Vorsprung durch Wissen und Erfahrung
NIS2 / BSIG § 30

NIS2-Schulungen für Mitarbeitende

Einmal im Jahr ein generischer Online-Kurs reicht unter NIS2 nicht aus. Wir erklären, welche Schulungspflichten tatsächlich bestehen und wie ein wirksames Programm aussieht.

Beratung anfragen NIS2-Übersicht
Technische & rechtliche Expertise Erfahrung aus zahlreichen NIS2-Projekten Standort Sindelfingen
Rechtliche Grundlage

Was NIS2 für Mitarbeitende wirklich vorschreibt

Die explizite Schulungspflicht nach § 38 BSIG gilt für die Geschäftsleitung. Für Mitarbeitende gibt es keine vergleichbar direkte Einzelpflicht — aber § 30 BSIG verpflichtet Einrichtungen zu umfassenden Risikomanagementmaßnahmen, die ohne geschulte Mitarbeitende schlicht nicht umsetzbar sind.

Praxisregel: Ohne regelmäßige, zielgruppengerechte Schulungen ist ein NIS2-konformes Risikomanagement nicht nachweisbar. Das BSI erwartet dokumentierte Schulungsmaßnahmen für alle Beschäftigten, die sicherheitsrelevante Aufgaben ausüben.

Schulungsinhalte

Was ein NIS2-konformes Schulungsprogramm abdeckt

Ein wirksames Security-Awareness-Programm ist nicht einmalig und nicht generisch. Es ist auf Zielgruppen zugeschnitten, regelmäßig wiederholt und durch Tests auf Wirksamkeit geprüft.

Alle Mitarbeitenden

  • Phishing- und Social-Engineering-Erkennung
  • Sichere Passwortverwaltung & MFA
  • Meldewege bei Sicherheitsvorfällen
  • Umgang mit unbekannten Dateien & Links
  • Mobile Device- und Homeoffice-Sicherheit

IT-Personal & Administratoren

  • Patch-Management und Schwachstellenmanagement
  • Netzwerksegmentierung und Zugriffskontrollen
  • Incident-Response-Abläufe
  • Log-Management und Monitoring
  • Backup und Wiederherstellung

Führungskräfte unterhalb GL

  • Risikobewertung und Berichtspflichten
  • Eskalationsprozesse bei Vorfällen
  • Lieferantenbewertung und Vertragsprüfung
  • Business Continuity und Krisenmanagement
Mehr als Wissensvermittlung

Wie Schulungen wirklich wirksam werden

Reichen Online-Kurse für NIS2-Compliance aus?
Als alleinige Maßnahme nein. Online-Kurse können Wissensvermittlung skalieren, ersetzen aber keine zielgruppenspezifischen Präsenz- oder Live-Formate, keine simulierten Phishing-Tests und keine rollenscharfen Übungen. Das BSI erwartet ein Programm, nicht eine Einzelmaßnahme.
Wie oft müssen Mitarbeitende geschult werden?
Mindestens jährlich, bei erhöhter Bedrohungslage häufiger. Phishing-Simulationen sollten quartalsweise stattfinden. Neue Mitarbeitende müssen vor Aufnahme sicherheitsrelevanter Tätigkeiten geschult sein.
Was muss dokumentiert werden?
Für jede Schulungsmaßnahme: Datum, Thema, Teilnehmerliste, Format und — bei Tests — Ergebnisse. Diese Nachweise sind bei einer BSI-Prüfung oder im Schadensfall vorzulegen. Fehlende Dokumentation kann als Compliancelücke gewertet werden.
Verwandte Themen

Weiterführende NIS2-Themen

Geschäftsleitung
GL-Schulung § 38 BSIG

Spezifische Schulungspflichten für Geschäftsführung und Vorstand

Incident
Incident Response

Schulungen als Teil des Vorfallmanagements

ISMS
ISMS aufbauen

Schulungsprogramme ins ISMS integrieren

Dokumentation
Richtlinien & Dokumentation

Schulungsnachweise als Compliance-Dokument

Security-Awareness-Programm aufbauen

Wir entwickeln zielgruppengerechte Schulungsprogramme, die NIS2-Anforderungen erfüllen und in Ihrer Belegschaft tatsächlich wirken.

Schulungsprogramm anfragen
Tilsiter Str. 6 · D-71065 Sindelfingen · +49 (0) 7031.4181-860 · contact@consuvation.com