ISO 27001:2022-Schulungsnachweise für NIS2 und DORA
Es ist 09:12 Uhr an einem Dienstagmorgen im Februar 2026. Ein Finanzanalyst bei einem schnell wachsenden FinTech erhält eine E-Mail, die scheinbar vom CFO stammt und um eine dringende Prüfung einer Lieferantenzahlungsdatei bittet. Der Anhang öffnet eine überzeugende Microsoft-Anmeldeseite. Der Analyst zögert, erinnert sich an die Phishing-Simulation und das Modul zu Zahlungsbetrug aus dem Vormonat und meldet die E-Mail über das Sicherheitsportal, statt Zugangsdaten einzugeben.
Für den CISO ist diese einzelne Entscheidung eine Kontrolle, die in der Praxis wirkt.
Für den Auditor reicht die Geschichte nicht aus.
Eine Woche später trifft die Nachweisanforderung ein: „Stellen Sie Nachweise für ein umfassendes, rollenbasiertes Programm zur Sensibilisierung und Schulung zur Informationssicherheit bereit, einschließlich Wirksamkeitskennzahlen und Aufzeichnungen, die die Abdeckung des gesamten Personals einschließlich Management belegen.“
Dieser Satz verändert die Diskussion. Eine Tabelle, in der neben 97 Prozent der Mitarbeiter „Abgeschlossen“ steht, reicht nicht mehr aus. Der Auditor wird fragen, wer den Analysten geschult hat, wann die Schulung zugewiesen wurde, ob sie verpflichtend war, ob sie rollenbasiert war, ob der Finanzbereich zusätzliche Sensibilisierung zu Zahlungsbetrug erhalten hat, ob neue Mitarbeiter und Auftragnehmer einbezogen wurden, ob das Management das Programm genehmigt hat, ob die Schulung nach der letzten Phishing-Kampagne angepasst wurde und ob Abschlussaufzeichnungen aufbewahrt wurden.
Im Jahr 2026 liegen Nachweise zur Sensibilisierung und Schulung zur Informationssicherheit an der Schnittstelle von ISO/IEC 27001:2022, NIS2, DORA, GDPR und NIST CSF 2.0. Sie sind keine jährliche HR-Übung mehr. Sie sind Governance auf Leitungsebene, Risikobehandlung, Vorfallsbereitschaft, rechtliche Rechenschaftspflicht und Auditnachweis.
Clarysec behandelt Security Awareness als operatives Nachweissystem, nicht als Foliensatz. Zenith Blueprint: 30-Schritte-Roadmap für Auditoren Zenith Blueprint, Zenith Controls: Der Cross-Compliance-Leitfaden Zenith Controls, Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit - SME Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit - SME und Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit verbinden rollenbasierte Schulung mit dem ISMS, regulatorischen Verpflichtungen, Incident Response, Lieferantenzugriff und Managementbewertung.
Warum generische Sensibilisierung und Schulung zur Informationssicherheit 2026 scheitert
Die regulatorische Verschiebung ist eindeutig. NIS2 macht Cybersicherheit für wesentliche und wichtige Einrichtungen zur Verantwortung der Leitungsebene. Article 20 verlangt, dass Leitungsorgane Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen, deren Umsetzung überwachen und Schulungen erhalten. Article 21 umfasst grundlegende Cyberhygiene und Schulung zur Cybersicherheit als Bestandteil der erforderlichen Risikomanagement-Basislinie. Für Cloud-Anbieter, Rechenzentrumsbetreiber, Managed Service Provider, Managed Security Service Provider, DNS-Anbieter, TLD-Register, Online-Marktplätze und Suchmaschinen ist Schulung zu einem Thema auf Ebene des Leitungsorgans geworden.
DORA legt für Finanzunternehmen und IKT-Anbieter, die den Finanzsektor unterstützen, die Messlatte höher. DORA gilt seit dem 17. Januar 2025 und verlangt von Finanzunternehmen, ein internes Governance- und Kontrollrahmenwerk für das Management von IKT-Risiken aufrechtzuerhalten. Leitungsorgane müssen IKT-Risiken, Budgets, Audits, Drittparteienvereinbarungen, Aufrechterhaltung des Geschäftsbetriebs, Reaktions- und Wiederherstellungspläne sowie digitale operationale Resilienz überwachen. DORA Articles 17 to 19 verlangen außerdem, dass IKT-bezogene Vorfälle erkannt, klassifiziert, eskaliert, kommuniziert und gemeldet werden. Schulung macht diese Verfahren unter Druck ausführbar.
