Jährliche Schulungen reichen für NIS-2 nicht aus – darauf achten Auditoren wirklich

Ein NIS-2-Audit besteht man nicht mit ein paar jährlichen Schulungszertifikaten – gefragt ist ein belastbarer Nachweis echter Cyber-Resilienz. Um die Anforderungen von Artikel 21 der NIS-2-Richtlinie zu erfüllen, müssen Unternehmen sieben konkrete Nachweispakete vorlegen, die zeigen, dass Management-Governance, Mitarbeiterkompetenz und messbare Risikoreduzierung tatsächlich vorhanden sind – und nicht nur, dass jemand einen Kurs abgeschlossen hat.

Viele Unternehmen verlassen sich nach wie vor auf einen Ordner voller jährlicher Teilnahmezertifikate – und geraten dann unter Zeitdruck, wenn sie diese Nachweise kurzfristig zusammenstellen sollen.

Wie viele Unternehmen betrifft das? Laut der Eurostat-Erhebung 2024 zur ICT-Nutzung und zum E-Commerce in Unternehmen gab es in Europa insgesamt 1,54 Millionen Unternehmen mit mehr als 10 Beschäftigten. Rund 60 % davon – also 924.000 Unternehmen – haben ihre Mitarbeitenden im Jahr 2024 über ihre Pflichten im Bereich der ICT-Sicherheit informiert.

Die gute Nachricht: Diese Lücke lässt sich schließen, sobald sie sichtbar wird – und wir zeigen Ihnen einen praxisnahen Weg dorthin.

Sie erfahren, welche sieben Nachweispakete Auditoren typischerweise verlangen, warum reine Abschlusszertifikate den Wirksamkeitsanspruch der Richtlinie nicht erfüllen und wie Sie mit einem einfachen 48-Stunden-Test prüfen können, ob Ihr Programm vor dem nächsten Audit wirklich belastbar ist.

Warum das jetzt wichtig ist: NIS-2 ist ein Thema für 2026 – nicht für irgendwann

NIS-2 ist die überarbeitete Cybersicherheitsrichtlinie der Europäischen Union. Ihr Ziel ist es, das Grundniveau der Cyber-Resilienz in 18 kritischen Sektoren und Organisationstypen anzuheben – von kritischer Infrastruktur und Gesundheitswesen über digitale Dienste bis hin zu Industrieunternehmen und zahlreichen regulierten Dienstleistungen.

Ihre Bedeutung liegt vor allem darin, dass sie Cybersicherheit nicht mehr als reine IT-Best Practice, sondern als Frage von Governance und operativem Risikomanagement einordnet.

Gerade Artikel 21 ist dabei zentral: Er verlangt Richtlinien und Verfahren, mit denen die Wirksamkeit von Risikomanagement-Maßnahmen bewertet werden kann. Der bloße Abschluss einer Schulung ist damit nur noch der Anfang – der Nachweis ihrer Wirkung wird zum Maßstab.

Die Frist zur Umsetzung in nationales Recht endete am 17. Oktober 2024.

Schätzungsweise 160.000 Einrichtungen in der Europäischen Union fallen in den Anwendungsbereich der NIS-2-Richtlinie – wobei die Europäische Kommission diese Zahl auf Basis der Meldungen der Mitgliedstaaten bis September 2025 ausdrücklich als konservative Schätzung bezeichnete.

Dass es der EU ernst ist, zeigt sich auch auf regulatorischer Ebene: Die Europäische Kommission leitete gegen 23 Mitgliedstaaten Vertragsverletzungsverfahren mit Aufforderungsschreiben ein, weil die Richtlinie nicht vollständig umgesetzt wurde, und legte später bei 19 Mitgliedstaaten mit begründeten Stellungnahmen nach. Das ist ein klares Signal: Der europäische Durchsetzungsmechanismus läuft, und sobald dieser politische Rahmen steht, zieht in der Regel auch die nationale Aufsicht spürbar an.

