Security Awareness Training: Mitarbeiterpflicht unter NIS-2 und ISO 27001
NIS-2 und ISO/IEC 27001:2022 verlangen nachweisbare Sensibilisierungsmaßnahmen für alle Mitarbeitenden. Wer Schulung als Pflichtprogramm ohne Nachweis durchführt, riskiert Auditbefunde und Bußgelder.
§ 30 Abs. 1 Nr. 5 BSIG und ISO/IEC 27001:2022, Kontrolle 6.3, verlangen von Unternehmen, dass alle Mitarbeitenden regelmäßig in Informationssicherheit sensibilisiert werden. Diese Pflicht ist keine Empfehlung, sondern ein nachweisbarer Bestandteil des ISMS – und damit ein direkter Prüfpunkt bei Auditierungen, Behördenkontrollen und Versicherungsunternehmen.
Dieser Artikel erklärt, welche konkreten Anforderungen NIS-2 und ISO/IEC 27001:2022 an Security Awareness Trainings stellen, wie der Nachweis strukturiert sein muss und welche Unterschiede zwischen einer reinen E-Learning-Plattform und einer integrierten Compliance-Lösung im Prüfungsfall entscheidend sind.
Auf einen Blick
- ISO/IEC 27001:2022 Kontrolle 6.3 und § 30 BSIG verlangen dokumentierbare Sensibilisierungsmaßnahmen für alle Mitarbeitenden, nicht nur für IT-Personal.
- Der Nachweis muss Teilnahme, Testabschluss und Zertifikat per Person enthalten – ein Schulungsprotokoll ohne Einzelnachweis genügt im Audit nicht.
- Schulung ohne Workspace-Integration bedeutet getrennter Nachweis: Für auditfeste Dokumentation müssen Schulungsdaten und Compliance-Nachweis im selben System liegen.
Rechtsgrundlage: Was NIS-2 und ISO 27001 konkret verlangen
Die NIS-2-Richtlinie (EU 2022/2555), Art. 21 Abs. 2 lit. g, verpflichtet wesentliche und wichtige Einrichtungen zu Maßnahmen der Cyberhygiene und Schulungen im Bereich Cybersicherheit. Im deutschen BSIG konkretisiert § 30 Abs. 1 Nr. 5 diese Anforderung als Teil des Mindestmaßnahmenkatalogs. Die Geschäftsleitung trägt nach § 38 BSIG die persönliche Verantwortung für die Umsetzung.
ISO/IEC 27001:2022 adressiert das Thema in Kontrolle 6.3 (Bewusstsein) und Kontrolle 6.4 (Schulung). Beide verlangen, dass Personen, die für das ISMS relevante Tätigkeiten ausüben, ausreichend geschult und sensibilisiert sind. Ein Lead-Auditor prüft dabei die Dokumentation auf drei Ebenen: Gibt es ein Schulungsprogramm? Wurde es durchgeführt? Ist die Teilnahme personenbezogen nachgewiesen?
Ein fehlender oder unvollständiger Nachweis führt typischerweise zu einem Nonkonformität-Befund im Zertifizierungsaudit. Mehr zur Rolle des Informationssicherheitsbeauftragten, der das Schulungsprogramm verantwortet, unter ISB bei CIVAC.
Mindestinhalt eines konformen Security Awareness Trainings
Ein konformes Training muss nach ISO/IEC 27001:2022 und BSI-Grundschutz-Baustein ORP.3 (Sensibilisierung) mindestens folgende Themen abdecken: Phishing-Erkennung und Social Engineering, sichere Passwortverwaltung und Zugriffssteuerung, Umgang mit mobilen Geräten und Remote-Arbeit, Meldewege für Sicherheitsvorfälle, Datenklassifizierung und Umgang mit vertraulichen Informationen.
Jährliche Wiederholung ist Mindeststandard; bei erhöhtem Risikoprofil oder nach Sicherheitsvorfällen ist eine häufigere Schulung nachzuweisen. Für Mitarbeitende mit privilegierten Zugriffsrechten (Administratoren, Geschäftsführung, Finanzverantwortliche) gelten vertiefende Schulungsmodule als Best Practice nach ISO/IEC 27002:2022.
Das BSI empfiehlt zudem rollenspezifische Schulungen: Ein Buchhalter benötigt anderen Schwerpunkte als ein Systemadministrator. Generische Einheitsschulungen ohne Rollenabstimmung werden von erfahrenen Auditoren zunehmend als unzureichend bewertet.
Nachweisführung: Was im Prüfungsfall zählt
Entscheidend ist nicht, dass eine Schulung stattgefunden hat – entscheidend ist, dass nachgewiesen werden kann, wer wann an welcher Schulung teilgenommen und diese mit welchem Ergebnis abgeschlossen hat. Frist läuft ab Kenntnis: Ein Auditor oder eine Behörde, die nach einem Vorfall die Schulungsnachweise anfordert, erwartet sofortige Vorlage.
