2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Welche Compliance-Anforderungen verpflichten zu Awareness-Schulung?

Praktische Erklärung zu compliance-anforderungen awareness-schulung für Organisationen, die sicheres Verhalten strukturell verbessern wollen.

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

2026 steht Security-Awareness-Training nicht mehr nur in einer internen Richtlinie, sondern in mehreren Gesetzen und Normen gleichzeitig. Das niederländische Cybersicherheitsgesetz (NIS2), DORA, ISO 27001, DSGVO, NEN 7510 und der EU AI Act enthalten je eigene Anforderungen an Awareness und Schulung. Welche gilt für Ihre Organisation, was verlangen sie genau, und wie kombinieren Sie das zu einem einzigen praktikablen Programm statt fünf parallelen Strängen?

NIS2 und das Cybersicherheitsgesetz: die allgemeine Basis

Die EU-NIS2-Richtlinie ist in den Niederlanden über das Cybersicherheitsgesetz (Cbw) umgesetzt, das das alte Wbni ablöst. Es gilt u. a. für Gesundheitswesen, Finanzen, Energie, Trinkwasser, digitale Infrastruktur, Verwaltung und das gesamte Hochschulwesen.

NIS2 Artikel 21 (Cbw Artikel 21) verlangt eine Informationssicherheitsrichtlinie mit explizitem Bestandteil Awareness und Schulung. Schriftlich dokumentiert, Compliance nachweisbar.

NIS2 Artikel 20 (Cbw Artikel 24) führt eine Vorstandsschulungspflicht ein, inklusive persönlicher Haftung.

DORA für den Finanzsektor: lex specialis

Seit 17. Januar 2025 gilt für alle EU-Finanzinstitute der Digital Operational Resilience Act (DORA). Verordnung, direkt anwendbar, geht bei Überlappung dem Cbw vor.

DORA Artikel 13 verlangt ICT-Awareness und Resilienz-Schulungen: regelmäßiges Basistraining für alle, spezialisierte Schulungen für kritische Funktionen, rollenbasiert, Vorstandstraining, Wirksamkeitsmessung.

Praktisch: ein integriertes DORA-Programm plus kleine Ergänzung für Cbw-spezifische Punkte.

ISO 27001 und NEN 7510: Normanforderungen

ISO 27001:2022 Klausel 7.2 verlangt formale Awareness; Annex A.7.2 ein formalisiertes Schulungs- und Awareness-Programm.

NEN 7510 ergänzt für das Gesundheitswesen sektorspezifische Schulungen zu medizinischen Daten, Patientensicherheit, Kettenarbeit.

Wer ISO 27001:2022 Klausel 7.2 und Annex A.7.2 nachweisbar erfüllt, deckt damit Großteils auch Cbw-Trainingsanforderungen.

DSGVO: Awareness als Verantwortlichen-Maßnahme

DSGVO nennt Awareness weniger ausdrücklich, aber Artikel 39 (DSB-Aufgaben) umfasst „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“.

Die Aufsicht fragt bei Datenpannen nach Schulungsstand. Ohne dokumentiertes Programm drohen Zusatzbußen ausschließlich wegen unzureichender Awareness.

Jährliche Schulung für alle, die mit Personendaten arbeiten, ist eine zentrale Verteidigungssäule.

EU AI Act: KI-Kompetenz seit Februar 2025

Seit 2. Februar 2025 verpflichtet Artikel 4 EU AI Act jede Organisation, die KI nutzt, zur KI-Kompetenz ihrer Mitarbeitenden und beauftragter Dritter.

Konkret: Awareness-Programm 2026 mit KI-Modul: was KI ist, welche Risiken, welche freigegebenen Dienste, welche Grenzen, welche Daten nicht in öffentliche Systeme.

Vier- bis sechsminütiges jährliches Modul reicht für den Großteil der Belegschaft aus, jährlich aktualisiert.

Wie Sie alle Anforderungen zu einem Programm kombinieren

Nicht fünf Programme, ein integriertes Jahresplan:

  • Basisprogramm für alle. Phishing, Passwörter, physische Sicherheit, KI-Kompetenz, Datenschutz. Deckt NIS2/Cbw, DSGVO, AI Act, ISO 27001-Basis.
  • Rollenbasierte Vertiefung. Finance, IT, HR, Gesundheitswesen.
  • Vorstandstraining. Cbw Artikel 24 und DORA-Vorstandsteil.
  • Periodische Phishing-Simulationen. Vier bis sechs jährlich mit modernen Formen.
  • Nachweisbare Administration. Zentrale Plattform mit Daten, Audit-bereit.

Was Aufsichtsbehörden konkret verlangen

Drei Elemente: dokumentierte Richtlinie mit Zielen, Ausführungsnachweis, Wirksamkeitsnachweis (meist Phishing-Simulationen).

Nicht erst nach Vorfall aufbauen. Plattform-basierte Administration liefert Audit-Reports bei Bedarf. Cbw: 24/72-Stunden-Meldepflicht.

Mindestens jährlich aktualisieren. Lebendes Programm statt statischer Ordner.

Von der Erklärung zur Lösung

Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.

Zur NIS2-Seite

Verwandte Artikel

Quellen

FAQ

Ist Awareness-Schulung gesetzlich Pflicht?

Ja, mehrfach: NIS2/Cbw (21, 24), DORA (13), DSGVO (39), ISO 27001 (7.2), EU AI Act (4).

Welche Anforderung ist am strengsten?

Für Finanz: DORA. Sonst Cbw mit Vorstandstrainingspflicht und persönlicher Haftung.

Was ist Cbw Artikel 24?

Verpflichtende, regelmäßige Vorstandsschulung zu Cyberrisiko. Persönliche Haftung bei Nichteinhaltung.

Was ist KI-Kompetenz nach EU AI Act?

Mitarbeitende müssen verstehen, was KI ist, welche Risiken, wie verantwortungsvoll nutzen, welche Daten nicht in öffentliche Systeme.

Wieviel Stunden Schulung pro Jahr genügen?

Kein Rahmen nennt Stundenzahl. Praktisch: 20–30 Minuten pro Person und Jahr in Microlearning, plus rollenspezifisch und Vorstand.

Muss ich Schulungsnachweise selbst speichern?

Ja, audit-bereit. Plattform-basiert mit Teilnahme, Abschluss, Simulationsergebnissen.

Kann ich ein Programm für alle Anforderungen bauen?

Ja, ein integrierter Jahresplan deckt NIS2, Cbw, DORA, DSGVO, ISO 27001 und AI Act.

Externe Quelle: European Commission - NIS2 Directive

Weiterlesen
DORA für Finanzinstitute — was Awareness bedeutet → Datenschutz und Privatsphäre: DSGVO-Grundlagen für Mitarbeitende →
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel