FÜR ENTSCHEIDER

NIS2 und Personalbedarf: Anforderungen an Personalsicherheit und Schulung

Hier Kostenlose Beratung buchen
Leuchtendes blaues Schild mit EU-Sternen, umgeben von digitalen Symbolen und Wellen auf dunklem Hintergrund.

Die aktuelle Richtlinie im nationalen Recht stellt Unternehmen vor eine klare Aufgabe: Cybersicherheit ist keine rein technische Angelegenheit mehr, sondern eine organisatorische Pflicht zur Verhinderung von Sicherheitsvorfällen – und damit auch eine Personalfrage. Wer als betroffenes Unternehmen die Anforderungen an Personalsicherheit, Schulungen und HR-Prozesse unterschätzt, riskiert nicht nur Bußgelder, sondern auch empfindliche Haftungsrisiken. Rund 30.000 Unternehmen sind in Deutschland von der Richtlinie betroffen.

Nicht nur kritische Sektoren sind betroffen, darum richtet sich dieser Artikel an Geschäftsführer bzw. die Geschäftsleitung und Verantwortliche jeglicher Branchen, die über Personalentwicklung und Einstellung entscheiden.

Grundlagen: NIS-2 und seine Personalsbedarfsanforderungen

Überblick über den erweiterten Geltungsbereich

Die NIS-2-Richtlinie (EU 2022/2555) ersetzt die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Einrichtungen erheblich. In Deutschland betrifft sie schätzungsweise 30.000 Unternehmen und Organisationen – deutlich mehr als bisher unter KRITIS erfasst wurden.

Unterschieden wird zwischen wesentlichen Einrichtungen (z. B. Energieversorger, Krankenhäuser, Wasserversorger) und wichtigen Einrichtungen (z. B. Maschinenbauer, Chemieunternehmen, digitale Anbieter). Beide Kategorien unterliegen verbindlichen Sicherheitspflichten, wobei für wesentliche Einrichtungen strengere Aufsichtsmechanismen gelten.

Die Richtlinie adressiert auch die Personalsicherheit. Unternehmen müssen sicherstellen, dass Mitarbeiterinnen und Mitarbeiter angemessen qualifiziert, sensibilisiert und in Sicherheitsprozesse eingebunden sind.

Die Richtlinie verpflichtet betroffene Einrichtungen zu konkreten Maßnahmen rund um Personal und Cyberhygiene:

  • Schulungen für die Geschäftsleitung und das Management: Leitungsorgane müssen die Schulungen absolvieren und deren Umsetzung aktiv beaufsichtigen.
  • Awareness-Maßnahmen für alle Beschäftigten: Regelmäßige Sensibilisierung ist keine Kür, sondern Pflicht.
  • Nachweispflichten: Durchgeführte Maßnahmen müssen dokumentiert und bei Audits nachgewiesen werden können.
  • Cyberhygiene: Grundlegende Sicherheitspraktiken (Passwortmanagement, Umgang mit Phishing, sicheres Arbeiten im Homeoffice) sind organisationsweit zu verankern.

Meldepflichten und Berichtswesen unter NIS2

Die NIS-2-Richtlinie verschärft nicht nur die Sicherheitsvorkehrungen, sondern etabliert auch ein engmaschiges System für die Meldung von Sicherheitsvorfällen. Unternehmen sind gesetzlich verpflichtet, erhebliche Vorfälle in einem dreistufigen Verfahren an das BSI zu melden.

Frist (ab Kenntnisnahme) Meldestufe Fokus & Inhalt
Innerhalb von 24h Frühwarnung Erste Indikation: Art des Vorfalls, Verdacht auf Rechtswidrigkeit und mögliche grenzüberschreitende Auswirkungen.
Innerhalb von 72h Vorfallmeldung Vertiefung: Bewertung des Schweregrads, Auswirkungen auf den Betrieb sowie erste technische Details (IoCs).
Innerhalb von 1 Monat Abschlussbericht Analyse: Detaillierte Ursachenforschung (Root Cause), durchgeführte Maßnahmen zur Behebung und finale Schadensbilanz.