Ein konformer Nachweis enthält pro Mitarbeiterperson: Schulungsbezeichnung mit Versionsstand, Datum der Durchführung, Testergebnis oder Abschlussbestätigung, Name und Unterschrift oder digitale Zertifikatsdatei. Sammelprotokolle oder Excel-Listen ohne Einzelzertifikat sind in formalen Audits häufig Anlass für Nachforderungen.
Der CIVAC-Workspace bildet diesen Nachweis strukturell ab: Das Schulungsmodul erfasst Teilnahme, Test und Zertifikat pro Person, exportiert den Nachweis auf Knopfdruck und verknüpft ihn mit dem monatlichen Dokumentations-Workflow. Der Prüfer ruft an, der Nachweis liegt bereit.
Häufige Umsetzungsfehler und wie sie vermieden werden
Der häufigste Fehler ist die Trennung von Schulungssystem und Compliance-Dokumentation. Unternehmen nutzen eine externe E-Learning-Plattform, exportieren Zertifikate als PDF-Dateien und legen diese in einem Ordner ab – ohne strukturierte Verknüpfung mit dem ISMS-Nachweis. Im Prüfungsfall entstehen dann Lücken: Fehlende Personen, veraltete Zertifikate, kein Nachweis über Schulungsinhalt.
Ein zweiter häufiger Fehler: Das Training wird einmalig durchgeführt und danach nicht wiederholt. ISO/IEC 27001:2022 verlangt ein fortlaufendes Programm, keine einmalige Kampagne. Jährliche Wiederholungszyklen müssen im ISMS-Plan verankert sein.
Dritter Fehler: Schulung nur für IT-Mitarbeitende. Art. 21 NIS-2 und ISO/IEC 27001:2022 Kontrolle 6.3 gelten für alle Personen, die ISMS-relevante Tätigkeiten ausführen – also faktisch die gesamte Belegschaft. Ausnahmen sind zu begründen und zu dokumentieren.
Branchenspezifische Schulungspflichten neben NIS-2
Im Gesundheitswesen kommen neben NIS-2 die Anforderungen der KRINKO (Kommission für Krankenhaushygiene) und des § 36 IfSG hinzu. Schulungen zu Hygienestandards und Datenschutz nach Art. 29 DSGVO sind für Mitarbeitende mit Patientendatenzugriff verpflichtend. Mehr dazu unter Hygienebeauftragter bei CIVAC.
Im Finanzsektor verlangen DORA (EU 2022/2554) und die BaFin-Anforderungen an das IKT-Risikomanagement zusätzliche Schulungen zu operationeller Resilienz. Mitarbeitende mit Zugang zu kritischen Systemen müssen nachweislich über Vorfallmeldepflichten und Notfallpläne informiert sein.
Im Logistik- und Produktionsbereich, wo IT und OT (Operational Technology) konvergieren, sind Schulungen zu ICS/SCADA-Sicherheit und physischer Zutrittssteuerung NIS-2-relevant, sofern das Unternehmen als wesentliche oder wichtige Einrichtung eingestuft ist.
Schulungsfrequenz und Aktualisierungsintervalle
ISO/IEC 27001:2022 gibt keine feste Schulungsfrequenz vor – die Norm fordert jedoch, dass das Schulungsprogramm angemessen und aktuell ist. BSI-Grundschutz ORP.3.A1 empfiehlt jährliche Sensibilisierungsmaßnahmen als Mindeststandard. Bei erhöhtem Bedrohungsniveau oder nach Sicherheitsvorfällen sollte das Intervall verkürzt werden.
Schulungsinhalte müssen regelmäßig überprüft werden. Neue Angriffsvektoren (z. B. KI-gestützte Phishing-Kampagnen, QR-Code-Phishing) müssen innerhalb einer angemessenen Frist in das Programm integriert werden. Ein Schulungsplan, der seit drei Jahren unverändert ist, wird im Audit als Indikator für ein nicht gelebtes ISMS gewertet.
Im CIVAC-Workspace sind Schulungsmodule versioniert. Jede Aktualisierung eines Schulungsmoduls erzeugt automatisch eine neue Durchführungspflicht für alle betroffenen Mitarbeitenden. Der ISB sieht im Dashboard, wer noch nicht abgeschlossen hat – ohne manuelle Nachverfolgung in Excel-Listen.
Integration in das ISMS: Schulung als Compliance-Nachweis
Ein isoliertes E-Learning-System, das Zertifikate ausstellt, aber nicht in das ISMS integriert ist, erzeugt einen Dokumentationsbruch. Der ISO/IEC 27001:2022-Auditor prüft nicht nur, ob Schulungen stattgefunden haben, sondern ob die Schulungsdokumentation Bestandteil des ISMS-Nachweises ist und im Kontext mit Risikobehandlung, Vorfallmanagement und internen Audits steht.
CIVAC verbindet Schulungsmodule direkt mit dem Dokumentations-Workflow: Abgeschlossene Schulungen fließen automatisch in den monatlichen Compliance-Nachweis ein. Der ISB kann in der Berichtsfunktion nachweisen, welche Mitarbeitendengruppen wann geschult wurden und welche Risikominderung damit verbunden ist.
