NIS2 in der Praxis – Teil 8: Cyberhygiene & Schulungen – Der Mensch als letzte Firewall

• Was versteht NIS2 unter Cyberhygiene?
• Welche Schulungen sind für wen Pflicht?
• Wie sieht ein NIS2-konformes Awareness-Programm aus?
• Und wie können Sie das Ganze auditfest dokumentieren?

1. Warum Cyberhygiene unter NIS2 so wichtig ist

NIS2 dreht an zwei zentralen Schrauben:

• Verantwortung der Geschäftsleitung – Informationssicherheit ist Chefsache.
• Risikobasierter Ansatz – technische, organisatorische und verhaltensbezogene Maßnahmen müssen zusammenpassen.

Fast alle erfolgreichen Angriffe nutzen menschliche Schwachstellen:

• Phishing-E-Mails und gefälschte Login-Seiten
• Social Engineering am Telefon oder über Messenger
• ungesicherte Geräte, USB-Sticks, private Cloud-Dienste
• „Nur schnell“ ein Dokument per WhatsApp oder privatem Mail-Account

Genau hier setzt der Begriff Cyberhygiene an:
Es geht um tägliche Routinen und Verhaltensmuster, die Fehler verhindern –
vergleichbar mit Hygieneregeln im Gesundheitswesen.

NIS2 verlangt nicht „irgendwelche Schulungen“, sondern
risikoorientierte, regelmäßige und nachweisbare Maßnahmen.

2. Was bedeutet Cyberhygiene konkret im Unternehmensalltag?

Cyberhygiene ist mehr als „keine Post-its mit Passwörtern am Monitor“.

Technische Basis & Verhalten

• Verschlüsselte, aktualisierte Geräte mit Bildschirmsperre
• Starke Passwörter und Mehr-Faktor-Authentifizierung (MFA)
• Keine ungeprüfte Nutzung privater Cloud-Dienste („Shadow IT“)
• Regelungen für externe Speichermedien
• Sicheres Arbeiten im Homeoffice und in öffentlichen WLANs

Sicheres Arbeiten mit E-Mails & Web

• Erkennen typischer Phishing-Merkmale
• Keine Eingabe von Zugangsdaten nach ungeprüften Klicks
• Sensibler Umgang mit Anhängen (Office, ZIP, Links)

Meldekultur & Reaktionsfähigkeit

• Klare Meldewege bei Verdachtsfällen
• Besser einmal zu viel melden als einmal zu wenig
• Fehlerkultur statt Schuldzuweisungen

Diese Punkte sind konkrete NIS2-Maßnahmen, wenn sie:

• in Richtlinien geregelt,
• in Schulungen vermittelt und
• im Alltag gelebt werden.

3. Schulungspflichten: Nicht nur Mitarbeitende, auch die Geschäftsleitung

NIS2 unterscheidet nicht strikt zwischen IT und „Rest“ – im Gegenteil:

• Mitarbeitende müssen sicher arbeiten und Vorfälle melden können.
• Admins brauchen vertiefte technische Inhalte.
• Geschäftsleitungen müssen Pflichten, Haftung und Steuerung verstehen.

Ein einziges Standard-E-Learning reicht daher nicht aus.
Gefordert sind rollenbasierte Schulungskonzepte.

4. So bauen Sie ein NIS2-konformes Awareness-Programm auf

Ein Awareness-Programm folgt demselben Prinzip wie ein ISMS:

• Ziele definieren
• Zielgruppen festlegen
• Inhalte & Formate planen
• Durchführung & Dokumentation
• Wirksamkeit prüfen

4.1 Zielgruppen & Ziele

• Alle Mitarbeitenden
• Führungskräfte
• IT-/OT-Teams
• Geschäftsleitung

4.2 Inhalte aus der Risikobewertung ableiten

Awareness muss risikobasiert sein – orientiert an Ihrer NIS2-Risikobewertung,
typischen Bedrohungen und bestehenden Maßnahmen.

4.3 Formate & Frequenz

• E-Learning für Grundlagen
• Webinare & Workshops für Schlüsselrollen
• Micro-Learnings
• Phishing-Simulationen

4.4 Dokumentation & Nachweise

• Schulungskonzepte & -pläne
• Teilnehmerlisten & Zertifikate
• Testergebnisse & Auswertungen

4.5 Wirksamkeit messen

• Schulungsquote pro Zielgruppe
• Bestehensquoten
• Phishing-Klick- vs. Melderaten

5. Unsere NIS2-Schulungsbausteine

5.1 Cybersicherheitsschulung nach NIS2

Cybersicherheitsschulung nach NIS2

5.2 NIS2-Schulung für Geschäftsführer:innen

NIS2-Schulung für Geschäftsführer:innen

6. Häufige Fehler – und wie Sie sie vermeiden

• One-Size-Fits-All-Schulungen
• Einmal im Jahr und abgehakt
• Kein Bezug zu internen Prozessen
• Keine Nachweise
• Geschäftsleitung außen vor

7. Fazit & nächste Schritte

Cyberhygiene & Schulungen sind unter NIS2 kein „Soft-Thema“.
Sie sind Pflicht, Resilienzfaktor und zentraler Nachweisbaustein.

Frage an Sie:

Können Sie heute gegenüber Prüfern belegen, dass Cyberhygiene und Schulungen
NIS2-konform geplant, umgesetzt und geprüft werden?