Integration von Informationssicherheit in Personalprozesse

NIS2 verlangt, dass Sicherheitsanforderungen nicht isoliert in der IT-Abteilung verwaltet werden, sondern tief in HR-Prozesse integriert sind. Das betrifft den gesamten Mitarbeiterlebenszyklus:

Bei der Einstellung: Bereits im Recruiting müssen sicherheitsrelevante Anforderungen berücksichtigt werden. Für sensible Positionen – etwa Systemadministratoren oder Datenbankverantwortliche mit Zugang zu kritischen Systemen – sind Sicherheitsüberprüfungen sowie der Nachweis relevanter Qualifikationen vorzusehen.

Beim Onboarding: Neue Mitarbeitende sind ab dem ersten Arbeitstag unmittelbar in die Sicherheitsrichtlinien einzuweisen. Arbeitsverträge und Zusatzvereinbarungen sollten explizite Klauseln zur Informationssicherheit enthalten, einschließlich Vertraulichkeitspflichten und der Verpflichtung zur Einhaltung interner Sicherheitsvorgaben.

Beschäftigungsphase: Disziplinarverfahren bei Verstößen gegen IT-Sicherheitsvorgaben müssen klar geregelt und kommuniziert werden. Mitarbeitende müssen wissen, welche Konsequenzen Fahrlässigkeit oder vorsätzliche Missachtung nach sich ziehen.

Beim Offboarding: Beim Austritt von Mitarbeitern sind Zugänge unverzüglich zu deaktivieren, Geräte zurückzugeben und Vertraulichkeitspflichten schriftlich zu bestätigen. Andernfalls entstehen offene Schwachstellen, wenn Ausgeschiedene weiterhin auf Systeme zugreifen können.

Rollen, Verantwortlichkeiten und jährliche Überprüfung

NIS-2 fordert eine klare Zuweisung der Sicherheitsverantwortung auf Personenebene. Das bedeutet in der Praxis:

  • Jede sicherheitsrelevante Rolle wie CISO, IT-Security-Verantwortliche, Datenschutzbeauftragte muss namentlich besetzt und dokumentiert sein.
  • Mitarbeiter mit privilegiertem Zugang – also Administratoren und Systemverantwortliche – unterliegen erhöhten Anforderungen an die Überprüfung.
  • Rollenprofile und Verantwortlichkeiten müssen mindestens jährlich auf Aktualität geprüft und bei organisatorischen Veränderungen sofort angepasst werden.

Ein praktisches Instrument ist die Erstellung einer RACI-Matrix für sicherheitsrelevante Prozesse: Sie macht auf einen Blick sichtbar, wer für welche Maßnahmen verantwortlich, zuständig, informiert oder einbezogen ist.

Schulungen, Awareness und Cyber-Hygiene

Anforderungen an Lernprogramme nach NIS2

NIS-2 ist konkret: Schulungen sind nicht nur ein einmaliges Event, sondern ein kontinuierlicher Prozess. Die Richtlinie fordert:

  • Onboarding für alle neuen Beschäftigten
  • Regelmäßige Auffrischungen – mindestens einmal jährlich
  • Zielgruppenspezifische Inhalte: Was ein IT-Administrator wissen muss, unterscheidet sich deutlich von den Anforderungen an eine Sachbearbeiterin im Rechnungswesen
  • Weiterbildung für die Führungsebene: Leitungsorgane tragen persönliche Verantwortung und müssen die Grundlagen von Cyberrisiken, Meldepflichten und Haftung kennen

Typische Awareness-Themen umfassen: Erkennung von Phishing- und Social-Engineering-Angriffen, sicherer Umgang mit Passwörtern und Multi-Faktor-Authentifizierung, Verhalten bei Sicherheitsvorfällen sowie Datenschutz im Arbeitsalltag. Ergänzend bieten sich CTF-Events (Capture the Flag) oder andere teambezogene Formate an, die Awareness und Wirksamkeit auf spielerische Weise fördern.

Durchführung und Nachweise

Ohne Dokumentation keine Einhaltung. Unternehmen müssen nachweisen können:

  • Wer wann welche Schulung absolviert hat
  • Welche Lerninhalte vermittelt wurden
  • Ob und wie der Lernerfolg überprüft wurde (z. B. durch Tests oder Zertifikate)

Diese Nachweise sind im Informationssicherheitsmanagementsystem (ISMS) zu verankern, beispielsweise gemäß ISO 27001 oder dem BSI-IT-Grundschutz. Digitale Lernplattformen ermöglichen automatisierte Erinnerungen, nachverfolgbare Abschlussquoten und revisionssichere Protokollierung.