Für Unternehmen, die ein externes ISB-Mandat nutzen, ist diese Integration besonders wertvoll: Der externe Beauftragte sieht den Schulungsstand in Echtzeit, kann Nachholbedarfe adressieren und den Schulungsnachweis direkt in seinen Statusbericht an die Geschäftsleitung einbinden.
Anbieterauswahl: Worauf bei Schulungsplattformen zu achten ist
Bei der Auswahl einer Schulungsplattform für Security Awareness Trainings sollten vier Kriterien im Vordergrund stehen. Erstens: Nachweisfähigkeit – liefert die Plattform personenbezogene Abschlusszertifikate mit Zeitstempel? Zweitens: Inhaltsaktualisierung – wird der Schulungskatalog regelmäßig aktualisiert und sind Versionsstände dokumentiert?
Drittens: Datenschutz und DSGVO-Konformität – werden die Mitarbeiterdaten auf EU-Servern verarbeitet? CIVAC betreibt seine Plattform mit ausschließlicher EU-Datenresidenz, AES-256 at rest, TLS 1.3 in transit. Viertens: Integration – kann die Schulungsplattform Nachweise in ein übergeordnetes Compliance- oder ISMS-System exportieren oder direkt integriert werden?
Eine E-Learning-Plattform, die nur Schulungen liefert, aber keine strukturierte Verbindung zum ISMS herstellt, erzeugt im Prüfungsfall zusätzlichen manuellen Aufwand. Wählen Sie eine Lösung, die Schulung und Compliance-Dokumentation aus einem System bereitstellt.
Compliance-Nachweis sichern: CIVAC Schulungen im Workspace
Security Awareness Training ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess mit Dokumentationspflicht. CIVAC verbindet Compliance-Plattform und Officer-as-a-Service: Der Workspace enthält Schulungsmodule, die direkt mit dem ISMS-Nachweis verknüpft sind. Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie einen zertifizierten CIVAC-Partner als ISB bestellen, der das Schulungsprogramm für Sie koordiniert.
37 einsatzbereite Audit-Vorlagen, ein KI-Assistent mit Konfidenz-Score und eine Berichtslinie zur Geschäftsleitung sorgen dafür, dass Schulungsnachweis und ISMS-Dokumentation im selben System liegen. Audit-fest, dokumentiert, ISO-27001-fest.
Aus dem Lesen einen Auftrag machen: info@civac.de.
FAQ
Ist Security Awareness Training unter NIS-2 für alle Unternehmen Pflicht?
NIS-2 (§ 30 BSIG) verpflichtet wesentliche und wichtige Einrichtungen zu Schulungsmaßnahmen. Darüber hinaus empfiehlt ISO/IEC 27001:2022 allen Unternehmen, die ein ISMS betreiben, nachweisbare Sensibilisierungsmaßnahmen. Auch ohne NIS-2-Pflicht verlangen viele Auftraggeber und Cyber-Versicherungen Schulungsnachweise.
Wie oft müssen Security Awareness Trainings durchgeführt werden?
BSI-Grundschutz ORP.3 empfiehlt mindestens jährliche Wiederholung. ISO/IEC 27001:2022 verlangt ein angemessenes und aktuelles Programm, ohne feste Frequenz. Bei erhöhtem Risiko oder nach Vorfällen sollte das Intervall verkürzt werden.
Welche Inhalte muss ein konformes Training nach NIS-2 abdecken?
Mindestens: Phishing-Erkennung, Passwort-Hygiene, Umgang mit mobilen Geräten, Meldewege für Vorfälle und Datenklassifizierung. BSI-Grundschutz ORP.3 und ISO/IEC 27002:2022 geben ergänzende Empfehlungen zu rollenspezifischen Inhalten.
Wie wird der Schulungsnachweis dokumentiert?
Der Nachweis muss personenbezogen sein und Schulungsbezeichnung, Datum, Testergebnis sowie Abschlusszertifikat enthalten. Sammelprotokolle ohne Einzelnachweis sind im ISO-Audit häufig Anlass für Nonkonformität-Befunde.
Kann ein externer ISB das Schulungsprogramm koordinieren?
Ja. Der externe ISB verantwortet das Schulungsprogramm als Teil seines Mandats. Im CIVAC-Modell sieht er den Schulungsstand aller Mitarbeitenden in Echtzeit und kann Nachholbedarfe direkt adressieren, ohne auf interne IT-Administratoren angewiesen zu sein.
Was passiert, wenn ein Mitarbeitender die Schulung nicht abschließt?
Der ISB muss nachweisen können, dass er Nachholbedarfe erkannt und adressiert hat. Im Prüfungsfall reicht es nicht zu sagen, dass jemand krank war. Das CIVAC-Schulungsmodul zeigt offene Abschlüsse im Dashboard und erzeugt automatische Erinnerungen.
Aus dem Lesen einen Auftrag machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.
