Mit NIS-2 werden Sicherheitsschulungen zur Pflicht

Mit der Umsetzung der NIS-2-Richtlinie in deutsches Recht und der Anpassung des BSI-Gesetzes (BSIG) steigen die Anforderungen an die Cybersicherheit für betroffene Organisationen deutlich. Betreiber „wichtiger“ und „besonders wichtiger Einrichtungen“ sind erstmals explizit verpflichtet, effektive Sicherheitsmaßnahmen umzusetzen, zu dokumentieren und zu überwachen.

Zu diesen Maßnahmen zählt auch die Durchführung grundlegender Schulungen und Sensibilisierungsmaßnahmen im Bereich der Informationssicherheit (§ 30 Abs. 2 Nr. 7 BSIG). Damit sind Sicherheitsschulungen erstmals für viele Unternehmen und Behörden gesetzlich vorgeschrieben.

Wer ist davon betroffen?

Die NIS-2-Regelungen gelten für eine Vielzahl öffentlicher und privater Organisationen aus insgesamt 18 Sektoren, wie zum Beispiel Energie, Verkehr, Bankwesen, Gesundheit, Forschung oder Lebensmittel. Betroffen sind grundsätzlich nur Einrichtungen, die mehr als 50 Mitarbeitende beschäftigen oder deren Jahresumsatz bzw. Jahresbilanzsumme mindestens 10 Millionen Euro beträgt.

Darüber hinaus gibt es Organisationen, die unabhängig von ihrer Größe automatisch in den Anwendungsbereich fallen. Dazu gehören etwa zentrale Elemente der digitalen Infrastruktur, Bereiche der staatlichen Verwaltung, bestimmte Monopol- und Alleinanbieter sowie Betreiber kritischer Infrastrukturen.

Im Ergebnis betreffen die Regelungen ein breites Spektrum an Unternehmen und öffentlichen Stellen in Deutschland, die eine zentrale Rolle dabei spielen, die digitale Sicherheit und Widerstandsfähigkeit im Land zu stärken.

Das Gesetz gruppiert die betroffenen Organisationen in „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Auf den Umfang der neuen Schulungspflichten hat die Gruppenzugehörigkeit jedoch keinen Einfluss: Beide Gruppen sind gleichermaßen verpflichtet, ihre Mitarbeitenden zu schulen.

Wer muss geschult werden?

Geschult werden müssen alle Personen, die mit der IT-Infrastruktur und sensiblen Daten der Organisation arbeiten. Das sind im Zweifel alle Beschäftigten der Einrichtung.

Was muss geschult werden? 

§ 30 Abs. 2 Nr.7 BSIG fordert grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik. Es geht also darum, die Grundlagen der Informationssicherheit zu vermitteln und ein Bewusstsein für Gefahren, wie Phishing, Social Engineering, CEO-Fraud oder Schadsoftware zu schaffen.

Mit unseren eLearning-Kursen können Sie die Anforderungen vollständig abdecken: Die Module „Grundkurs Cybersicherheit“ und „Auffrischung Cybersicherheit“ vermitteln alle wichtigen Grundlagen anschaulich und eignen sich damit ideal, die gesetzliche Schulungspflicht zu erfüllen.

Fazit 

Die Schulungspflicht nach § 30 Abs. 2 Nr. 7 BSIG gilt ab sofort verbindlich für alle Einrichtungen die von NIS-2 betroffen sind. Mit unseren eLearning-Kursen sind Sie optimal aufgestellt: gesetzeskonform, praxisnah und nachhaltig, so können Sie den bestehenden Pflichten nachkommen.

Interessiert? Sprechen Sie uns gerne an!