Auch externe Dienstleister und Fremdfirmen, die Zugang zu IT-Systemen oder sensiblen Daten haben, müssen in Schulungs- und Risikomanagement einbezogen oder vertraglich zur Einhaltung äquivalenter Standards verpflichtet werden.

Personalbedarf und Ressourcenmanagement bei der Umsetzung

Herausforderungen in der Personalplanung

Der Fachkräftemangel im Cybersecurity-Bereich ist real und verschärft die Umsetzung der NIS-2 für viele Unternehmen erheblich. Offene Stellen im IT-Security-Bereich bleiben im Durchschnitt deutlich länger unbesetzt als bei anderen IT-Positionen.

Für Unternehmen bedeutet das: Die Personalplanung für NIS2 muss frühzeitig beginnen. Folgende Strategien haben sich bewährt:

  • Interne Weiterqualifizierung: Bestehendes IT-Personal gezielt für Security-Aufgaben ausbilden
  • Dual-Use-Rollen: Sicherheitsverantwortung in bestehende Stellenprofile integrieren, statt ausschließlich auf dedizierte Security-Stellen zu setzen
  • Kooperationen mit Hochschulen: Praktika und Abschlussarbeiten im Security-Bereich als Recruiting-Pipeline nutzen

NIS2-Compliance: Mit Gallmond die richtigen Experten finden

Die Umsetzung der NIS-2-Richtlinie ist für betroffene Unternehmen längst zur Chefsache geworden. Die beste Richtlinie nützt nichts ohne die Menschen, die sie umsetzen. Als spezialisierte IT-Personalberatung unterstützen wir Sie dabei, genau die Experten zu finden, die Ihre IT-Sicherheit auf das nächste Level heben.

Wir vermitteln Fachkräfte, die Risikomanagementmaßnahmen beherrschen, Schwachstellen frühzeitig erkennen und die Einhaltung regulatorischer Anforderungen in Ihrer Branche sicherstellen – ob KRITIS oder gehobener Mittelstand.

Unsere Kandidaten sind darin geschult, komplexe NIS2-Anforderungen technisch und organisatorisch umzusetzen. Von der Absicherung der Lieferkette bis zur Durchführung interner Audits nach ISO 27001 oder BSI-Standards: Wir finden das Personal, das die Wirksamkeit Ihrer Schutzmaßnahmen kontinuierlich überwacht.

Ein Verstoß gegen die Meldepflichten kann für die Geschäftsleitung teuer werden. Gallmond stellt sicher, dass Ihr Team bereit ist, bei jedem Vorfall souverän zu agieren. Nehmen Sie Kontakt mit uns auf.

Einsatz Externer und Managed Security Services

Für viele Unternehmen – insbesondere KMU – ist der vollständige Aufbau interner Security-Kapazitäten wirtschaftlich nicht realisierbar. Managed Security Service Provider (MSSPs) bieten hier eine valide Alternative:

Modell Vorteile Nachteile
Internes Team Volle Kontrolle, tiefes Unternehmens-Know-how Hohe Kosten, Verfügbarkeit begrenzt
MSSP / Outsourcing Skalierbar, sofort verfügbar, Kosteneffizienz Abhängigkeit, Datenschutzfragen
Hybridmodell Balance aus Kontrolle und Flexibilität Koordinationsaufwand

Wichtig: Auch bei der Auslagerung bleibt die Verantwortung beim Unternehmen. NIS2 erlaubt Outsourcing, aber nicht das Outsourcing der Verantwortung. Verträge mit MSSPs müssen Sicherheitsanforderungen, SLAs und Nachweispflichten explizit regeln.

Kosten und Nutzen der Personalmaßnahmen

Unterbesetzung im Security-Bereich ist teuer – nicht nur im Schadensfall, sondern auch regulatorisch. NIS2 sieht für wesentliche Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Die Investitionskosten für Personalmaßnahmen fallen in den meisten Fällen deutlich niedriger aus als eine einzige empfindliche Sanktion.