ISO/IEC 27001:2022 bietet Organisationen das Rückgrat des Managementsystems. Die Klauseln 4 bis 10 behandeln Kontext, interessierte Parteien, Führung, Risikobeurteilung, Risikobehandlung, Kompetenz, Bewusstsein, dokumentierte Informationen, Leistungsbewertung und Verbesserung. Die Norm ist über Branchen und Größenordnungen hinweg skalierbar; deshalb nutzt Clarysec sie als Betriebsmodell für die integrierte Ausrichtung von ISO, NIS2, DORA, GDPR und NIST ISO/IEC 27001:2022.
GDPR ergänzt die Ebene der Rechenschaftspflicht. Organisationen müssen nachweisen, dass personenbezogene Daten rechtmäßig, fair, sicher und mit geeigneten technischen und organisatorischen Maßnahmen verarbeitet werden. Mitarbeiter, die personenbezogene Daten verarbeiten, Systeme administrieren, Software entwickeln, Kunden unterstützen oder Vorfälle untersuchen, benötigen Schulungen zu Datenschutz und Eskalation von Datenschutzverletzungen.
NIST CSF 2.0 verstärkt dieselbe Richtung. Seine GOVERN-Funktion verbindet rechtliche, regulatorische, vertragliche, datenschutzbezogene und stakeholderbezogene Anforderungen mit Rollen, Verantwortlichkeiten, Richtlinien, Ressourcen, Aufsicht und Enterprise Risk Management. NIST CSF Profiles helfen außerdem dabei, Schulungsverpflichtungen in Verbesserungspläne für Ist- und Zielzustände zu übersetzen.
Das Ergebnis ist einfach: Auditbereite Sensibilisierung und Schulung zur Informationssicherheit muss belegen, dass Personen ihre Verantwortlichkeiten kennen, dass Schulung auf Rolle und Risiko zugeschnitten ist und dass die Nachweise für Auditoren, Aufsichtsbehörden, Kunden und Management vollständig genug sind.
Das Auditproblem: „Wir haben alle geschult“ ist kein Nachweis
Viele Organisationen scheitern in Audits nicht, weil sie keine Schulungen durchgeführt haben, sondern weil sie nicht nachweisen können, dass Schulung konzipiert, zugewiesen, abgeschlossen, überprüft und verbessert wurde.
Ein schwaches Nachweispaket enthält häufig ein jährliches PDF, eine Abschlussliste ohne Datumsangaben, keine Onboarding-Nachweise, keine Abdeckung von Auftragnehmern, keine Schulung privilegierter Benutzer, keine Managementschulung, keine rollenbasierten Module für Entwickler oder den Finanzbereich, keine Verbindung zur Risikobeurteilung und keinen Nachweis, dass Schulungen nach Vorfällen oder regulatorischen Änderungen aktualisiert wurden.
Auditoren wollen kein Motivationsposter. Sie wollen eine belastbare Nachweiskette.
Die SME-Richtlinie von Clarysec macht diese Erwartung ausdrücklich. Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit - SME, Ziele, Klausel 3.3, verlangt von Organisationen:
„Dokumentierte Abschlussaufzeichnungen sind zu erstellen, um die Einhaltung gesetzlicher, vertraglicher und auditbezogener Anforderungen nachzuweisen.“
Dieselbe SME-Richtlinie macht Schulung zu aufbewahrter dokumentierter Information. Anforderungen an die Umsetzung der Richtlinie, Klausel 6.3.2, legt fest:
„Eine zentrale Tabelle oder ein Personalinformationssystem muss diese Aufzeichnungen mindestens drei Jahre lang führen.“
Für Unternehmensumgebungen setzt die Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit, Zweck, Klausel 1.2, eine stärker strukturierte Erwartung:
„Diese Richtlinie unterstützt ISO/IEC 27001 Klausel 7.3 und Annex A Maßnahme 6.3, indem sie einen strukturierten, risikoorientierten Sensibilisierungs- und Schulungsrahmen verlangt, der auf organisatorische Rollen und sich entwickelnde Bedrohungen zugeschnitten ist.“
Diese Formulierung ist entscheidend: strukturiert, risikoorientiert, rollenspezifisch und bedrohungsbewusst. Sie unterscheidet Awareness-Theater von belastbarer Kompetenz.
Mit Rollen beginnen, nicht mit Kursen
Der häufigste Fehler besteht darin, Inhalte zu kaufen, bevor Verantwortlichkeiten definiert sind. In einem integrierten Compliance-Programm lautet die richtige erste Frage nicht: „Welche Schulungsplattform sollen wir nutzen?“ Die richtige Frage lautet: „Welche Rollen erstellen, verwalten, genehmigen, verarbeiten, sichern oder stellen Informations-Assets wieder her?“
ISO/IEC 27001:2022 Klausel 5.3 verlangt die Zuweisung und Kommunikation von Verantwortlichkeiten und Befugnissen für Informationssicherheitsrollen. Klausel 7.2 verlangt Kompetenz für Personen, die unter der Kontrolle der Organisation tätig sind, auf Grundlage von Ausbildung, Schulung oder Erfahrung. Klausel 7.3 verlangt Bewusstsein für die Informationssicherheitsleitlinie, den Beitrag zur Wirksamkeit des ISMS und die Folgen von Nichtkonformität.
In Zenith Blueprint, ISMS-Grundlage und Führung, Schritt 5: Kommunikation, Bewusstsein und Kompetenz, übersetzt Clarysec dies in Umsetzungssprache:
„Erforderliche Kompetenzen identifizieren: Bestimmen Sie, welches Wissen und welche Fähigkeiten für unterschiedliche Rollen in Ihrem ISMS erforderlich sind.“
Der Blueprint liefert praktische Beispiele: IT-Mitarbeitende benötigen möglicherweise sichere Serverkonfiguration, Entwickler sichere Programmierung, HR sicheren Umgang mit personenbezogenen Daten und allgemeines Personal Phishing-Sensibilisierung. Er betont außerdem Aufzeichnungen:
„Kompetenzaufzeichnungen führen: Klausel 7.2 erwartet, dass Sie dokumentierte Informationen als Nachweis der Kompetenz aufbewahren.“
Das bedeutet: Das Schulungsprogramm muss mit einer Rollen-Risiko-Matrix beginnen.
| Rollengruppe | Schulungsschwerpunkt | Aufzubewahrende Nachweise | Compliance-Wert |
|---|---|---|---|
| Alle Mitarbeiter | Phishing, Passwortsicherheit, MFA, zulässige Nutzung, Gerätesicherheit, Vorfallsmeldung | Abschlussbericht, Quiz-Ergebnis, Richtlinienbestätigung, Inhaltsversion | ISO/IEC 27001:2022 Klausel 7.3, ISO/IEC 27002:2022 Maßnahme 6.3, NIS2 Article 21 |
| Führungskräfte und Leitungsorgan | Governance von Cyberrisiken, Pflichten nach NIS2 Article 20, DORA-Aufsicht, Risikobereitschaft, Krisenentscheidungen | Teilnahmeaufzeichnung, Unterlagen für das Leitungsorgan, Sitzungsprotokoll, Programmgenehmigung | NIS2 Article 20, DORA Article 5, Führungsnachweis nach ISO/IEC 27001:2022 |
| Entwickler | sichere Programmierung, OWASP Top 10, sicherer SDLC, API-Sicherheit, Umgang mit Schwachstellen, Werkzeuge zum Management von Geheimnissen | Modulabschluss, Laborergebnisse, Checkliste für sichere Programmierung, Abhilfenachweise | ISO/IEC 27002:2022 Maßnahmen 8.25 und 8.28, DORA-Erwartungen an IKT-Risiken |
| IT- und Systemadministratoren | Privileged Access Management, Protokollierung, Schwachstellenmanagement, Backup-Wiederherstellung, Änderungskontrolle, Härtung | Abschlussaufzeichnung, Verbindung zur Berechtigungsüberprüfung, Teilnahme an Tabletop-Übungen | ISO/IEC 27002:2022 Maßnahmen 8.8 und 8.13, DORA-Resilienzbereitschaft |
| HR | Vertraulichkeit, Onboarding und Offboarding, Disziplinarverfahren, Umgang mit besonderen Kategorien personenbezogener Daten | HR-Schulungsaufzeichnung, Onboarding-Checkliste, Richtlinienbestätigung | GDPR-Rechenschaftspflicht, personenbezogene Maßnahmen nach ISO/IEC 27002:2022 |
| Finanzbereich | Zahlungsbetrug, Lieferanten-Impersonation, Funktionstrennung, Eskalation verdächtiger Anfragen | Abschluss gezielter Module, Ergebnisse von Phishing-Simulationen | Reduzierung des Betrugsrisikos, Vorfallsbereitschaft nach NIS2 und DORA |
| Kundensupport | Identitätsprüfung, sichere Ticketbearbeitung, Schutz personenbezogener Daten, Eskalationswege | Abschluss rollenspezifischer Module, Stichprobe aus Ticketprüfungen, Datenschutzbestätigung | Rechenschaftspflicht von Auftragsverarbeitern nach GDPR, Kundenvertrauen |
| Incident Handler | Klassifizierung, Eskalation, Sicherung von Beweismitteln, regulatorische Meldefristen, Lessons Learned | Übungsaufzeichnung, Szenariobericht, Rollenzuweisung, Aufgabenverfolgungssystem | NIS2 Article 23, DORA Articles 17 to 19, Vorfallsmaßnahmen nach ISO/IEC 27002:2022 |
| Auftragnehmer mit Systemzugriff | zulässige Nutzung, Meldekanal, Datenverarbeitung, Zugriffsbedingungen | Bestätigung durch Auftragnehmer, Onboarding-Aufzeichnung, Verbindung zur Zugriffsgenehmigung | Lieferantensicherung, Zugriffsgovernance, Einhaltung vertraglicher Anforderungen |
Diese Matrix ist nicht nur ein Schulungsplan. Sie ist eine Compliance-Landkarte, die zeigt, warum unterschiedliche Personengruppen unterschiedliche Schulungen erhalten.
Schulung mit der Kontrollkette verbinden
In Zenith Controls wird ISO/IEC 27002:2022 Maßnahme 6.3, Sensibilisierung, Ausbildung und Schulung zur Informationssicherheit, als präventive Kontrolle eingestuft, die Vertraulichkeit, Integrität und Verfügbarkeit unterstützt. Ihr Cybersicherheitskonzept ist Protect, ihre operative Fähigkeit ist Human Resource Security, und ihre Sicherheitsbereiche sind Governance und Ecosystem.
Die Cross-Compliance-Interpretation von Zenith Controls ist direkt:
„Maßnahme 6.3 adressiert das NIS2-Mandat für Sicherheitsschulung und Sensibilisierung durch die Umsetzung eines strukturierten Sensibilisierungsprogramms, das Cyberhygiene, neu auftretende Bedrohungen und Verantwortlichkeiten des Personals abdeckt.“
Dieselbe Zuordnung verbindet ISO/IEC 27002:2022 Maßnahme 6.3 mit GDPR-Erwartungen an Mitarbeiter, die personenbezogene Daten verarbeiten, mit rollenbezogener DORA-IKT-Sicherheitsschulung sowie mit NIST SP 800-53 Rev.5 AT-2, AT-3 und AT-4 für Basisschulung und Sensibilisierung, rollenbasierte Schulung und Schulungsaufzeichnungen.
Der zentrale Punkt ist: Maßnahme 6.3 steht nicht isoliert. Zenith Controls verknüpft sie mit ISO/IEC 27002:2022 Maßnahme 5.2, Rollen und Verantwortlichkeiten in der Informationssicherheit, weil Rollen bestimmen, wer welche Schulung benötigt. Sie wird mit Maßnahme 6.8, Meldung von Informationssicherheitsereignissen, verbunden, weil Mitarbeiter nicht melden können, was sie nicht erkennen. Außerdem wird sie mit Maßnahme 5.36, Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit, verknüpft, weil Compliance davon abhängt, dass Personen die Regeln kennen.
Daraus entsteht eine praktische Kontrollkette:
- Verantwortlichkeiten definieren.
- Basis- und rollenbasierte Schulung zuweisen.
- Abschluss nachweisen.
- Verständnis prüfen.
- Einhaltung überwachen.
- Lücken beheben.
- Lessons Learned in Risikobehandlung und Managementbewertung zurückführen.
Dies ist für NIS2 relevant, weil Article 21 Risikoanalyse, Richtlinien, Behandlung von Informationssicherheitsvorfällen, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, sichere Beschaffung und Wartung, Bewertung der Kontrollwirksamkeit, Cyberhygiene und Schulung, Kryptografie, HR-Sicherheit, Zugriffskontrolle, Asset-Management sowie MFA oder sichere Authentifizierung verlangt, soweit angemessen.
Es ist für DORA relevant, weil Governance, Vorfallmanagement, Reaktion und Wiederherstellung, Drittparteienrisiko und Resilienztests nur funktionieren, wenn Personen bereits vor dem Vorfall wissen, was zu tun ist.
Das auditbereite Nachweispaket aufbauen
Ein reifes Nachweispaket enthält mehr als Teilnahmelisten. Es zeigt Governance, Konzeption, Durchführung, Abschluss, Wirksamkeit und Verbesserung. Clarysec empfiehlt eine Struktur mit sechs Ordnern.
| Nachweisordner | Inhalt | Bedeutung |
|---|---|---|
| 01 Governance | Freigegebene Richtlinie, Schulungsziele, Managementfreigabe, Budget, Jahresplan | Belegt Führungsverpflichtung und Aufsicht |
| 02 Rollenzuordnung | Rolleninventar, Kompetenzmatrix, Regeln für Schulungszuweisung, Geltungsbereich für Auftragnehmer | Belegt risikobasierte und rollenbasierte Konzeption |
| 03 Schulungsinhalte | Kursunterlagen, LMS-Module, Phishing-Vorlagen, Sicherheitsbulletins, Versionshistorie | Zeigt, was tatsächlich vermittelt wurde |
| 04 Abschlussaufzeichnungen | LMS-Exporte, HRIS-Aufzeichnungen, Teilnahmelisten, Quiz-Ergebnisse, Bestätigungen | Belegt Teilnahme und aufbewahrte dokumentierte Information |
| 05 Wirksamkeitsnachweise | Kennzahlen aus Phishing-Simulationen, Interviewergebnisse, Trends bei der Vorfallsmeldung, Ergebnisse von Tabletop-Übungen | Zeigt, ob Schulung Verhalten verändert hat |
| 06 Verbesserung | Korrekturmaßnahmen, aktualisierte Module, Lessons Learned, Eingaben für die Managementbewertung | Belegt kontinuierliche Verbesserung |
Die Clarysec-Unternehmensrichtlinie verlangt Onboarding, jährliche Auffrischungsschulung und rollenbasierte Module. Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit, Governance-Anforderungen, Klausel 5.1.1.2, legt fest:
„Onboarding, jährliche Auffrischungsschulung und rollenbasierte Schulungsmodule einschließen“
Dieselbe Richtlinie weist die Nachweisverantwortung zu. Governance-Anforderungen, Klauseln 5.3.1 und 5.3.1.1, legen fest:
„Der CISO oder seine beauftragte Person muss führen:“
„Abschlussaufzeichnungen für jeden Benutzer“
Für SMEs ergänzt die SME-Richtlinie einen pragmatischen Rhythmus. Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit - SME, Anforderungen an die Umsetzung der Richtlinie, Klausel 6.1.1, legt fest:
„Materialien müssen praxisnah, rollengerecht und jährlich aktualisiert werden.“
Sie behandelt auch durch Änderungen ausgelöste Schulungen. Klausel 6.5.1 legt fest:
„Wenn sich Rollen ändern oder Systeme eingeführt werden, kann gezielte Sensibilisierungsschulung erforderlich sein, z. B. zu sicherer Dateifreigabe, neuen Anforderungen an Datenschutz und Datenminimierung.“
Diese Klausel ist 2026 besonders wichtig, weil Cloud-Migrationen, KI-Werkzeuge, neue Zahlungsintegrationen, neue Auftragsverarbeiter und Änderungen der regulatorischen Berichterstattung Risiken schneller verändern können als ein Jahreszyklus.
Ein einwöchiger Rettungsplan vor dem Audit
Betrachten wir einen SaaS- oder FinTech-Anbieter mit 180 Personen, der sich auf ein ISO/IEC 27001:2022-Überwachungsaudit, DORA-Kunden-Due-Diligence, eine GDPR-Rechenschaftsprüfung und NIS2-getriebene Kundenfragen vorbereitet. Der CISO hat eine Woche, um generische Abschlussaufzeichnungen in ein belastbares Nachweispaket zu überführen.
Tag 1: Geltungsbereich und Verpflichtungen bestätigen
Nutzen Sie ISO/IEC 27001:2022 Klauseln 4.1 bis 4.4, um Kontext, interessierte Parteien und ISMS-Geltungsbereich zu bestätigen. Erfassen Sie vertragliche Kundenverpflichtungen, GDPR-Verpflichtungen als Verantwortlicher oder Auftragsverarbeiter, NIS2-Erwartungen kritischer Kunden und DORA-bezogene IKT-Lieferanten-Due-Diligence-Anfragen.
Übersetzen Sie diese Verpflichtungen anschließend in Schulungsbedarfe. GDPR verlangt, dass Personal, das personenbezogene Daten verarbeitet, Vertraulichkeit, Minimierung, Aufbewahrung und Eskalation von Datenschutzverletzungen versteht. NIS2 verlangt Cyberhygiene, Mitarbeiterschulung und Managementaufsicht. DORA-getriebene Kunden erwarten Nachweise, dass Teams, die kritische Services unterstützen, Vorfalleskalation, Resilienz, Zugriffskontrolle, Backup und Wiederherstellung sowie Drittparteienkoordination verstehen.
Tag 2: Rollenbasierte Matrix aufbauen
Nutzen Sie die Leitlinien in Zenith Blueprint und die Zuordnungen in Zenith Controls für ISO/IEC 27002:2022 Maßnahmen 5.2 und 6.3. Beziehen Sie Mitarbeiter, Auftragnehmer, privilegierte Benutzer, Entwickler, Supportteams, HR, Finanzbereich, Führungskräfte und Incident Handler ein.
Verknüpfen Sie jede Rolle mit Systemen und Risiken. Entwickler erhalten sichere Programmierung und Umgang mit Schwachstellen. Supportteams erhalten Identitätsprüfung und sichere Ticketbearbeitung. Der Finanzbereich erhält Zahlungsbetrug und Prüfung von Lieferantenänderungen. Führungskräfte erhalten Governance, rechtliche Rechenschaftspflicht, Risikobereitschaft und Krisenentscheidungsfindung.
Tag 3: Richtlinie und Zuweisungen ausrichten
Übernehmen oder aktualisieren Sie die passende Clarysec-Richtlinie. Nutzen Sie die SME-Richtlinie für ein schlankes Betriebsmodell oder die Unternehmensrichtlinie für stärkere Governance und Nachweisverantwortung. Bestätigen Sie, dass die Richtlinie Onboarding, jährliche Auffrischungen, rollenbasierte Module, Nachweisaufbewahrung, Abdeckung von Auftragnehmern und durch Änderungen ausgelöste Schulung umfasst.
Veröffentlichen Sie die Richtlinie, holen Sie Bestätigungen ein und verknüpfen Sie Schulungsmodule mit Jobfamilien im HRIS oder LMS.
Tag 4: Gezielte Schulung durchführen
Schulen Sie nicht alle zu allem. Schulen Sie alle zu Basiskontrollen und weisen Sie anschließend rollenspezifische Module zu.
Das Basismodul sollte Phishing und Social Engineering, Passwortsicherheit und MFA, zulässige Nutzung, sicheren Umgang mit Informationen, Kanäle zur Vorfallsmeldung, Meldung verlorener Geräte und Datenschutzgrundlagen abdecken.
Rollenspezifische Module sollten den sicheren SDLC für Entwickler, privilegierten Zugriff und Backup-Wiederherstellung für IT, Mitarbeiterdaten für HR, Zahlungsbetrug für den Finanzbereich, Vorfallklassifizierung für Incident Handler sowie NIS2- und DORA-Governance für Führungskräfte abdecken.
Tag 5: Nachweise exportieren und validieren
Erstellen Sie das Nachweispaket mit sechs Ordnern. Exportieren Sie Abschlussberichte, Quiz-Ergebnisse, Kursversionsnummern, Richtlinienbestätigungen und Schulungspläne. Identifizieren Sie Nichtabschlüsse und eröffnen Sie Korrekturmaßnahmen.
Prüfen Sie anschließend das Verständnis durch Interviews. Fragen Sie Mitarbeiter aus unterschiedlichen Abteilungen:
- Welche Sicherheitsschulung haben Sie abgeschlossen?
- Wie melden Sie eine verdächtige E-Mail?
- Was würden Sie tun, wenn Sie einen Laptop verlieren?
