Was verlangt NIS2 Artikel 20 von Vorstandsmitgliedern in Bezug auf Awareness?

NIS2 Artikel 20 verpflichtet Leitungsorgane wesentlicher und wichtiger Einrichtungen, selbst Cybersicherheitsschulungen zu absolvieren und Mitarbeiter dazu zu ermutigen. Das Vorstandsgremium trägt die Endverantwortung für das Awareness-Programm.

Was verlangt NIS2 Artikel 21 für das Security Awareness Training der Mitarbeiter?

NIS2 Artikel 21 nennt Schulung und Sensibilisierung der Mitarbeiter als konkrete Risikomanagement-Maßnahme. Organisationen müssen nachweisen, dass Mitarbeiter regelmäßig geschult werden, eine Wiederholungsstruktur besteht und Fortschritt je Mitarbeiter und Abteilung verfolgt wird.

Wie nachweisbar muss ein Security Awareness Programm für ein NIS2-Audit sein?

Ein NIS2-Audit verlangt exportierbare Berichte über Teilnahme, Verhalten (Klickrate, Melderate) und Fortschritt je Abteilung oder Einheit. Vorstandsberichte müssen mindestens quartalsweise verfügbar sein, mit dokumentierter Jahresplanung und definierten KPIs.

Zählt eine Phishing-Simulation als Nachweis für die NIS2-Compliance?

Ja. Phishing-Simulationen fallen unter Artikel 21(f) als verhaltensbezogene Risikomanagement-Maßnahme. Ergebnisse — Klickrate, Melderate, Nachbereitung — sind nachprüfbare Belege dafür, dass die Organisation aktiv an der Verhaltensverbesserung arbeitet, nicht nur an der Modulfertigstellung.

Für welche Organisationen gilt NIS2?

NIS2 gilt für wesentliche und wichtige Einrichtungen in Sektoren wie Gesundheitswesen, Energie, Transport, Finanzen, Wasser, digitale Infrastruktur und Behörden. Die Schwellenwerte basieren auf Organisationsgröße und gesellschaftlicher Bedeutung.

NIS2 Checklist

NIS2 Awareness-Checkliste — was muss nachweisbar sein?

NIS2 verpflichtet Organisationen nicht nur dazu, Security Awareness zu organisieren, sondern auch nachweisbar zu machen. Diese Checkliste hilft zu prüfen, ob Ihr Programm den Anforderungen der Artikel 20 und 21 entspricht und für Audit oder Management-Reporting bereit ist.

Book a demo NIS2 awareness platform

This checklist is based on NIS2 Directive Articles 20 (management training and awareness) and 21 (risk management measures, including employee training). Use it as an internal assessment tool, not legal advice.

A. Vorstandsverantwortung (Art. 20)

Der Vorstand ist nachweislich über die NIS2-Awareness-Pflichten informiert.
Vorstandsmitglieder haben eine Cybersicherheitsschulung gemäß Artikel 20 abgeschlossen oder sind eingeschrieben.
Es besteht ein festgelegtes Eigentümerschaft für das Awareness-Programm auf Vorstandsebene.
Vorstandsberichte zur Awareness werden mindestens vierteljährlich erstellt und aufbewahrt.
Die Organisation kann nachweisen, dass das Management aktiv an der Risikobewertung beteiligt ist.

B. Mitarbeiterschulung und Sensibilisierung (Art. 21)

Alle im Scope befindlichen Mitarbeiter erhalten mindestens eine Security Awareness Schulung pro Jahr.
Schulungen decken NIS2-relevante Themen ab: Phishing, Ransomware, Zugangskontrolle, Vorfallmeldung, Drittparteien.
Der Abschluss je Mitarbeiter und Abteilung ist nachverfolgbar und exportierbar.
Das Onboarding beinhaltet eine Security Awareness Komponente für neue Mitarbeiter.
Es gibt nachweisbare Unterschiede in der Schulung nach Risikogruppe oder Funktion (Segmentierung).
Es gibt eine Wiederholungsstruktur: Awareness wird nicht einmalig, sondern regelmäßig angeboten.

C. Phishing-Simulation als Risikominderungsmaßnahme (Art. 21 f)

Die Organisation führt Phishing-Simulationen als Teil des Risikomanagements durch.
Ergebnisse werden verfolgt: Klickrate, Melderate, Verhalten nach der Simulation.
Mitarbeiter, die klicken, werden begleitet, nicht sanktioniert (schuldenfreie Kultur).
Die Phishing-Nachbereitung ist mit gezieltem Training oder Erklärungen verknüpft.
Es wird eine Mindestsimulationsfrequenz von 4 bis 6 Mal pro Jahr eingehalten.

D. Reporting und Prüfnachweise

Berichte sind nach Zeitraum, Abteilung, Einheit oder Zielgruppe verfügbar.
Exportierbare Übersichten über Teilnahme, Fortschritt und Verhaltensentwicklung sind vorhanden.
Das Programm hat eine dokumentierte Jahresplanung mit Themen und geplanten Terminen.
KPIs für Awareness sind definiert (Abschlussquote, Klickrate, Melderate).
Prüfnachweise sind für externe Prüfungen oder interne Reviews verfügbar.

E. Prozessintegration

Das Benutzermanagement ist mit HR oder Active Directory verbunden (keine manuellen Listen).
Der Austritt von Mitarbeitern entzieht automatisch Lizenzen oder sperrt den Zugang.
Es gibt interne Kommunikationsmomente zu Awareness-Themen (Newsletter, Intranet, Führungsvideo).
Das Programm wird mindestens jährlich auf Effektivität überprüft und angepasst.
Es gibt einen Eskalationspfad, wenn Zielgruppen bei Abschluss oder Verhalten zurückbleiben.

Download as PDF

Save this checklist as a PDF for internal use, your audit file or board reporting. Enter your email and receive a personalized NIS2 recommendations report.

Please enter a valid email address.

What next?

Möchten Sie sehen, wie 2LRN4 jeden Schritt dieser Checkliste unterstützt? Buchen Sie eine Demo und wir gehen sie gemeinsam durch, basierend auf Ihrer Organisationssituation.

Book a demo Take the NIS2 readiness check

NIS2 awareness platform How to build a security awareness program Board reporting for awareness Phishing simulation as a risk measure