Umsetzungsempfehlungen und Best Practices

Verknüpfung von rechtlichen Anforderungen und operativen HR-Prozessen

NIS-2 ist ein rechtliches Dokument, aber seine Umsetzung ist eine operative Aufgabe. HR und IT müssen enger zusammenarbeiten als bisher. Bewährte Ansätze:

  • Gemeinsame Arbeitsgruppen aus IT-Security, HR, Recht und Compliance einrichten
  • NIS2-Anforderungen in bestehende HR-Richtlinien integrieren (Onboarding-Handbücher, Arbeitsvertragsvorlagen, Stellenbeschreibungen)
  • Einen NIS2-Verantwortlichen benennen, der als Schnittstelle zwischen den Bereichen fungiert

Software und Tools für Training, Compliance und Monitoring

Digitale Unterstützung ist kein Luxus, sondern eine Notwendigkeit. Empfehlenswerte Lösungskategorien:

  • E-Learning-Plattformen (z. B. KnowBe4, Awareness7, SoSafe): Automatisierte Lernszyklen, Phishing-Simulationen, Lernfortschrittstracking
  • GRC-Tools (Governance, Risk, Compliance): Unterstützen bei der Dokumentation von Maßnahmen, Risikoregistern und Audit-Vorbereitung
  • ISMS-Software (z. B. auf Basis ISO 27001): Zentrale Verwaltung aller Sicherheitsdokumente, Nachweise und Verantwortlichkeiten

Nachhaltige Sicherheitskultur etablieren

Einzelne Schulungen bilden noch keine Sicherheitskultur. Nachhaltige Verankerung entsteht durch:

  • Vorbildfunktion des Top-Managements: Wenn die Geschäftsführung Sicherheitsrichtlinien aktiv vorlebt, steigt die Akzeptanz in der gesamten Organisation
  • Regelmäßige Kommunikation: Security-Themen im internen Newsletter, Intranet-Beiträge, kurze Video-Updates
  • Positive Verstärkung: Sicherheitsbewusstes Verhalten anerkennen, nicht nur Verstöße sanktionieren

Rechtliche und regulatorische Konsequenzen bei Nichteinhaltung

Bußgelder, Haftung und Sanktionen nach NIS2

NIS-2 verschärft die persönliche Haftung der Leitung deutlich. Leitungsorgane können bei schuldhaften Verstößen persönlich haftbar gemacht werden. Eine Delegation der Verantwortung an die IT-Abteilung entbindet die Geschäftsführung nicht von ihrer Aufsichtspflicht.

Dokumentation und Auditvorbereitung

Das BSI und andere zuständige Behörden können betroffene Einrichtungen prüfen. Eine lückenlose Dokumentation ist dabei das wichtigste Instrument:

  • Schulungsnachweise für alle Mitarbeitenden
  • Aktuelle Rollenprofile und Verantwortlichkeitsdokumentation
  • Protokolle zu Sicherheitsvorfällen und ergriffenen Maßnahmen
  • Verträge mit Drittanbietern inklusive Sicherheitsklauseln

Häufig gestellte Fragen

Wichtige Antworten für Entscheider

Was ist NIS2 und welche Anforderungen stellt es an den Personalbedarf?
NIS2 ist eine EU-Richtlinie zur Netz- und Informationssicherheit, die Unternehmen u. a. zu qualifiziertem Personal, regelmäßigen Schulungen und klar geregelten HR-Prozessen mit Sicherheitsbezug verpflichtet.
Welche Rolle spielt die Unternehmensleitung?
Die Leitungsebene trägt persönliche Verantwortung, muss Schulungen absolvieren und die Umsetzung von Sicherheitsmaßnahmen aktiv beaufsichtigen.
Wie oft müssen Schulungen durchgeführt werden?
Mindestens einmal jährlich, zusätzlich beim Onboarding neuer Mitarbeitender sowie bei wesentlichen Änderungen der Bedrohungslage.
Welche Sanktionen drohen bei Nichteinhaltung?
Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes; zudem die persönliche Haftung der Geschäftsführung.
Können sicherheitsrelevante Aufgaben ausgelagert werden?
Ja, aber die Verantwortung verbleibt beim Unternehmen. Drittanbieter müssen vertraglich an die Sicherheitsanforderungen gebunden werden.
Wie lässt sich eine nachhaltige Sicherheitskultur aufbauen?
Durch kontinuierliche Kommunikation, Vorbildfunktion der Führung, regelmäßige Schulungen und positive Verstärkung des sicherheitsbewussten Verhaltens.

Teilen Sie uns auf Social Media

Autor dieser Seite
Christian Reimann, Geschäftführer der Gallmond GmbH
10 Jahre Expertise in Cybersecurity, IT und Engineering
20+ Jahre Erfahrung in Recruiting und HR-Themen
Unternehmen
Legal

Kontaktmöglichkeiten
Telefonnummer
0341 3397 2932
+49 1590-6053995
Whatsapp-Anrufe