Zum Inhalt springen
Compliance
Compliance·6 Min·DE · EN

NIS2 - was Mitarbeitende wissen müssen

NIS2 ist mehr als ein IT-Thema. Sie als Mitarbeitende sind Teil der Pflicht-Maßnahmen. Hier ist, was sich für Ihren Alltag konkret ändert.

NIS2 in einem Absatz

NIS2 (Network and Information Security Directive) ist die EU-weite Richtlinie, die Cybersicherheit für wichtige und essentielle Unternehmen verbindlich macht. Sie gilt seit Oktober 2024 in den Mitgliedstaaten und betrifft deutlich mehr Sektoren als die alte NIS1 - Energie, Gesundheit, Banken, Telekommunikation, IT-Dienstleister, mittlere und große Hersteller, öffentliche Verwaltung. Für die Schweiz gelten ähnliche Anforderungen über sektorspezifische Regeln und das ISG.

Wichtig: NIS2 macht das Top-Management persönlich verantwortlich. Das bedeutet auch, dass die Schulung der Mitarbeitenden keine optionale Kür mehr ist - sie ist Pflicht.

01

Awareness-Pflicht ist real

Mitarbeitende müssen regelmäßig geschult werden - nicht nur einmalig. Genau dafür ist diese Schulung da.

02

Meldepflicht innerhalb 24 Stunden

Erstmeldung eines schweren Vorfalls binnen 24 Stunden an die zuständige Behörde. Schnelle interne Meldung ist die Voraussetzung.

03

Lieferkette ist Ihre Sicherheit

NIS2 verlangt explizit, auch Risiken aus Dienstleistern, Lieferanten, IT-Anbietern zu adressieren. Wer integriert, integriert auch Risiko.

Was bedeutet NIS2 für Ihre tägliche Arbeit?

Die meisten NIS2-Anforderungen erscheinen vertraut, weil sie das ist, was IT-Sicherheit ohnehin tun sollte. NIS2 macht sie verbindlich:

Was Sie merken

  • Regelmäßige Schulungen: Mindestens einmal jährlich, idealerweise quartalsweise mit Phishing-Simulationen.
  • MFA überall: Wo nicht aktiv, wird es aktiviert. Auch für Konten, die Sie als „unwichtig" empfinden.
  • Klare Meldewege: Es gibt eine definierte Stelle, an die Sie Vorfälle melden, und eine Erwartung an Geschwindigkeit.
  • Asset-Inventar: Was Sie nutzen, ist erfasst - Geräte, Software, externe Dienste. Schatten-IT („Tools, die ich selbst gefunden habe") wird zurückgedrängt.
  • Backup-Tests: Backups werden nicht nur gemacht, sondern auf Wiederherstellbarkeit geprüft.

Was Sie tun können

  1. Bei Vorfällen sofort melden - eine Stunde Verzögerung kann die 24-Stunden-Frist gefährden.
  2. Schatten-IT abbauen - jedes Tool, das nicht beim IT-Inventar ist, ist ein nicht abgedecktes Risiko.
  3. MFA nicht umgehen - „aus Bequemlichkeit deaktivieren" ist heute auch ein Compliance-Verstoß.
  4. Sicherheits-Schulungen ernst nehmen - sie sind Pflicht für das Unternehmen, nicht nur für die IT.

Die wichtigsten Maßnahmen im Überblick

NIS2 verlangt von Unternehmen mindestens diese zehn Punkte ([Art. 21]):

  1. Risiko-Management und Sicherheits-Richtlinien
  2. Vorfalls-Behandlung
  3. Business Continuity & Backup
  4. Lieferketten-Sicherheit
  5. Sicherheit in Beschaffung, Entwicklung, Wartung
  6. Wirksamkeitsbewertung der Maßnahmen
  7. Cyber-Hygiene & Awareness-Training
  8. Kryptographie-Einsatz
  9. Personalsicherheit, Zugriffs-Kontrolle, Asset-Management
  10. MFA, gesicherte Sprach-/Video-/Text-Kommunikation, Notfall-Kommunikation

Punkt 7 ist genau der Grund, warum Sie diese Schulung absolvieren.

Die Meldepflichten - das 24/72/30-Schema

Bei einem erheblichen Sicherheitsvorfall gilt:

  • 24 Stunden: Erstmeldung (Frühwarnung) an die nationale Behörde
  • 72 Stunden: Detaillierte Meldung mit Bewertung
  • 1 Monat: Abschluss-Bericht

Für Sie als Mitarbeitende heißt das: Eine schnelle interne Meldung ist die Voraussetzung dafür, dass diese Fristen überhaupt eingehalten werden können.

Wann eine Meldung intern Pflicht ist
  • Verdacht auf Ransomware oder Verschlüsselungsvorfälle
  • Unbefugter Zugriff auf Konten
  • Datenverlust (auch potentiell)
  • Längere Ausfälle kritischer Systeme
  • Verlust eines Geräts mit Geschäftsdaten

Auch wenn Sie unsicher sind, ob es wirklich „schwerwiegend" ist: melden. Die Entscheidung treffen andere.

Persönliche Haftung der Leitung - und was das bedeutet

NIS2 sieht vor, dass die Geschäftsleitung persönlich haftbar sein kann, wenn Sicherheits-Pflichten verletzt werden. Das bedeutet zwei Dinge für Sie:

  1. Mehr Rückhalt für Sicherheits-Investitionen: Die Leitung hat ein echtes Interesse, dass Sicherheit funktioniert.
  2. Mehr Erwartung an Mitarbeitende: Die Leitung darf erwarten, dass alle Mitarbeitenden Schulungen ernst nehmen und Vorgaben einhalten.

Die einfache Regel

NIS2 ist nicht „eine Sache der IT". Es ist eine Verteilung der Verantwortung auf jeden Mitarbeitenden. Drei Reflexe - melden, MFA nutzen, keine Schatten-IT - tragen den größten Teil bei.

Schulungs-Katalog

Mehr Module ansehen

12 Module zu Phishing, MFA, Compliance und Remote-Arbeit.

Zum Katalog →

Mitgliederbereich

Mit Quiz und Zertifikat

Fortschritt verfolgen, Quiz absolvieren, PDF-Zertifikat erhalten.

Anmelden →

Bereit, Awareness ernst zu nehmen?

30-Minuten-Demo. Wir zeigen Ihnen eine echte Phishing-Kampagne, ein Quartals-Reporting und das NIS2-Mapping - anhand Ihrer Branche.

Demo buchenKontakt aufnehmen