Auch die Sanktionsrahmen stehen längst fest: Für nach NIS-2 sogenannte „wesentliche“ Einrichtungen drohen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, für „wichtige“ Einrichtungen mindestens 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes. Öffentlich bekannt gewordene NIS-2-Bußgelder sind bislang zwar noch überschaubar – vor allem, weil die Durchsetzung national erfolgt und die Umsetzung in den Mitgliedstaaten zeitlich unterschiedlich voranschreitet. Die Richtung ist jedoch eindeutig: Aufsichtsbehörden stellen kritischere Fragen und verlangen bessere Nachweise in kürzerer Zeit.

Dieser Wandel verändert auch, was überhaupt noch als Beleg gilt. Künftig müssen Sie die Wirksamkeit Ihrer Kontrollen belegen, nicht bloß deren Durchführung.

Die 7 Nachweispakete: Was NIS-2-Auditoren tatsächlich sehen wollen

NIS-2 verlangt Schulung, Wirksamkeitsprüfung und Governance.

In der Praxis arbeiten Auditoren häufig mit sieben Nachweispaketen, weil sich damit schnell prüfen lässt, ob Ihre Schulungen tatsächlich wie ein Steuerungs- und Kontrollsystem funktionieren – oder nur wie eine gut gemeinte Compliance-Fassade.

In der gesamten Europäischen Union nutzten nur 24,51 % der Unternehmen verpflichtende Schulungen oder verbindliche Lernmaterialien im Rahmen ihrer Awareness-Maßnahmen. Genau hier zeigt sich, ob Ihr Programm wirklich auditfähig ist: Auditoren werden prüfen, ob die relevanten Inhalte tatsächlich verstanden wurden – und ob bei Verständnislücken gezielte Nachschulungen angestoßen wurden.

Dringend empfohlen: Stellen Sie einen datierten Export aus Ihrer Lernplattform bereit, aus dem hervorgeht, wer welches Modul abgeschlossen hat, welche Punktzahl jede Person im Quiz erreicht hat, wo die Bestehensgrenze lag und welche Personen nach einem Nichtbestehen innerhalb von sieben Tagen automatisch einer Nachschulung zugewiesen wurden.

Auditoren suchen nach Indikatoren, die belegen, dass riskantes Verhalten im Zeitverlauf tatsächlich abnimmt. Im Jahr 2024 berichteten 3,43 % der europäischen Unternehmen, einen externen Cyberangriff erlitten zu haben, der zu einem Ausfall von Diensten führte. Genau solche Vorfälle zeigen, warum Zertifikate allein nicht ausreichen. Gefragt sind Nachweise, die darüber hinausgehen: Verhaltenssignale, Trendverläufe und dokumentierte Maßnahmen, die Wiederholungsfehler messbar reduzieren.

Dringend empfohlen: Zeigen Sie einen Drei-Monats-Trend zu den Ergebnissen simulierter Phishing-Kampagnen nach Abteilungen aufgeschlüsselt – etwa Melderate, Klickrate und Rate eingegebener Zugangsdaten – sowie die konkret ergriffenen Korrekturmaßnahmen für das schwächste Team und die messbare Veränderung im darauffolgenden Monat.

NIS-2 verlangt, dass Sicherheitsmaßnahmen gesteuert, bewertet und fortlaufend verbessert werden. Im Jahr 2024 gaben nur 35,5 % der europäischen Unternehmen an, über eine Dokumentation ihrer Maßnahmen, Praktiken oder Verfahren zur Sicherheit in der Informations- und Kommunikations-Technologie zu verfügen. Auditoren werden deshalb prüfen, ob Verbesserungen nachvollziehbar dokumentiert, eindeutig verantwortet und wiederholbar umgesetzt werden – statt nur informell oder ad hoc zu erfolgen.

Dringend empfohlen: Fügen Sie die Protokolle Ihrer letzten beiden quartalsweisen Reviews zur Security Awareness bei – inklusive benannter Verantwortlicher, freigegebener Maßnahmen, Zieltermine sowie eines Screenshots oder einer Ticket-ID als Nachweis, dass jede Maßnahme tatsächlich umgesetzt wurde (zum Beispiel ein neuer Verifizierungsschritt im Reset-Prozess des Service Desks).

Dieser Punkt ist in den Governance-Anforderungen von NIS-2 ausdrücklich verankert: Mitglieder von Leitungsorganen sind verpflichtet, an Schulungen teilzunehmen; zugleich werden Unternehmen angehalten, auch ihren Mitarbeitenden regelmäßig vergleichbare Schulungen anzubieten.

Dringend empfohlen: Nehmen Sie das Schulungsprotokoll des Managements auf – mit Sitzungsdatum, Teilnehmerliste, Titel des Moduls und einer kurzen Notiz dazu, welche Entscheidung dadurch beeinflusst wurde (zum Beispiel die Freigabe einer überarbeiteten Richtlinie zur Zugriffskontrolle oder eines Budgets für Identitätsprüfungsmaßnahmen).

NIS-2 setzt für eine erste Warnmeldung nach Kenntnis eines erheblichen Sicherheitsvorfalls eine Frist von 24 Stunden. Damit werden die frühzeitige Erkennung durch Mitarbeitende und die schnelle Eskalation zu einer echten Kontrollanforderung. Finanzabteilungen müssen verdächtige Zahlungen stoppen können, Personalabteilungen Identitätsänderungen verifizieren, und Service Desks brauchen klare Prüfprozesse, bevor Zugänge zurückgesetzt werden.

Dringend empfohlen: Legen Sie den Bericht zum letzten Vorfall oder zur letzten Tabletop-Übung vor. Darin sollten mindestens enthalten sein: Zeit bis zur Erkennung, Zeit bis zur Eskalation, wer den Vorfall eskaliert hat, welches Playbook aktiviert wurde und der Nachweis, dass die Mitarbeitenden die vorgesehenen Verifizierungs- und Meldeprozesse eingehalten haben und nicht nur improvisiert gehandelt haben.

Auditoren prüfen zunehmend, ob Sie nachvollziehbar bewerten können, wo sich menschliche Risiken in Ihrem Unternehmen besonders konzentrieren. Die praktische Kernfrage lautet dann: Welche Teams sind am stärksten gefährdet – und was haben Sie für diese Teams konkret anders gemacht?

Dringend empfohlen: Erstellen Sie eine Risiko-Heatmap, die Teams nach ihrem Gefährdungsgrad einstuft – etwa Finanzen, Einkauf, HR oder Service Desk – auf Basis Ihrer eigenen Daten, zum Beispiel Phishing-Anfälligkeit, privilegierte Zugriffsrechte und Umfang risikoreicher Transaktionen. Zeigen Sie anschließend den gezielten Schulungsplan, der für die beiden am stärksten exponierten Teams angepasst wurde.

NIS-2 verlangt innerhalb von 72 Stunden eine weitergehende und vollständigere Vorfallsmeldung. Deshalb achten Auditoren besonders darauf, ob Mitarbeitende auch unter Zeitdruck kompetent handeln können – und nicht nur in ruhigen Phasen an Schulungen teilnehmen.

Dringend empfohlen: Dokumentieren Sie eine zeitgebundene Übung, in der Mitarbeitende ein Szenario innerhalb von weniger als zehn Minuten korrekt einordnen und die richtige Erstmaßnahme ergreifen mussten – etwa einen mutmaßlichen Sicherheitsvorfall melden, eine Zahlung stoppen oder eine Zurücksetzung von Zugängen ohne Verifizierung ablehnen. Ergänzen Sie dies um Ergebnisse zu Bestehen/Nichtbestehen und um die Protokolle der anschließenden Nachschulung bzw. des Coachings.

Die 48-Stunden-Challenge: Testen Sie Ihre Auditfähigkeit noch heute

Probieren Sie es am besten noch heute aus: Könnten Sie alle sieben Nachweispakete innerhalb von 48 Stunden in sauberer Form zusammenstellen – inklusive Zuordnung zu Verantwortlichen, Datumsangaben und Kontrollen?

Das ist der einfachste Weg, ein vages Gefühl von „Wir sind schon ganz gut aufgestellt“ in eine klare und belastbare Antwort zu verwandeln. Viele Programme erzeugen im Januar einen kurzen Aktivitätsschub – gefolgt von elf Monaten Funkstille. Der 48-Stunden-Test macht genau dieses Muster sichtbar.

Eine Umfrage unter IT-Fachkräften von Hornet Security vom Juni 2024 zeigt, dass 22,4 % der Unternehmen Security-Awareness-Trainings für Endanwender nur einmal pro Jahr durchführen. Gleichzeitig professionalisieren Angreifer ihre Methoden laufend und in großem Maßstab – und damit steigen auch die Anforderungen daran, was „wirksame Schulungen“ heute leisten müssen.

Microsoft berichtete zudem, dass mit künstlicher Intelligenz automatisierte Phishing-E-Mails in gemessenen Kontexten eine Klickrate von 54 % erreichten. Das zeigt, wie schnell sich Angriffsinhalte weiterentwickeln – deutlich schneller als klassische, einmal jährlich absolvierte Schulungsmodule.

Auch die Angriffsformate verändern sich. Im dritten Quartal 2025 wurden in einem Datensatz 716.306 eindeutige bösartige QR-Codes im Zusammenhang mit Phishing-Aktivitäten erfasst. In der Praxis kann das so aussehen: Ein Lagerleiter scannt eine vermeintliche Meldung zu einem „Problem mit der Lieferung“ – und der Angriff beginnt mitten im normalen Arbeitsalltag.

Nachweis statt nur Schulung: Der neue Maßstab für „kontinuierlich“

„Kontinuierliches Training“ wird oft als besseres Lernerlebnis verkauft. Unter NIS-2 erfüllt es jedoch vor allem einen strategischen Zweck: Es liefert fortlaufend Nachweise darüber, wie sich das Verhalten von Mitarbeitenden im Sicherheitsalltag entwickelt.

Das eigentliche Problem ist dabei nur selten ein Mangel an Tools. 70 % der Unternehmen geben an, mehr als zehn einzelne Sicherheitslösungen im Einsatz zu haben. An Technik fehlt es also selten. Was häufig fehlt, sind belastbare Nachweise zum menschlichen Risikoverhalten – also der Beleg, dass Entscheidungen und Verhaltensweisen im Laufe der Zeit tatsächlich sicherer geworden sind.

Ein praktisches Beispiel, das Auditoren besonders schätzen, sind monatliche Mikro-Szenarien, die an kritische Arbeitsabläufe anknüpfen – etwa bei Änderungen von Rechnungsdaten, der Wiederherstellung von Konten oder dem Onboarding neuer Lieferanten. Ergänzt wird das durch dokumentierte Reaktionen auf Beinahe-Vorfälle und messbare Verbesserungen im Verhalten.

A practical example auditors like to see is monthly micro-scenarios tied to critical workflows, such as invoice changes, account recovery, or supplier onboarding, coupled with documented changes in response to near misses and measured improvements.

So können alle relevanten Nachweispakete quasi automatisch entstehen: durch kontinuierliche Schulung, Verhaltensmetriken, Trendanalysen und eine auditfähige Dokumentation – ohne das Security-Team mit zusätzlichem Reporting unnötig zu belasten. Genau dabei unterstützt Prime Security Awareness.

Nächste Schritte: Schließen Sie die Lücke

Führen Sie den 48-Stunden-Test noch in dieser Woche durch. Versuchen Sie, die sieben Nachweispakete zusammenzustellen, und dokumentieren Sie genau, an welcher Stelle der Prozess ins Stocken gerät. Genau diese Lücke ist Ihre eigentliche Compliance-Priorität.

In den nächsten Beiträgen dieser Reihe zeigen wir, wie Sie Ihre menschliche Verteidigungslinie stärken und wie Unternehmen mit automatisierten Security-Awareness-Trainings erfolgreich sind, die das Phishing-Risiko nachweislich senken.