-Workshop zu den Themen aus Annex 10
- Bei der Einarbeitung: Einführungsmodul innerhalb der ersten Beschäftigungswoche
- Anlassbezogen: zusätzliche Schulung nach schwerwiegenden Vorfällen oder wenn neue Bedrohungsinformationen dies erfordern
Häufigkeit und Auffrischungsanforderungen
CIR 2024/2690 legt für die meisten Schulungen keine genauen Intervalle fest, jedoch erscheint das Wort „regelmäßig“ durchgehend — und die ENISA-Leitlinien liefern praktische Richtwerte, auf die Aufsichtsbehörden bei Prüfungen voraussichtlich Bezug nehmen werden.
| Schulungstyp | Von ENISA empfohlene Häufigkeit |
|---|---|
| Einführung neuer Mitarbeiter | Innerhalb der ersten Beschäftigungswoche |
| Jährliche umfassende Auffrischung (alle Mitarbeiter) | Mindestens einmal jährlich |
| Aktualisierungen zu neuen Bedrohungen | Vierteljährlich |
| Management-Schulung (Art. 20(2)) | Mindestens jährlich; sowie nach schwerwiegenden Vorfällen oder regulatorischen Änderungen |
| Phishing-Simulationen | Mindestens vierteljährlich; monatlich bevorzugt |
| Anlassbezogene Schulungen | Nach Vorfällen, Datenpannen oder Beinahevorfällen; nach wesentlichen System- oder Prozessänderungen |
Dokumentieren Sie Ihren Schulungskalender als geplanten Zeitplan, nicht als nachträgliches Protokoll. Aufsichtsbehörden möchten erkennen, dass Schulungen gezielt und systematisch erfolgen, nicht reaktiv.
Schulungsnachweise und Compliance-Belege
Die Absolvierung von Schulungen ist notwendig, aber nicht ausreichend. Sie müssen die Compliance durch dokumentarische Nachweise belegen können. Im Rahmen einer Aufsichtsprüfung oder nach einem schwerwiegenden Vorfall kann es erforderlich sein, Unterlagen kurzfristig vorzulegen.
Was zu dokumentieren ist
- Anwesenheitsnachweise: Namen, Daten und Durchführungsmethode für jede Schulungsveranstaltung
- Schulungsinhalte: die verwendeten Materialien, Präsentationsfolien oder E-Learning-Module — ausreichend, um nachzuweisen, dass die behandelten Themen den Anforderungen aus Annex 8 und Annex 10 entsprechen
- Bewertungsergebnisse: Quiz-Ergebnisse, Klickraten bei Phishing-Simulationen, Melderaten — Belege für die Wirksamkeit, nicht nur für die Teilnahme
- Management-Bestätigung: unterzeichnete Bestätigung jedes Mitglieds des Leitungsorgans, dass es die Schulung gemäß Art. 20(2) absolviert hat
- Schulungsplan: vorausschauender Zeitplan mit geplanten Maßnahmen, Verantwortlichen und Zielgruppen
- Lückenanalyse: laufende Aufzeichnung ausstehender Schulungen mit geplanten Abschlussterminen
Aufbewahrungsfrist
NIS2 und CIR legen keine genaue Aufbewahrungsfrist für Schulungsnachweise fest. Bewährte Praxis, die mit allgemeinen EU-Verwaltungs- und Datenschutzfristen übereinstimmt, ist eine Mindestaufbewahrung von drei Jahren, idealerweise fünf Jahren. Unterlagen sollten leicht abrufbar sein — nicht in einem gemeinsamen Laufwerk vergraben — und das Ausscheiden von Mitarbeitern überdauern (Unterlagen nicht löschen, wenn jemand die Organisation verlässt).
Management-Bestätigung als Compliance-Anker
Speziell für Article 20(2) empfiehlt es sich, einen formalen jährlichen Bestätigungsprozess einzuführen: Jedes Mitglied des Leitungsorgans unterzeichnet eine Erklärung, in der es bestätigt, die erforderliche Schulung absolviert zu haben und seine persönlichen Verpflichtungen unter NIS2 zu kennen. Dies schafft einen eindeutigen Prüfpfad und erfüllt einen weiteren Zweck — es schärft das Bewusstsein vor der Schulung, nicht erst danach.
Vorlagen zur Unterstützung Ihres Schulungsprogramms
Der Aufbau eines compliant Schulungsprogramms erfordert mehr als die Durchführung von Veranstaltungen. Die Governance-Ebene — Richtlinien, Pläne und Nachweise — macht Schulungen prüfbar und nachhaltig.
Unsere NIS2-Compliance-Vorlagenbibliothek enthält zwei Dokumente, die speziell zur Unterstützung der Schulungsverpflichtungen entwickelt wurden:
Schulungs- und Sensibilisierungsplan (Dokument 03)
Ein umfassendes Planungsdokument, das alle Rollen, Themen, Durchführungsmethoden, Häufigkeiten und Verantwortlichkeiten abdeckt. Vorausgefüllt mit Schulungsmatrizen, die auf die Themenanforderungen aus CIR Annex 8 und Annex 10 abgestimmt sind. Enthält eine Schulungskalendervorlage, einen Lückennachverfolger und ein Erfassungsprotokoll. Konzipiert so, dass Sie es durch Eintragen der organisationsspezifischen Angaben — Rollen, Namen, Daten — vervollständigen können, anstatt von Grund auf neu zu beginnen.
HR-Sicherheitsrichtlinie (Dokument 33)
Behandelt die sicherheitsrelevanten Aspekte des gesamten Beschäftigungslebenszyklus, einschließlich der Schulungsverpflichtungen in jeder Phase: Vorstellungsüberprüfung, Anforderungen an die Einführungsschulung, Verpflichtungen zur jährlichen Auffrischung, rollenbedingte Auslöser sowie sicheres Offboarding. Die Richtlinie legt fest, welche Schulungen verpflichtend sind und in welcher Häufigkeit — und bietet damit ein Governance-Dokument, das Ihr Schulungsprogramm untermauert.
Beide Vorlagen sind darauf ausgelegt, einer Aufsichtsprü
