Freitag, 3. Juli 2026
Anzeige

Die NIS2-Richtlinie wird oft als ein entscheidender Wandel in der Art und Weise beschrieben, wie Unternehmen in der EU und in Grossbritannien Cybersicherheit und -resilienz angehen. Sie erhöht die Erwartungen, stärkt die Rechenschaftspflicht und führt eine solidere Aufsicht ein. Oberflächlich betrachtet klingt vieles davon wie eine Führungsaufgabe oder eine technische Herausforderung, mit der sich Vorstände, CISOs und Compliance-Teams befassen müssen. Diese Lesart geht an einem grossen Teil des Bildes vorbei, wie MetaCompliance meint.

Der Experte für Cybersicherheitstrainings mit deutschem Sitz in Leipzig erklärt, wie die Richtlinie in praktische Verhaltensänderung umgesetzt werden kann: 

Obwohl NIS2 in der Sprache der Gesetzgeber verfasst ist, hängt der Erfolg stark von den täglichen Entscheidungen der Mitarbeiter ab. Nicht, weil von den Mitarbeitern erwartet wird, dass sie Gesetze oder Bedrohungsmodelle verstehen, sondern weil die Richtlinie eine einfache Wahrheit anerkennt. Cyber-Risiken sind selten das Ergebnis eines einzelnen technischen Fehlers. Sie entstehen durch menschliches Verhalten, Kontext, Druck und Urteilsvermögen.

Anzeige

Um also zu verstehen, was NIS2 von Mitarbeitern wirklich erwartet, gilt es die Richtlinie in die Praxis umzusetzen und die Leitlinien in Entscheidungen umzusetzen, die die Mitarbeiter tatsächlich treffen können.

Warum NIS2 oft als technisches Problem angesehen wird

Ein Grund, warum NIS2 missverstanden wird, ist die Art und Weise, wie die Richtlinie formuliert ist. NIS2 konzentriert sich auf Governance, Massnahmen zum Risikomanagement, den Umgang mit Vorfällen und die operative Resilienz. Diese Sprache drängt Unternehmen zu Richtlinien, Tools und Berichtsstrukturen.

Anzeige

Hinzu kommt ein strukturelles Erbe. Jahrelang dienten Schulungen zur Sensibilisierung der Mitarbeiter vor allem der Erfüllung von Compliance-Anforderungen. Die Schulungen wurden durchgeführt, die Anwesenheit wurde protokolliert und die Kästchen wurden abgehakt. Ob diese Schulungen das Verhalten verändert haben, wurde selten näher untersucht.

NIS2 spiegelt das wachsende Bewusstsein wider, dass dieser Ansatz nicht ausreichend ist. Die Regulierungsbehörden sind weit weniger daran interessiert, ob eine Kontrolle auf dem Papier existiert, sondern viel mehr daran, ob sie funktioniert, wenn etwas schiefgeht. Damit rückt das Verhalten der Mitarbeiter in den Mittelpunkt des Interesses, auch wenn es nicht immer ausdrücklich erwähnt wird.

Lücke zwischen dem Bewusstsein und der richtigen Entscheidung

Die meisten Mitarbeiter kennen bereits die Grundlagen. Sie wissen, dass sie im Umgang mit E-Mails vorsichtig sein, sensible Informationen schützen und Sicherheitsprozesse befolgen sollten. Das Problem ist, dass Situationen in der realen Welt selten so aussehen wie die Schulungsbeispiele.

Ein Phishing-Versuch kann als Routine-Nachricht von einem vertrauenswürdigen Anbieter kommen. Eine Aufforderung zur Umgehung eines Prozesses könnte von einer hochrangigen Person in einer geschäftigen Zeit kommen. Eine Sicherheitswarnung könnte genau im falschen Moment erscheinen, wenn die Zeit knapp und die Aufmerksamkeit beansprucht ist.

