Schulung & Awareness
RECHTSGRUNDLAGE
§30 Abs. 2 Nr. 7 BSIG – Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik
§38 Abs. 3 BSIG – Die Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen.
Schulungsprogramm
Basisschulung (alle Mitarbeiter)
| Thema | Inhalt | Intervall |
|---|---|---|
| Phishing & Social Engineering | Erkennung, Meldewege, Praxisbeispiele | Jährlich |
| Passwort- und Zugangssicherheit | Starke Passwörter, MFA, Passwort-Manager | Jährlich |
| Sichere Kommunikation | E-Mail-Sicherheit, verschlüsselte Kanäle | Jährlich |
| Incident-Meldung | Meldepflicht, Meldewege, Ansprechpartner | Jährlich |
| Datenschutz-Grundlagen | Personenbezogene Daten, DSGVO-Basics | Jährlich |
Rollenspezifische Schulung
| Zielgruppe | Zusätzliche Inhalte |
|---|---|
| Geschäftsleitung | NIS2-Pflichten nach §38, Haftung, Governance (Pflichtschulung) |
| IT-Administration | Sicherer Systembetrieb, Patch Management, Logging |
| Softwareentwicklung | Secure Coding, OWASP Top 10, Supply-Chain-Sicherheit |
| Projektleitung | Sicherheitsanforderungen in Projekten, Risikobewertung |
Onboarding
Neue Mitarbeiter erhalten vor Zugriff auf Systeme:
- Einweisung in Informationssicherheitspolitik
- Basisschulung Cyberhygiene
- Bestätigung der Sicherheitsrichtlinien
Dokumentation
- Teilnahmenachweise werden zentral geführt
- Schulungsabschluss ist Voraussetzung für System-Zugriffsrechte
- Jährliche Auswertung der Abschlussquoten als KPI
AI-Act-Synergie
Das KI-Kompetenzprogramm (Art. 4 AI Act) ergänzt die NIS2-Schulungspflichten. Details in der AI-Act-Compliance-Dokumentation.