NIS2 Art. 21(2)(g) verpflichtet betroffene Unternehmen zu grundlegenden Cyberhygiene-Praktiken und regelmäßigen Cybersicherheitsschulungen für alle Mitarbeiter — einschließlich der Geschäftsleitung. Maßnahme 7 von 10 im Maßnahmenkatalog des Art. 21 Abs. 2 ist damit kein Nebenthema, sondern ein eigener Compliance-Baustein: In der Praxis wird mindestens eine jährliche Pflichtschulung erwartet, Phishing bleibt der häufigste Einstiegspfad vieler Angriffe, und bei schweren Verstößen gegen NIS2 drohen Unternehmen je nach Einordnung Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
Letzte Aktualisierung: 24. März 2026
Die kurze Antwort lautet: NIS2 verlangt kein einmaliges Awareness-Webinar, sondern ein fortlaufendes Security-Awareness-Programm mit dokumentierter Teilnahme, rollenspezifischen Inhalten und nachweisbarer Wiederholung. Wenn Sie die Governance-Pflichten für die Leitungsebene zuerst einordnen möchten, lesen Sie ergänzend Geschäftsführer-Haftung bei Cyberangriffen, den Vergleich DORA vs. NIS2 und unser Glossar zum Schulungsnachweis.
Was Art. 21 Abs. 2 Buchst. g NIS2 konkret verlangt
Art. 21 Abs. 2 Buchst. g der Richtlinie (EU) 2022/2555 nennt ausdrücklich zwei Elemente: grundlegende Cyberhygiene-Praktiken und Cybersicherheitsschulungen. Die Vorschrift ist deshalb breiter als eine klassische Mitarbeiterschulung. Sie verlangt erstens ein Mindestniveau an sicherem Verhalten im Alltag und zweitens ein System, mit dem dieses Verhalten regelmäßig vermittelt, überprüft und aktualisiert wird.
Für betroffene Einrichtungen bedeutet das operativ: Passworthygiene, Multi-Faktor-Authentifizierung, sichere Nutzung von Endgeräten, Meldewege für Sicherheitsvorfälle, vorsichtiger Umgang mit E-Mails und Anhängen, Berechtigungsdisziplin und die sichere Arbeit im Homeoffice dürfen nicht bloß in einer IT-Richtlinie stehen. Diese Regeln müssen im Unternehmen tatsächlich verstanden und gelebt werden. Genau hier setzt die NIS2 Cyberhygiene Schulung an.
Wichtig ist außerdem die Verbindung zu Art. 20 NIS2. Dort werden Leitungsorgane verpflichtet, Cyber-Risikomaßnahmen zu billigen, deren Umsetzung zu überwachen, selbst Schulungen zu absolvieren und Schulungen innerhalb der Organisation zu fördern. Cyberhygiene nach Art. 21 und Management-Verantwortung nach Art. 20 gehören daher zusammen. Wer Maßnahme 7 nur an HR oder IT delegiert, ohne Governance, Monitoring und Reporting einzubauen, setzt die Norm unvollständig um.
Für Deutschland ist die Formulierung auch im nationalen Umsetzungsrahmen relevant. Im deutschen NIS2-Umsetzungsdiskurs wird die Maßnahme regelmäßig dem Bereich „grundlegende Cyberhygiene und Schulungen“ zugeordnet; in Entwurfsfassungen taucht sie entsprechend bei § 30 Abs. 2 Nr. 7 BSIG-E auf. Für Unternehmen ist die zentrale Botschaft aber unabhängig vom letzten Gesetzesstand dieselbe: Security Awareness wird prüfungsrelevanter Pflichtbestandteil der Sicherheitsorganisation.
Wer nach NIS2 geschult werden muss
NIS2 verlangt Schulung nicht nur für IT oder Informationssicherheit, sondern für alle Personen, deren Verhalten die Cybersicherheitslage der Einrichtung beeinflusst. Dazu gehören Fachbereiche, Einkauf, HR, Vertrieb, Operations, Kundenservice, IT, OT-nahe Funktionen, Management und Geschäftsleitung. Sobald Menschen E-Mails öffnen, Systeme nutzen, Lieferanten beauftragen, Berechtigungen anfordern oder Vorfälle melden müssen, sind sie Teil des Risikobilds.
Die Geschäftsleitung ist ausdrücklich eingeschlossen. Art. 20 Abs. 2 NIS2 verlangt, dass Mitglieder der Leitungsorgane Schulungen absolvieren und die Schulung der Mitarbeitenden fördern. Für Geschäftsführer, Vorstände und Bereichsleitungen reicht deshalb keine abstrakte Kenntnis der Richtlinie. Sie müssen verstehen, welche Maßnahmen überwacht werden, wie Eskalations- und Meldeketten funktionieren, welche Risiken Lieferanten mitbringen und warum Schulungsnachweise auch ein Haftungsthema sind. Genau diesen Zusammenhang erläutert auch unser Beitrag zur Geschäftsführer-Haftung bei Cyberangriffen.
In der Praxis empfiehlt sich eine Rollenmatrix mit drei Ebenen. Erstens braucht die gesamte Belegschaft eine Basisschulung. Zweitens brauchen Schlüsselrollen vertiefte Inhalte, etwa IT-Administratoren, Helpdesk, Einkauf, Datenschutz, Compliance, Krisenstab oder Produktionsverantwortliche. Drittens braucht die Leitungsebene eine eigene Governance-Schulung. Ein Einheitskurs für alle ist deshalb meist zu grob, obwohl eine gemeinsame Basis sinnvoll bleibt.
Externe Personen sollten Sie nicht ausblenden. Wenn Dienstleister, Zeitarbeitskräfte oder Berater Zugriff auf Systeme, Daten oder kritische Prozesse haben, sollten Verträge und Onboarding-Prozesse ebenfalls Mindestanforderungen an Awareness, Meldewege und Nachweise vorsehen. NIS2 spricht auf Unternehmensebene, aber reale Sicherheitslücken entstehen häufig an den Schnittstellen zur Lieferkette.
Was unter grundlegender Cyberhygiene zu verstehen ist
Grundlegende Cyberhygiene bedeutet die regelmäßige Einhaltung einfacher, aber sicherheitskritischer Verhaltens- und Basiskontrollen. Gemeint sind keine hochspezialisierten Pentesting-Fähigkeiten, sondern verlässliche Routinen im Arbeitsalltag. ENISA versteht darunter unter anderem sichere Passwörter, MFA, Updates, Zugriffskontrolle, sichere Datenspeicherung, Backups, E-Mail-Sicherheit und die Fähigkeit, Vorfälle früh zu erkennen und intern zu melden.
Für Mitarbeitende beginnt Cyberhygiene meist mit fünf Kernfragen. Erkenne ich Phishing? Nutze ich starke und einzigartige Passwörter oder Passwortmanager? Melde ich Auffälligkeiten sofort? Arbeite ich mit sensiblen Daten und Geräten nach klaren Regeln? Und kenne ich die Grenze meiner Rechte, also wann ich nicht klicken, freigeben oder weiterleiten darf? Wenn diese Basis nicht sitzt, nützen viele technische Investitionen nur eingeschränkt.
Für Organisationen reicht die Basisschulung allein nicht. Cyberhygiene ist nur dann belastbar, wenn technische und organisatorische Maßnahmen dieselbe Sprache sprechen. Wenn die Richtlinie MFA verlangt, aber das Training MFA nie erklärt, fehlt die Nutzerperspektive. Wenn Incident Reporting in Policies geregelt ist, Beschäftigte aber nicht wissen, wen sie nachts oder am Wochenende informieren müssen, scheitert die Maßnahme im Ernstfall an der Umsetzung.
Die operative Konsequenz lautet daher: NIS2 Cyberhygiene ist kein Soft Skill, sondern Teil des internen Kontrollsystems. Sie verbindet Policies, technische Mindeststandards, Kommunikationswege und Verhaltensregeln zu einem wiederholbaren Minimum. Das gilt besonders dort, wo Phishing, Kontoübernahmen, CEO-Fraud oder fehlerhafte Freigaben reale Geschäftsprozesse treffen.
NIS2 Schulungsinhalte: Pflichtthemen mit Frequenz und Nachweismethode
Die folgende Tabelle zeigt, welche Inhalte typischerweise in eine NIS2 Mitarbeiterschulung gehören, wie oft sie in der Praxis behandelt werden sollten und welche Nachweise im Audit sinnvoll sind.