In diesen Momenten brechen die Menschen nicht bewusst Regeln. Sie treffen ihre Entscheidungen auf der Grundlage von Kontext, Annahmen und Druck. Das ist die Lücke, um die es bei NIS2 wirklich geht. Der Unterschied zwischen dem Erkennen einer Regel in der Theorie und der Anwendung eines vernünftigen Urteils in der Praxis. Kontrollen, die sich auf perfektes Verhalten verlassen, werden immer versagen. Kontrollen, die die menschliche Entscheidungsfindung vorwegnehmen, sind viel widerstandsfähiger.

Was NIS2 auf der Ebene der Mitarbeiter erwartet

NIS2 erwartet nicht, dass Mitarbeiter zu Cybersecurity-Experten werden, sondern dass Unternehmen ihre Mitarbeiter in die Lage versetzen, einen sinnvollen Teil ihres Risikomanagement-Rahmens zu bilden.

Auf praktischer Ebene bedeutet dies, dass die Mitarbeiter verstehen sollten, was in ihrer Rolle normal ist, damit sie erkennen können, wenn sich etwas ungewöhnlich anfühlt. Sie sollten wissen, wie sie reagieren können, wenn sie unsicher sind, und wo sie sich um Hilfe bemühen können, ohne Kritik oder Schuldzuweisungen fürchten zu müssen.

Sie sollten auch die Auswirkungen ihrer Entscheidungen verstehen. Dies gilt nicht in abstrakten Begriffen, sondern in einer Weise, die direkt mit ihrer Arbeit, ihren Kollegen und dem Unternehmen als Ganzes zu tun hat. Wenn sich Sicherheit weit weg oder rein technisch anfühlt, ist es leicht, sich davon abzuwenden. Wenn sie sich relevant und menschlich anfühlt, ist es viel wahrscheinlicher, dass die Menschen überlegt handeln.

Warum szenario-basiertes Lernen wichtig ist

An dieser Stelle wird das szenariobasierte Lernen entscheidend. Es spiegelt wider, wie sich das Risiko in der täglichen Arbeit tatsächlich zeigt und wie die Kontrollen in der Realität funktionieren sollen.

Rahmenwerke, wie das NIST Cybersecurity Framework, betonen seit langem, dass wirksame Kontrollen Erkennung, Reaktion und Anpassung beinhalten. Dieser Prozess hängt oft vom menschlichen Urteilsvermögen ab. Das szenariobasierte Lernen gibt Mitarbeitern die Möglichkeit, dieses Urteilsvermögen zu trainieren, bevor es in der Realität getestet wird.

Anstatt Regeln auswendig zu lernen, werden die Mitarbeiter durch realistische Situationen geführt. Sie sehen, wie kleine Entscheidungen zu grösseren Problemen eskalieren können und wie frühes eingreifen die Auswirkungen verringern kann. Diese Art des Lernens schafft Vertrauen – nicht Angst. Ausserdem entspricht es eher den Erwartungen der Aufsichtsbehörden, da das Üben von Szenarien zeigt, dass die Kontrollen aktiv und eingebettet sind und nicht nur statische Dokumente, die erst bei Audits auftauchen.

Vom Bewusstsein zur sinnvollen Risikominderung

Ein weiteres wichtiges Thema der NIS2 ist die Wirksamkeit. Die Regulierungsbehörden wollen Beweise dafür sehen, dass Risikomanagementmassnahmen das Risiko tatsächlich verringern, und nicht nur, dass sie existieren. Cyber-Schulungen für alle Mitarbeiter sind leicht zu messen, sagen aber nur wenig über die Ergebnisse aus. Wenn Unternehmen verstehen, wie die Mitarbeiter auf simulierte Vorfälle reagieren, wie schnell Probleme eskaliert werden und wo Unsicherheiten verbleiben, erhalten sie weitaus mehr nützliche Einblicke.

Szenario-basierte Ansätze ermöglichen es, Muster zu erkennen, Schwachstellen zu verbessern und sich kontinuierlich anzupassen. Diese Art von Feedback-Schleife ist genau das, was moderne Risikomanagement-Rahmenwerke unterstützen sollen. Ausserdem hilft es den Führungsteams, die tatsächliche Risikolage ihres Unternehmens zu verstehen, anstatt sich auf trügerische Dashboards zu verlassen, die möglicherweise die zugrundeliegenden Schwachstellen verbergen.

