NIS 2 Cyberhygiene und Schulungen nach Artikel 21(2)(g)
Artikel 21(2)(g) NIS 2 betrifft Ihre Belegschaft. Artikel 20(2) betrifft Ihre Geschäftsleitung. Zwei getrennte Pflichten. CIR (EU) 2024/2690 §8 sagt, was die Belegschaftspflicht heißt: ein Sensibilisierungsprogramm für alle, plus rollenspezifische Schulungen für Personen in sicherheitsrelevanten Positionen.
Die kurze Fassung
Artikel 21(2)(g) setzt grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit auf die Liste der zehn Maßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Die Pflicht erfasst alle Beschäftigten, einschließlich der Geschäftsleitung und der direkten Dienstleister.
CIR (EU) 2024/2690 §8 teilt die Pflicht in zwei Teile. §8.1 ist Sensibilisierung: ein Programm, das jeden Mitarbeitenden erreicht, regelmäßig wiederholt wird, auf die Informationssicherheitsleitlinie und das tatsächliche Bedrohungsbild abgestimmt ist und Bedrohungen, Kontaktstellen und Ressourcen abdeckt. §8.2 ist rollenspezifisch: Sie identifizieren Beschäftigte in sicherheitsrelevanten Rollen und schulen sie zu sicherer Konfiguration und Betrieb, bekannten Bedrohungen sowie zum Verhalten bei sicherheitsrelevanten Ereignissen.
Das ist nicht dieselbe Pflicht wie Artikel 20(2). Artikel 20(2) ist die Schulung der Geschäftsleitung zu Cybersicherheitsrisiken und Managementpraktiken. Artikel 21(2)(g) ist die Schulung der übrigen Organisation. Beides ist erforderlich. Prüfer fragen beides ab.
Artikel 21(2)(g) NIS 2 Richtlinie (2022/2555)
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
Das ist Punkt (g) auf der Liste der zehn Cybersicherheitsmaßnahmen, die jede wesentliche und wichtige Einrichtung umsetzen muss. Es ist die belegschaftsweite Pflicht, getrennt von der Geschäftsleitungs-Schulung nach Artikel 20(2).
CIR (EU) 2024/2690, Anhang §8
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
Da es sich um eine Verordnung handelt (keine Richtlinie), ist sie unmittelbar geltendes EU-Recht. §8.1 regelt das Sensibilisierungsprogramm. §8.2 regelt die rollenspezifische Schulungspflicht. Sie gilt für DNS-Anbieter, TLD-Registries, Cloud- und Rechenzentrumsanbieter, MSPs, Vertrauensdiensteanbieter und die übrigen im Anhang genannten Sektoren.
§30 Abs. 2 Nr. 7 BSIG (Deutschland)
Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit.
Deutschland übernimmt den EU-Wortlaut nahezu wörtlich. Den praktischen Umsetzungsweg verweist das BSI auf IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit', der sowohl die Sensibilisierungs- als auch die Rollenseite abdeckt.
Sensibilisierungsprogramm für alle
Ein Programm, das jeden Mitarbeitenden erreicht, einschließlich der Geschäftsleitung und direkter Dienstleister. Regelmäßig wiederholt, nicht einmalig. Neueinsteiger werden erfasst. Der Inhalt ist auf die Informationssicherheitsleitlinie und das tatsächliche Bedrohungsbild abgestimmt. Er deckt die Cyberbedrohungen ab, die für Sie konkret gelten, die Kontaktstellen bei Verdachtsfällen und die Ressourcen, die Beschäftigte nutzen können.
Rollenspezifische Schulungen für sicherheitsrelevante Rollen
Identifizieren Sie die Rollen, die sicherheitsrelevante Fertigkeiten benötigen. Schulen Sie diese Personen zu drei Dingen: Konfiguration und Betrieb der Systeme in ihrer Verantwortung (inklusive Mobilgeräte), bekannte Bedrohungen mit Bezug zu ihrer Arbeit und Verhalten bei sicherheitsrelevanten Ereignissen. Breiter als IT: Helpdesk, Entwicklung, HR und Finanzen können dazugehören.
Neueinsteiger und regelmäßige Aktualisierung
Beide Teile von §8 verlangen, dass das Programm neue Beschäftigte in sicherheitsrelevanten Rollen erreicht und regelmäßig aktualisiert wird. Das heißt: ein Schritt im Onboarding-Prozess von HR, plus eine Überprüfungsfrequenz für das Curriculum selbst, damit die Inhalte den Bedrohungen folgen, die heute relevant sind, nicht denen von vor zwei Jahren.
Sensibilisierung und Rollenschulung sind zwei verschiedene Programme
§8.1 und §8.2 sind nicht dasselbe in anderer Verpackung. Sensibilisierung geht an alle. Rollenschulung geht an Personen, deren Tätigkeit Sicherheitsexposition erzeugt oder steuert. Inhalt, Frequenz und Nachweis unterscheiden sich. Wenn Ihr Schulungsplan nur ein Programm enthält, fehlt eine der beiden Pflichten.
Inhalte spiegeln Ihr tatsächliches Bedrohungsbild
§8.1 verlangt, dass das Sensibilisierungsprogramm 'auf die Informationssicherheitsleitlinie und das Bedrohungsbild der Einrichtung abgestimmt' ist. Generische Phishing-Inhalte für eine Bank passen nicht zu einem Stadtwerk oder einem Abfallentsorger. Das Programm muss die Bedrohungen, die Sie tatsächlich treffen, die Systeme, die Sie tatsächlich betreiben, und die Meldewege, die Sie tatsächlich vorgesehen haben, abbilden.
BSI / IT-Grundschutz Baustein ORP.3
Der vom BSI vorgeschlagene Umsetzungsweg für §30 Abs. 2 Nr. 7 BSIG ist IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung'. ORP.3 deckt die Sensibilisierungsseite (jährliche Termine für alle Beschäftigten) und die Rollenseite (vertiefte Module für Administratoren, Entwicklung, Helpdesk und Führungskräfte) ab. Er setzt konkrete Frequenzerwartungen und fordert eine dokumentierte Curriculum-, Teilnahme- und Überprüfungsdokumentation.
ENISA Technical Implementation Guidance
Die ENISA TIG zur CIR (EU) 2024/2690 ordnet §8 ISO/IEC 27001:2022 (A.6.3), NIST CSF 2.0 (PR.AT) und ETSI EN 319 401 zu. Wer Security-Awareness bereits unter ISO 27001 betreibt, sieht über die TIG, welche bestehenden Kontrollen §8 abdecken und wo die Lücke sitzt.
Nationale Umsetzungsgesetze
Jeder Mitgliedstaat setzt die Pflicht um (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Die Substanz ist gleich, weil die Richtlinie einen EU-weiten Standard setzt. Was sich unterscheidet: Dokumentationssprache, Meldewege und welche nationale Behörde die Schulungsunterlagen prüft.
Wir haben die Geschäftsleitungs-Schulung gemacht, damit ist das NIS-2-Training erledigt.
Artikel 20(2) und Artikel 21(2)(g) sind zwei getrennte Pflichten. Die Geschäftsleitungs-Schulung erfüllt Artikel 20(2). Ihr belegschaftsweites Programm erfüllt Artikel 21(2)(g). Eines ersetzt das andere nicht. Ein Prüfer fragt beides nach.
Wir machen einmal im Jahr eine Phishing-Simulation, damit ist die Sensibilisierung abgedeckt.
Eine Phishing-Simulation ist eine Maßnahme, kein Programm. CIR §8.1 verlangt ein Programm, das die Bedrohungen mit Bezug zu Ihrer Einrichtung, die Meldewege bei Verdachtsfällen und die nutzbaren Ressourcen abdeckt. Es muss Neueinsteiger erreichen und regelmäßig laufen. Eine jährliche Simulation allein erfüllt diesen Test nicht.
Wir schulen das IT-Team, damit ist die Rollenpflicht abgedeckt.
§8.2 spricht von 'Beschäftigten, deren Rollen sicherheitsrelevante Fertigkeiten erfordern'. Das ist breiter als IT. Helpdesk-Mitarbeiter, die Passwörter zurücksetzen. Entwicklerinnen, die den Code schreiben. HR-Beschäftigte, die Zu- und Abgänge bearbeiten. Finanzbeschäftigte mit Zahlungsfreigabe. Alle können unter §8.2 fallen. Die Rollenliste muss aus Ihrer Risikoanalyse kommen, nicht aus dem Organigramm.
Was wir im deutschen Mittelstand sehen: eine jährliche Phishing-Simulation plus ein Sicherheitsabsatz in der Onboarding-Folie. Das ist kein §8. §8 verlangt ein dokumentiertes Programm mit definierter Zielgruppe pro Modul, definierter Frequenz pro Modul und einem Teilnahmenachweis pro Person, was wann abgeschlossen wurde.
Die Struktur, die im Audit hält: eine Sensibilisierungsspur für alle (Onboarding-Modul plus jährliche Auffrischung, Bedrohungen und Kontaktstellen), und eine Rollenspur für die sicherheitsrelevanten Rollen, die Sie identifiziert haben (Administratoren, Entwicklung, Helpdesk plus die Geschäftsrollen, die Ihre Risikoanalyse markiert hat). Dokumentieren Sie Curriculum, Zielgruppe, Frequenz, Teilnahme und einen Überprüfungstermin für das Curriculum selbst.
Das Schulungsmodul (TRN) erfasst das Programm: jeden Kurs, seine Zielgruppe, seine Frequenz und einen Teilnahmenachweis pro Lernendem. Sie können das Awareness-Curriculum allen Beschäftigten zuweisen und die rollenspezifischen Module den Rollen, die Sie definiert haben. Das Audit-Trail ist der Nachweis.
Die §8.1-Seite ist über den Geschäftsleitungskurs (Artikel 20(2)) plus eine Awareness-Spur für alle Beschäftigten abgedeckt. Die §8.2-Seite ist über zusätzliche rollenspezifische Module abgedeckt, die Sie den Personen zuweisen, die Ihre Risikoanalyse markiert. Abschlüsse werden automatisch erfasst. Wiederholungszyklen sind im Modul hinterlegt.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 21(2)(g) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690 (CIR), Anhang §8 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSI-Gesetz (BSIG), §30 Abs. 2 Nr. 7 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
- BSI IT-Grundschutz Baustein ORP.3 'Sensibilisierung und Schulung zur Informationssicherheit'
- ENISA Technical Implementation Guidance zur CIR (EU) 2024/2690 (Stand Mai 2026)