NIS2 in der Praxis – Teil 10: Sicherheit im Personalwesen – HR-Prozesse sicher gestalten

• 10.1 Sicherheit des Personals – Sicherheitsverantwortlichkeiten verstehen & einhalten
• 10.2 Zuverlässigkeitsüberprüfung – für sicherheitskritische Rollen
• 10.3 Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses – inkl. Offboarding-Pflichten
• 10.4 Disziplinarverfahren – bei Verstößen gegen Sicherheitskonzepte

Auf nis2-umsetzung.com sind diese Unterpunkte bereits als eigene Seiten mit Originaltext, vereinfachter Erklärung und Auditfragen aufbereitet:

• 👉 Kategorie „10. HUMAN RESOURCES SECURITY“
• 👉 10.1 Sicherheit des Personals
• 👉 10.2 Zuverlässigkeitsüberprüfung
• 👉 10.3 Verfahren zur Beendigung oder Änderung des Beschäftigungsverhältnisses
• 👉 10.4 Disziplinarverfahren

Zusätzlich gibt es Erwägungsgrund 22 zur NIS2-Richtlinie, der Sicherheitsüberprüfung und Zuverlässigkeit von Mitarbeitenden und Dienstleistern explizit adressiert.

In diesem Beitrag schauen wir uns an, wie Sie daraus ein praktisches HR-Sicherheitskonzept machen – gemeinsam mit Information Security, Datenschutz und Management.

1. Überblick: Was will NIS2 mit „Sicherheit des Personals“?

Der Grundgedanke ist simpel: Personen mit Zugang zu kritischen Systemen und Informationen sind selbst ein Sicherheitsfaktor – im positiven wie im negativen Sinne.

Die NIS2UmsVO fordert deshalb u. a., dass betroffene Einrichtungen:

• Sicherheitsverantwortlichkeiten und -pflichten für Mitarbeitende, Anbieter und Dienstleister klar festlegen und vermitteln (10.1),
• für sicherheitskritische Rollen Zuverlässigkeitsüberprüfungen nach angemessenen Kriterien durchführen (10.2),
• bei Beendigung oder Änderung von Beschäftigungsverhältnissen regeln, welche Pflichten fort gelten und wie sie durchgesetzt werden (10.3),
• und Disziplinarverfahren für Verstöße gegen Sicherheitskonzepte etablieren (10.4).

Damit schlägt NIS2 eine Brücke zwischen HR-Prozessen, Informationssicherheit und Compliance/Datenschutz (z. B. DSGVO, arbeitsrechtliche Grenzen bei Zuverlässigkeitsprüfungen).

2. 10.1 Sicherheit des Personals – Verantwortlichkeiten sichtbar machen

Unter 10.1 Sicherheit des Personals geht es darum, dass Mitarbeitende – und wo angemessen auch direkte Anbieter und Dienstleister – ihre Sicherheitsverantwortlichkeiten:

• verstehen,
• sich zur Einhaltung verpflichten,
• und diese Pflichten im Einklang mit dem Sicherheitskonzept der Organisation stehen.

Praktische Bausteine

• Stellenprofile und Arbeitsverträge um Sicherheitsaspekte ergänzen (z. B. Vertraulichkeit, Umgang mit Systemen & Daten).
• Im Onboarding auf relevante Richtlinien verweisen (Security-Policy, Zugriffskontrolle, Incident-Prozess).
• Führungskräfte einbinden: Sie tragen Verantwortung für Umsetzung und Durchsetzung im Team.

Inhaltlich können Sie hier sehr gut an frühere Teile der Reihe anknüpfen – z. B. an Rollen & Verantwortlichkeiten (Teil 1) sowie Cyberhygiene & Schulungen (Teil 8).

3. 10.2 Zuverlässigkeitsüberprüfung – sensibel, aber notwendig

Erwägungsgrund 22 stellt klar: Zuverlässigkeitsüberprüfungen von Mitarbeitenden und – soweit anwendbar – von Anbietern/Dienstleistern sollen der Sicherheit dienen und können je nach Rahmenbedingungen unterschiedliche Formen annehmen – immer im Rahmen geltender Gesetze und verhältnismäßig.

Nach 10.2 Zuverlässigkeitsüberprüfung gilt insbesondere:

• Kriterien definieren, für welche Rollen eine Prüfung erforderlich ist.
• Prüfung vor Aufnahme der Tätigkeit durchführen.
• Gesetze, Vorschriften, ethische Normen, Risikolage und Anlagenklassifizierung berücksichtigen.

Praxisempfehlungen

• Rollen definieren, nicht Personen: z. B. Admins mit weitreichenden Systemrechten, Mitarbeitende mit Zugriff auf besonders schützenswerte Daten, Schlüsselrollen im Incident/BCM/Krypto.
• Legal/HR abstimmen: Welche Prüfungen sind zulässig (je nach Land/Branche)? Datenschutz & Arbeitsrecht beachten.
• Prozesse & Dokumentation: Auslöser, Aufbewahrung, Umgang mit Auffälligkeiten (inkl. Eskalation an Datenschutz/Juristen).
• Dienstleister einbeziehen: Vertraglich regeln, dass sicherheitskritische Rollen beim Dienstleister vergleichbaren Anforderungen unterliegen.

4. 10.3 Beendigung oder Änderung des Beschäftigungsverhältnisses – Offboarding als Sicherheitsprozess

10.3 verlangt, dass Verantwortlichkeiten und Pflichten, die nach Beendigung oder Änderung des Beschäftigungsverhältnisses fort gelten, vertraglich festgelegt und durchgesetzt werden (z. B. Vertraulichkeit, Geheimhaltung, Wettbewerbsaspekte).

In der Praxis bedeutet das

• Standardisiertes Offboarding: HR/Fachbereich/IT/IS-Checklisten (Zugänge sperren, Geräte/Token zurück, Übergaben, Datenrückgabe).
• Rollenwechsel sauber umsetzen: Rechte nicht nur hinzufügen, sondern alte entfernen („Need-to-know“).
• Fortgeltende Pflichten kommunizieren: schriftliche Bestätigung im Exit-Prozess (z. B. Vertraulichkeit, Umgang mit Informationen).
• Schnittstellen zu Incident & Monitoring: besondere Aufmerksamkeit bei Vorfällen rund um Offboarding – im rechtlich zulässigen Rahmen.

5. 10.4 Disziplinarverfahren – Verstöße konsequent behandeln

Unter 10.4 Disziplinarverfahren fordert die NIS2UmsVO Verfahren, um Verstöße gegen Sicherheitskonzepte zu behandeln – angepasst an Arbeitsrecht, Datenschutz, Mitbestimmung und betriebliche Anforderungen.

Praktische Ausgestaltung

• Stufenmodell: von Hinweis/Ermahnung bis Abmahnung – abhängig von Schwere und Vorsatz.
• Fairness & Verhältnismäßigkeit: bewusste Verstöße vs. Fehlerkultur (Melden eigener Fehler soll möglich bleiben).
• Interdisziplinär: HR, Führungskräfte, InfoSec und ggf. Datenschutz/Juristen.
• Lessons Learned: Erkenntnisse fließen in Schulungen, Prozesse und Technik zurück.

Ziel ist kein Klima der Angst, sondern Verlässlichkeit: Alle wissen, was erwartet wird – und was passiert, wenn Regeln ignoriert werden.

6. Verzahnung mit anderen NIS2-Bausteinen

NIS2 Sicherheit des Personals ist kein isoliertes HR-Thema, sondern eng verknüpft mit:

• Rollen & Verantwortlichkeiten (Teil 1)
• Risikomanagement (Teil 2)
• Incident Management (Teil 3)
• Business Continuity & Krisenmanagement (Teil 4)
• Lieferkettensicherheit (Teil 5)
• Cyberhygiene & Schulungen (Teil 8)
• Zugriffskontrolle (Kapitel 11)
• Asset-Management (Kapitel 12)

Im Überblick der Anforderungen auf nis2-umsetzung.com wird deutlich, wie diese Bausteine zusammenhängen und aus dem Annex ein prüffestes Gesamtsystem wird.

7. Praxisfahrplan: In 6 Schritten zur NIS2-fähigen HR-Sicherheit

1. Überblick verschaffen: Kategorie prüfen und bestehende Regelungen mappen:
   10. HUMAN RESOURCES SECURITY
2. Kritische Rollen definieren: mit IT/IS und Risikomanagement festlegen, welche Rollen Zuverlässigkeitsprüfungen benötigen.
3. Verantwortlichkeiten verankern (10.1): Verträge, Stellenprofile, Onboarding und Richtlinienbezug standardisieren.
4. On-/Offboarding & Rollenwechsel (10.3): Checklisten, Workflows und Berechtigungsmanagement verzahnen.
5. Disziplinarverfahren (10.4): stufenweise, rechtssicher, transparent – mit klaren Schnittstellen zu Incident und Schulungen.
6. Integration ins NIS2-Projekt: als eigener Block in Umsetzungsfahrplan & Checkliste, inkl. Nachweisführung.

8. Weiterführende Links auf nis2-umsetzung.com

• 👉 10.1 Sicherheit des Personals
• 👉 10.2 Zuverlässigkeitsüberprüfung
• 👉 10.3 Beendigung/Änderung Beschäftigungsverhältnis
• 👉 10.4 Disziplinarverfahren
• 👉 NIS2-Anforderungen – Gesamtüberblick
• 👉 Mapping §30 BSIG ↔ NIS2UmsVO

9. Abschlussfrage

Könnten Sie heute in einem Audit auf Anhieb zeigen, wie Sicherheitsverantwortlichkeiten, Zuverlässigkeitsprüfungen, On-/Offboarding und Disziplinarverfahren in Ihrem Unternehmen zusammenhängen – oder müssten HR, IT und Informationssicherheit das erst mühsam zusammensuchen?