Aufbau einer Kultur, die NIS2 unterstützt

NIS2 unterstreicht die Idee, dass Cyber-Resilienz nicht in der Hand eines einzigen Teams liegt. Sie hängt ebenso sehr von Kultur, Kommunikation und Vertrauen ab wie von der Technologie. Es ist wahrscheinlicher, dass Mitarbeiter gute Entscheidungen treffen, wenn sie sich unterstützt fühlen, wenn Fragen willkommen sind und wenn Fehler als Chance zum Lernen und nicht als Fehler zur Bestrafung betrachtet werden. Die Schaffung eines solchen Umfelds ist eine Führungsaufgabe, kein Ausbildungsproblem.

Klare Kommunikation, realistische Erwartungen und regelmässige Verstärkung sind viel wichtiger als einmalige Initiativen. Sicherheit wird zu einem Teil der Arbeitsweise und nicht zu etwas, das von aussen aufgeschraubt wird.

Unternehmen, die sich gut an NIS2 anpassen, haben in der Regel einige Dinge gemeinsam: Die Mitarbeiter verstehen ihre Rolle beim Risikomanagement. Das Training orientiert sich an realen Szenarien und nicht an theoretischen Bedrohungen. Die Berichtswege sind klar und werden ohne Zögern genutzt.

Am wichtigsten ist jedoch, dass es eine sichtbare Verbindung zwischen Richtlinien und Verhalten gibt. Die Kontrollen werden nicht nur aufgeschrieben, sondern auch geübt, getestet und im Laufe der Zeit verbessert.

NIS2 erwartet keine Perfektion, sondern erkennt an, dass „Menschen menschlich“ agieren, dass Fehler passieren und dass Unsicherheit unvermeidlich ist. Was die Richtlinie erwartet, ist Bereitschaft, Bewusstsein und die Fähigkeit, effektiv zu reagieren, wenn die Dinge nicht nach Plan laufen. Im Kern geht es bei NIS2 nicht darum, Mitarbeiter zu einem Risiko zu machen, sondern sie in die Lage zu versetzen, Teil der Verteidigung zu sein.

Unterstützung der NIS2-Bereitschaft

Bei der Erfüllung der NIS2-Anforderungen geht es nicht darum, die Mitarbeiter mit noch mehr Regeln zu überfordern oder ein perfektes Verhalten zu erwarten. Es geht darum, den Mitarbeitern das Vertrauen, den Kontext und die Unterstützung zu geben, um bessere Sicherheitsentscheidungen zu treffen, wenn es darauf ankommt. Der Nachweis, dass eine Schulung stattgefunden hat, ist nur ein Teil des Bildes. Unternehmen müssen auch zeigen können, wie sie ihre Mitarbeiter darauf vorbereiten, Risiken bei ihrer täglichen Arbeit zu erkennen und darauf zu reagieren.

Unternehmen benötigen Unterstützung, um einen praktischen, vertretbaren Ansatz für das Risikomanagement zu wählen. Lerninhalte, die auf die NIS2-Schulungserwartungen abgestimmt sind, helfen Unternehmen dabei, den Schwerpunkt der Richtlinie auf Sicherheitsbewusstsein und die Bereitschaft der Mitarbeiter zu legen. In Kombination mit einem risikobasierten Lernansatz erhalten Unternehmen einen besseren Einblick in das tatsächliche Verhalten ihrer Mitarbeiter, so dass Sicherheitsteams Risikomuster erkennen und positive Verhaltensweisen verstärken können.

NIS2 erhöht die Rechenschaftspflicht und die Kontrolle. Unternehmen, die klar zeigen können, wie sie ihre Mitarbeiter unterstützen und vorbereiten, werden besser in der Lage sein, sowohl die regulatorischen Erwartungen als auch die realen Bedrohungen zu erfüllen.

Lesen Sie auch: Die Einhaltung von NIS2 wird nicht an der Technik scheitern, sondern an den Menschen

 

Teilen:
Kommentar schreiben


Exit mobile version