| Schulungsinhalt | Zielgruppe | Empfohlene Frequenz | Geeigneter Nachweis |
|---|---|---|---|
| Phishing, Social Engineering und Meldewege | Alle Mitarbeitenden | Mindestens jährlich plus Simulationen quartalsweise oder monatlich | LMS-Abschluss, Klickrate, Meldequote, Kampagnenreport |
| Passworthygiene, MFA und Zugangsschutz | Alle Mitarbeitenden | Mindestens jährlich, zusätzlich bei Tool- oder Policy-Änderungen | Teilnahme, Quiz, Policy-Bestätigung |
| Sichere E-Mail-, Web- und Datei-Nutzung | Alle Mitarbeitenden | Mindestens jährlich plus kurze Reminder | Teilnahme, Wissenstest, Awareness-Kommunikation |
| Geräte-, Remote-Work- und USB-Sicherheit | Alle Mitarbeitenden | Jährlich plus Onboarding | Teilnehmerliste, Test, Onboarding-Check |
| Incident Reporting und Eskalationswege | Alle Mitarbeitenden und Schlüsselrollen | Jährlich plus anlassbezogen nach Vorfällen | Teilnahme, Übungsnachweis, Eskalationsprotokoll |
| Berechtigungen, Least Privilege und Freigaben | Führungskräfte, IT, Fachverantwortliche | Jährlich plus bei Rollenwechseln | Teilnahme, Rollenmatrix, Freigabeprozess |
| Lieferketten- und Drittparteirisiken | Einkauf, IT, Compliance, Management | Mindestens jährlich | Agenda, Teilnehmerliste, Risiko-Workshop |
| Governance, Aufsicht und persönliche Verantwortung | Geschäftsleitung, Bereichsleitung | Mindestens jährlich | Teilnahme, Agenda, Protokollbezug |
Die Tabelle macht einen wichtigen Punkt sichtbar: Nicht jedes Thema braucht dieselbe Tiefe, aber jedes Thema braucht einen definierten Nachweis. Gerade bei Maßnahme 7 scheitern Unternehmen häufig daran, dass sie zwar einen Kurs einkaufen, aber weder Zielgruppen noch Intervall noch Dokumentationslogik eindeutig festlegen.
Sinnvoll ist deshalb eine zweistufige Struktur. Die Basisschulung deckt Phishing, Meldewege, Passworthygiene, Geräte- und Datensicherheit ab. Rollenspezifische Vertiefungen behandeln danach Themen wie Lieferkette, Privileged Access, Freigabeprozesse, Incident Management, Business Continuity oder Management-Verantwortung. So entsteht ein Programm, das sowohl skalierbar als auch auditierbar ist.
Wie oft eine NIS2 Schulung stattfinden sollte
Die Richtlinie nennt kein fixes Jahresintervall, spricht aber von Maßnahmen, die wirksam, angemessen und fortlaufend umgesetzt werden müssen. Für die Praxis folgt daraus: Ein einmaliger Pflichttermin alle zwei oder drei Jahre reicht typischerweise nicht. Unternehmen sollten mindestens jährlich eine umfassende Basisschulung durchführen und dazwischen kurze Awareness-Impulse einplanen.
Das sinnvolle Mindestmodell besteht aus vier Bausteinen. Erstens ein verpflichtendes Onboarding für neue Mitarbeitende. Zweitens eine jährliche Grundschulung für alle. Drittens wiederkehrende Micro-Learnings oder Awareness-Kampagnen im Jahresverlauf. Viertens anlassbezogene Nachschulungen bei Vorfällen, neuen Bedrohungen, Rollenwechseln oder wesentlichen Systemänderungen. Dieses Modell ist deutlich belastbarer als ein einmaliger Jahreskurs ohne Follow-up.
Für Schlüsselrollen kann das Intervall enger sein. Helpdesk, Administratoren, Einkauf, Finanzfreigaben oder Krisenstab sollten häufiger mit konkreten Fällen arbeiten, weil dort Fehlentscheidungen besonders teuer werden. Für die Geschäftsleitung ist mindestens eine jährliche Schulung mit Governance-Bezug sinnvoll, ergänzt um kurze Briefings, wenn sich Meldewege, Lieferkettenrisiken oder die nationale Umsetzung substanziell ändern.
Die Formel lautet also nicht „jährlich oder nicht“, sondern „jährlich plus fortlaufend“. Genau das unterscheidet eine NIS2 Security Awareness von einer reinen Wissensvermittlung. Relevanz, Aktualität und Wiederholung zählen zusammen.
Phishing-Simulationen und Security Awareness Programme
Phishing-Simulationen sind unter NIS2 kein Selbstzweck, aber ein besonders starker Wirksamkeitsnachweis. Während eine Präsentation nur zeigt, dass Inhalte angeboten wurden, zeigen Simulationen und Folgeauswertungen, ob Verhalten sich tatsächlich verbessert. Für viele Auditoren und interne Prüfer ist das der Unterschied zwischen formaler Schulung und gelebter Awareness.
Ein gutes Security-Awareness-Programm kombiniert deshalb mehrere Formate. E-Learning oder Präsenz vermittelt das Grundwissen. Phishing-Simulationen testen Verhalten unter realitätsnahen Bedingungen. Kurze Reminder, Newsletter oder Intranet-Hinweise halten Themen präsent. Nach Vorfällen oder Beinahe-Vorfällen werden Inhalte gezielt nachgeschärft. Genau diese Mischung macht aus Maßnahme 7 ein laufendes Programm statt eines Kalendereintrags.
Wichtig ist die richtige Taktung. Zu viele Simulationen ohne Lernbezug wirken wie Misstrauensmanagement. Zu wenige Simulationen machen Verhalten nicht messbar. In der Praxis sind quartalsweise Kampagnen ein realistischer Mindeststandard; in höheren Risikoumgebungen oder bei auffälligen Quoten kann monatlich sinnvoll sein. Entscheidend ist, dass Kampagnen ausgewertet und in konkrete Verbesserungen übersetzt werden.
Die Kennzahlen sollten nicht nur Klicks messen. Aussagekräftig sind auch Meldequoten, Wiederholungserfolge, die Geschwindigkeit bis zur Meldung und Unterschiede zwischen Rollen oder Standorten. Wer nur auf „wer hat geklickt?“ schaut, verpasst den eigentlichen Mehrwert: Awareness soll das Sicherheitsverhalten der Organisation systematisch verbessern.
So sieht ein belastbarer Schulungsnachweis aus
NIS2 verlangt keine bestimmte Dateiform, aber die Aufsicht erwartet nachvollziehbare Dokumentation. Ein belastbarer Schulungsnachweis sollte deshalb mindestens Zielgruppe, Datum, Dauer, Inhalte, Version, Lernziele, Teilnahme, Abschlussstatus und verantwortliche Stelle enthalten. Bei Online-Trainings kommen Exportdaten aus dem LMS, Testergebnisse und Zeitstempel hinzu.
Besonders prüfungsfest wird die Dokumentation, wenn Sie nicht nur Teilnahme, sondern auch Wirksamkeit nachweisen. Dazu gehören Quiz-Ergebnisse, Simulationsergebnisse, Follow-up-Maßnahmen nach Fehlverhalten, Re-Trainings, Versionierung der Inhalte und eine klare Zuordnung zu Rollen. Unser Glossarbeitrag zum Schulungsnachweis erklärt die Grundlogik solcher Nachweise anhand eines strukturierten Dokumentationsmodells.
Für die Geschäftsleitung sollte die Dokumentation etwas tiefer gehen. Dort sind Agenda, Teilnehmerkreis, Termin, thematische Schwerpunkte, gegebenenfalls Beschlussbezug und zugewiesene Maßnahmen besonders wichtig. Der Nachweis soll erkennbar machen, dass Management-Schulung nicht nur „zur Kenntnis genommen“, sondern in Governance und Aufsicht übersetzt wurde.
Praktisch bewährt sich eine feste Ablagestruktur:
| Nachweispunkt | Was dokumentiert werden sollte | Typische Form |
|---|---|---|
| Teilnehmerdaten | Name, Rolle, Bereich, Datum, Status | LMS-Export, Teilnehmerliste |
| Inhalt | Agenda, Module, Version, Lernziele | Kursbeschreibung, PDF, LMS |
| Lernerfolg | Test, Quiz, Simulationsergebnis | Score, Report, Kampagnenauswertung |
| Wiederholung | jährliche Pflicht, Onboarding, Anlassschulung | Schulungsplan, Reminder-Log |
| Management-Bezug | Leitungsorgan, Governance-Inhalte, Maßnahmen | Agenda, Protokoll, Freigabevermerk |
Wer diese Struktur konsequent pflegt, ist nicht nur besser auf Audits vorbereitet, sondern kann auch gegenüber Kunden, Versicherern und internen Revisoren viel schneller belegen, dass Maßnahme 7 organisatorisch umgesetzt wird.
Typische Fehler bei NIS2 Cyberhygiene und Mitarbeiterschulungen
Der häufigste Fehler ist die Verwechslung von Schulung und Programm. Ein einmaliges Webinar mit Anwesenheitsliste erfüllt noch kein Security-Awareness-System. Ohne Wiederholung, Rollenlogik, Simulationen und Nachweisführung bleibt die Maßnahme zu dünn.
Der zweite Fehler ist die Ausklammerung der Geschäftsleitung. Gerade weil Art. 20 NIS2 Management-Schulungen ausdrücklich verlangt, wirkt ein Programm ohne Vorstand oder Geschäftsführung unvollständig. Für die Leitungsebene müssen Governance, Aufsicht, persönliche Verantwortung und Eskalationsentscheidungen erkennbar adressiert werden.
Der dritte Fehler ist fehlende Verknüpfung mit den übrigen NIS2-Maßnahmen. Cyberhygiene darf nicht isoliert neben Incident Response, Zugriffskontrolle oder Lieferkettenmanagement stehen. Beschäftigte müssen wissen, wie ihre Schulung mit konkreten Policies, technischen Kontrollen und Meldepflichten zusammenhängt. Wenn Sie Regimeüberschneidungen prüfen, hilft an dieser Stelle auch unser Überblick DORA vs. NIS2.
Der vierte Fehler ist eine schwache Dokumentation. Ein Screenshot aus dem Lernportal ohne Rollenbezug, Inhalte und Wiederholungslogik hilft im Prüfungsfall nur begrenzt. Schulungsdaten müssen so gepflegt sein, dass Sie auf Knopfdruck zeigen können, wer wann was mit welchem Ergebnis absolviert hat.
Der fünfte Fehler ist ein zu generischer Inhalt. Mitarbeitende brauchen keine abstrakte Vorlesung über EU-Cyberrecht, sondern klare Antworten auf ihren Alltag: Woran erkenne ich Phishing? Wie melde ich einen Vorfall? Was darf ich freigeben? Wann eskaliere ich? Und welche Regeln gelten im Homeoffice oder bei mobilen Geräten?
Was jetzt der sinnvolle nächste Schritt ist
Für betroffene Unternehmen lautet die Management-Frage nicht mehr, ob NIS2 Cyberhygiene Schulungen nötig sind, sondern wie sie rollenbasiert, wiederholbar und nachweisbar ausgerollt werden. Der pragmatische Einstieg ist eine klare Rollenmatrix, ein Jahresplan mit Pflichtschulung plus Phishing-Simulationen und eine zentrale Nachweisablage für Mitarbeitende und Geschäftsleitung.
Wenn Sie Schulung nicht als isoliertes Einzelevent, sondern als Bestandteil Ihrer Compliance- und Sicherheitsorganisation aufbauen möchten, ist unser Compliance-Komplettpaket für den Mittelstand der passende nächste Schritt. Es bündelt AI Act, DSGVO sowie NIS2-/DORA-Grundlagen in einem dokumentierbaren Format für Fachbereiche, Führungskräfte und operative Schlüsselrollen.
Häufig gestellte Fragen zu NIS2 Cyberhygiene Schulungen
Reicht eine Online-Schulung für NIS2 aus?
Ja, ein Online-Format kann ausreichen, wenn Inhalte, Zielgruppen, Teilnahme und Wiederholung sauber dokumentiert werden. Entscheidend ist nicht Präsenzpflicht, sondern ob das Format wirksam, aktuell und nachweisbar ist. Für Hochrisiko-Rollen oder Krisenübungen kann ein ergänzender Live-Termin sinnvoll sein.
Müssen alle Mitarbeitenden dieselbe Schulung absolvieren?
Nein. Eine gemeinsame Basisschulung ist sinnvoll, aber NIS2 spricht faktisch für rollenspezifische Vertiefungen. Geschäftsleitung, IT, Einkauf, Helpdesk oder Krisenstab brauchen zusätzliche Inhalte, weil ihre Entscheidungen unterschiedliche Risiken auslösen.
Sind Phishing-Simulationen verpflichtend?
Die Richtlinie schreibt Simulationen nicht ausdrücklich als Einzelmaßnahme vor. In der Praxis sind sie aber einer der besten Wirksamkeitsnachweise für Security Awareness und deshalb sehr empfehlenswert. Wer auf Simulationen verzichtet, sollte andere belastbare Mechanismen zur Verhaltensmessung vorweisen können.
Welche Rolle spielt § 30 Abs. 2 Nr. 7 BSIG-E?
Die Formulierung steht für den deutschen Umsetzungsrahmen der NIS2-Maßnahme „grundlegende Cyberhygiene und Schulungen“. Entscheidend für Unternehmen ist weniger die Nummerierung im Entwurf als die materielle Pflicht: Schulungen und Awareness gehören zum Kern des Cyber-Risikomanagements und werden voraussichtlich national entsprechend gespiegelt.
Was sollte ich bei einem Audit sofort vorlegen können?
Sie sollten auf Anhieb Ihren Schulungsplan, die Rollenmatrix, Teilnehmerlisten, LMS-Reports, Inhalte und Versionen der Trainings, Testergebnisse, Phishing-Auswertungen und die Management-Nachweise vorlegen können. Genau diese Unterlagen zeigen, dass Maßnahme 7 nicht nur angekündigt, sondern tatsächlich umgesetzt wurde.