7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

8.2. Sicherheitsschulungen

8.2.1. Die betreffenden Einrichtungen ermittelt Mitarbeitende, deren Rollen sicherheitsrelevante Fähigkeiten und Fachkenntnisse erfordern, und stellt sicher, dass sie in Bezug auf die Sicherheit von Netz- und Informationssystemen regelmäßig geschult werden.


8.2.2. Die betreffenden Einrichtungen führen ein Schulungsprogramm im Einklang mit dem Konzept für die Sicherheit von Netz- und Informationssystemen, den themenspezifischen Konzepten und anderen einschlägigen Verfahren für die Sicherheit von Netz- und Informationssystemen ein, in dem der Schulungsbedarf für bestimmte Rollen und Positionen auf der Grundlage von Kriterien festgelegt wird, setzen es um und wenden es an.


8.2.3. Die Schulung gemäß Nummer 8.2.1 muss für die Funktion des Mitarbeitenden relevant sein, und ihre Wirksamkeit ist zu bewerten.

Die Schulung muss den bestehenden Sicherheitsmaßnahmen Rechnung tragen und Folgendes umfassen:

a) Anweisungen für die sichere Konfiguration und den sicheren Betrieb der Netz- und Informationssysteme, einschließlich mobiler Geräte;

b) Unterrichtung über bekannte Cyberbedrohungen;

c) Schulung in Bezug auf das Verhalten bei sicherheitsrelevanten Ereignissen.


8.2.4. Die betreffenden Einrichtungen führen Schulungen für Mitglieder des Personals durch, die in neue Positionen oder Rollen wechseln, die sicherheitsrelevante Fähigkeiten und Fachkenntnisse erfordern.


8.2.5. Das Programm wird regelmäßig aktualisiert und durchgeführt, wobei geltende Konzepte und Vorschriften, zugewiesene Rollen und Verantwortlichkeiten sowie bekannte Cyberbedrohungen und technische Entwicklungen berücksichtigt werden.


Redaktionelle Anmerkungen:

  • Entwicklung eines Plans für Training und Awareness, ein Beispiel-Dokument erhalten Sie in unserem NIS2-Coaching 
  • Nicht alle Mitarbeiter müssen geschult werden, nur die, die es betrifft, da dürften i.d.R. mindestens alle Mitarbeiter mit Zugang zu PC sein.
  • Die Schulungsbedarfe je Rolle müssen definiert werden, dazu zählt auch spezifische Schulungen zu internen, sicherheitsrelevanten Vorgehen und Regeln.

 

Stand: 17.10.2024

Sicherheitsschulungen sind essenziell, um Mitarbeitende auf ihre sicherheitsrelevanten Aufgaben vorzubereiten. Mit einem strukturierten Schulungsprogramm, regelmäßigen Updates und praktischen Inhalten erfüllen Organisationen die NIS2-Anforderungen und verbessern ihre Cybersicherheitskompetenz nachhaltig.

Vereinfachte Erklärung der Anforderungen aus 8.2: Sicherheitsschulungen

8.2.1 Ermittlung und Schulung sicherheitsrelevanter Rollen

Organisationen müssen Mitarbeitende identifizieren, deren Aufgaben sicherheitsrelevante Kenntnisse erfordern, und sicherstellen, dass diese regelmäßig geschult werden.


8.2.2 Schulungsprogramm

Ein Schulungsprogramm wird entwickelt, umgesetzt und regelmäßig durchgeführt. Dieses Programm:

  • Einklang mit Sicherheitskonzepten: Orientiert sich am Konzept für Netz- und Informationssicherheit sowie an themenspezifischen Verfahren.
  • Rollenbezogen: Berücksichtigt den Schulungsbedarf für spezifische Positionen basierend auf definierten Kriterien.

8.2.3 Inhalte der Schulung

Die Schulung muss:

  • Relevanz: Für die jeweilige Funktion der Mitarbeitenden relevant sein.
  • Bewertung: Auf ihre Wirksamkeit überprüft werden.
  • Inhalte abdecken:
    a) Sichere Konfiguration und Betrieb: Anleitungen zur sicheren Nutzung und Konfiguration von Netz- und Informationssystemen, inkl. mobiler Geräte.
    b) Cyberbedrohungen: Information über bekannte Bedrohungen.
    c) Verhalten bei Vorfällen: Schulung im Umgang mit sicherheitsrelevanten Ereignissen.

8.2.4 Schulungen bei Rollenwechsel

Mitarbeitende, die in neue Positionen mit sicherheitsrelevanten Anforderungen wechseln, müssen gezielt für ihre neuen Aufgaben geschult werden.


8.2.5 Regelmäßige Aktualisierung

Das Schulungsprogramm wird regelmäßig aktualisiert, um:

  • Geltende Konzepte und Vorschriften.
  • Geänderte Rollen und Verantwortlichkeiten.
  • Neue Cyberbedrohungen und technische Entwicklungen zu berücksichtigen.

Auditfragenkatalog: Sicherheitsschulungen

1. Identifizierung des Schulungsbedarfs

  • Wie identifizieren die betreffenden Einrichtungen Mitarbeitende, deren Rollen sicherheitsrelevante Fähigkeiten und Fachkenntnisse erfordern? (Bezug zu 8.2.1)
  • Welche Kriterien werden verwendet, um den Schulungsbedarf für bestimmte Rollen und Positionen festzulegen? (Bezug zu 8.2.2)

2. Planung und Durchführung des Schulungsprogramms

  • Existiert ein Schulungsprogramm im Einklang mit dem Konzept für die Sicherheit von Netz- und Informationssystemen sowie den themenspezifischen Konzepten? (Bezug zu 8.2.2)
  • Wie wird sichergestellt, dass das Schulungsprogramm umgesetzt und angewendet wird? (Bezug zu 8.2.2)
  • Werden Schulungen regelmäßig und in einem definierten Intervall durchgeführt? (Bezug zu 8.2.1 und 8.2.5)

3. Inhalte der Schulungen

  • Sind die Inhalte der Schulungen auf die spezifischen Funktionen und Verantwortlichkeiten der Mitarbeitenden abgestimmt? (Bezug zu 8.2.3)
  • Beinhalten die Schulungen Anweisungen für die sichere Konfiguration und den Betrieb der Netz- und Informationssysteme, einschließlich mobiler Geräte? (Bezug zu 8.2.3a)
  • Werden bekannte Cyberbedrohungen in den Schulungen behandelt? (Bezug zu 8.2.3b)
  • Wird das Verhalten bei sicherheitsrelevanten Ereignissen in den Schulungen thematisiert? (Bezug zu 8.2.3c)

4. Schulungen für neue Positionen oder Rollen

  • Werden Mitarbeitende, die in neue Positionen oder Rollen wechseln, die sicherheitsrelevante Fähigkeiten erfordern, speziell geschult? (Bezug zu 8.2.4)
  • Wie wird sichergestellt, dass diese Schulungen vor oder unmittelbar nach der Übernahme der neuen Rolle stattfinden? (Bezug zu 8.2.4)

5. Überprüfung und Aktualisierung des Programms

  • Wird die Wirksamkeit der Schulungen regelmäßig bewertet? (Bezug zu 8.2.3)
  • Wie oft wird das Schulungsprogramm überprüft und aktualisiert, um technische Entwicklungen und bekannte Cyberbedrohungen zu berücksichtigen? (Bezug zu 8.2.5)
  • Werden geltende Konzepte, Vorschriften und zugewiesene Rollen und Verantwortlichkeiten bei der Aktualisierung des Programms berücksichtigt? (Bezug zu 8.2.5)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!