Was verlangt NIS2 Artikel 20 von Vorstandsmitgliedern in Bezug auf Awareness?

NIS2 Artikel 20 verpflichtet Leitungsorgane wesentlicher und wichtiger Einrichtungen, selbst Cybersicherheitsschulungen zu absolvieren und Mitarbeiter dazu zu ermutigen. Das Vorstandsgremium trägt die Endverantwortung für das Awareness-Programm.

Was verlangt NIS2 Artikel 21 für das Security Awareness Training der Mitarbeiter?

NIS2 Artikel 21 nennt Schulung und Sensibilisierung der Mitarbeiter als konkrete Risikomanagement-Maßnahme. Organisationen müssen nachweisen, dass Mitarbeiter regelmäßig geschult werden, eine Wiederholungsstruktur besteht und Fortschritt je Mitarbeiter und Abteilung verfolgt wird.

Wie nachweisbar muss ein Security Awareness Programm für ein NIS2-Audit sein?

Ein NIS2-Audit verlangt exportierbare Berichte über Teilnahme, Verhalten (Klickrate, Melderate) und Fortschritt je Abteilung oder Einheit. Vorstandsberichte müssen mindestens quartalsweise verfügbar sein, mit dokumentierter Jahresplanung und definierten KPIs.

Zählt eine Phishing-Simulation als Nachweis für die NIS2-Compliance?

Ja. Phishing-Simulationen fallen unter Artikel 21(f) als verhaltensbezogene Risikomanagement-Maßnahme. Ergebnisse — Klickrate, Melderate, Nachbereitung — sind nachprüfbare Belege dafür, dass die Organisation aktiv an der Verhaltensverbesserung arbeitet, nicht nur an der Modulfertigstellung.

Für welche Organisationen gilt NIS2?

NIS2 gilt für wesentliche und wichtige Einrichtungen in Sektoren wie Gesundheitswesen, Energie, Transport, Finanzen, Wasser, digitale Infrastruktur und Behörden. Die Schwellenwerte basieren auf Organisationsgröße und gesellschaftlicher Bedeutung.

NIS2-Checkliste

NIS2 Awareness-Checkliste — was muss nachweisbar sein?

NIS2 verpflichtet Organisationen nicht nur dazu, Security Awareness zu organisieren, sondern auch nachweisbar zu machen. Diese Checkliste hilft zu prüfen, ob Ihr Programm den Anforderungen der Artikel 20 und 21 entspricht und für Audit oder Management-Reporting bereit ist.

Demo buchen NIS2-Awareness-Plattform

Diese Checkliste basiert auf den NIS2-Richtlinien — Artikel 20 (Vorstandsausbildung und Awareness) und Artikel 21 (Risikomanagement-Maßnahmen, inklusive Mitarbeiterschulung). Nutzen Sie sie als internes Bewertungsinstrument, nicht als Rechtsberatung.

A. Vorstandsverantwortung (Art. 20)

Der Vorstand ist nachweislich über die NIS2-Awareness-Pflichten informiert.
Vorstandsmitglieder haben eine Cybersicherheitsschulung gemäß Artikel 20 abgeschlossen oder sind eingeschrieben.
Es besteht ein festgelegtes Eigentümerschaft für das Awareness-Programm auf Vorstandsebene.
Vorstandsberichte zur Awareness werden mindestens vierteljährlich erstellt und aufbewahrt.
Die Organisation kann nachweisen, dass das Management aktiv an der Risikobewertung beteiligt ist.

B. Mitarbeiterschulung und Sensibilisierung (Art. 21)

Alle im Scope befindlichen Mitarbeiter erhalten mindestens eine Security Awareness Schulung pro Jahr.
Schulungen decken NIS2-relevante Themen ab: Phishing, Ransomware, Zugangskontrolle, Vorfallmeldung, Drittparteien.
Der Abschluss je Mitarbeiter und Abteilung ist nachverfolgbar und exportierbar.
Das Onboarding beinhaltet eine Security Awareness Komponente für neue Mitarbeiter.
Es gibt nachweisbare Unterschiede in der Schulung nach Risikogruppe oder Funktion (Segmentierung).
Es gibt eine Wiederholungsstruktur: Awareness wird nicht einmalig, sondern regelmäßig angeboten.

C. Phishing-Simulation als Risikominderungsmaßnahme (Art. 21 f)

Die Organisation führt Phishing-Simulationen als Teil des Risikomanagements durch.
Ergebnisse werden verfolgt: Klickrate, Melderate, Verhalten nach der Simulation.
Mitarbeiter, die klicken, werden begleitet, nicht sanktioniert (schuldenfreie Kultur).
Die Phishing-Nachbereitung ist mit gezieltem Training oder Erklärungen verknüpft.
Es wird eine Mindestsimulationsfrequenz von 4 bis 6 Mal pro Jahr eingehalten.

D. Reporting und Prüfnachweise

Berichte sind nach Zeitraum, Abteilung, Einheit oder Zielgruppe verfügbar.
Exportierbare Übersichten über Teilnahme, Fortschritt und Verhaltensentwicklung sind vorhanden.
Das Programm hat eine dokumentierte Jahresplanung mit Themen und geplanten Terminen.
KPIs für Awareness sind definiert (Abschlussquote, Klickrate, Melderate).
Prüfnachweise sind für externe Prüfungen oder interne Reviews verfügbar.

E. Prozessintegration

Das Benutzermanagement ist mit HR oder Active Directory verbunden (keine manuellen Listen).
Der Austritt von Mitarbeitern entzieht automatisch Lizenzen oder sperrt den Zugang.
Es gibt interne Kommunikationsmomente zu Awareness-Themen (Newsletter, Intranet, Führungsvideo).
Das Programm wird mindestens jährlich auf Effektivität überprüft und angepasst.
Es gibt einen Eskalationspfad, wenn Zielgruppen bei Abschluss oder Verhalten zurückbleiben.

Als PDF herunterladen

Speichern Sie diese Checkliste als PDF für interne Nutzung, Audit-Akte oder Vorstandsreporting. E-Mail eingeben und einen persönlichen NIS2-Empfehlungsbericht erhalten.

Bitte gültige E-Mail-Adresse eingeben.

Was nun?

Möchten Sie sehen, wie 2LRN4 jeden Schritt dieser Checkliste unterstützt? Buchen Sie eine Demo und wir gehen sie gemeinsam durch, basierend auf Ihrer Organisationssituation.

Demo buchen NIS2-Bereitschaftscheck machen

Verwandte Seiten

NIS2 awareness platform How to build a security awareness program Board reporting for awareness Phishing simulation as a risk measure