- Wo finden Sie die Informationssicherheitsleitlinie?
- Welche personenbezogenen Daten verarbeiten Sie in Ihrer Rolle?
Dokumentieren Sie die Ergebnisse als Stichprobe des internen Audits. Auditoren nutzen häufig Interviews, um zu verifizieren, ob Sensibilisierung tatsächlich verankert ist und nicht nur bereitgestellt wurde.
Tag 6: Schulung mit Incident Response verknüpfen
Nutzen Sie Schulung zur Vorfallsmeldung als Brücke zu ISO/IEC 27002:2022 Maßnahme 6.8, NIS2 Article 23 und DORA Articles 17 to 19.
NIS2 Article 23 verlangt gestufte Meldungen bei erheblichen Vorfällen, einschließlich einer Frühwarnung innerhalb von 24 Stunden nach Kenntniserlangung, einer Meldung innerhalb von 72 Stunden und eines Abschlussberichts innerhalb eines Monats. DORA verlangt, dass schwerwiegende IKT-bezogene Vorfälle über den erforderlichen Meldelebenszyklus klassifiziert, eskaliert, kommuniziert und gemeldet werden.
Mitarbeiter müssen rechtliche Fristen nicht auswendig kennen, aber sie müssen vermutete Vorfälle schnell genug melden, damit die Organisation diese Fristen einhalten kann.
In Zenith Blueprint, Controls in Action, Schritt 16: People Controls II, stellt Clarysec fest:
„Ein wirksames Incident-Response-System beginnt nicht mit Werkzeugen, sondern mit Menschen.“
Das ist keine weiche Empfehlung. Es ist operationale Resilienz.
Tag 7: Auditnarrativ vorbereiten
Das abschließende Auditnarrativ sollte kurz und nachweisgestützt sein:
„Wir haben Schulungsbedarfe auf Grundlage von ISMS-Rollen, gesetzlichen und vertraglichen Verpflichtungen, Ergebnissen der Risikobeurteilung und Systemzugriff identifiziert. Wir haben Basis- und rollenbasierte Module über das LMS zugewiesen. Wir haben Abschlussaufzeichnungen, Quiz-Ergebnisse, Inhaltsversionen und Bestätigungen aufbewahrt. Wir haben die Wirksamkeit durch Phishing-Simulationen, Interviews und Kennzahlen zur Vorfallsmeldung geprüft. Nichtabschluss wird als Korrekturmaßnahme verfolgt. Das Management bewertet das Programm jährlich und nach wesentlichen Änderungen.“
Durch Nachweise gestützt, hält dieses Narrativ Fragen in ISO/IEC 27001:2022-Audits, NIS2-Governance-Prüfungen, DORA-Kunden-Due-Diligence, GDPR-Rechenschaftsprüfungen und NIST-orientierten Kontrollbewertungen stand.
Cross-Compliance-Zuordnung für Sensibilisierung und Schulung zur Informationssicherheit
Security Awareness wird häufig fälschlich als HR-Aufgabe eingeordnet. In der Praxis ist sie eine Cross-Compliance-Kontrolle, die Governance, Risikomanagement, Datenschutz, Incident Response, Lieferantensicherung und Resilienz berührt.
| Rahmenwerk oder Regulierung | Relevanz der Schulung | Clarysec-Umsetzungspunkt |
|---|---|---|
| ISO/IEC 27001:2022 | Kompetenz, Bewusstsein, Führung, Rollenzuweisung, dokumentierte Information, Überwachung, internes Audit und Verbesserung | Zenith Blueprint Schritt 5 und Schritt 15, Richtlinienklauseln zu Onboarding, jährlichen Auffrischungen, rollenbasierter Schulung und Nachweisen |
| ISO/IEC 27002:2022 | Maßnahme 6.3 Sensibilisierung, Ausbildung und Schulung, verknüpft mit 5.2 Rollen, 6.8 Ereignismeldung und 5.36 Überwachung der Einhaltung | Zenith Controls ordnet Attribute, zugehörige Maßnahmen, Auditerwartungen und rahmenwerksübergreifende Ausrichtung zu |
| NIS2 | Managementschulung, Mitarbeiterschulung zu Cybersicherheit, Cyberhygiene, Vorfallsbereitschaft und Governance-Rechenschaftspflicht | Modul für das Leitungsorgan, Mitarbeiter-Basismodul, Modul zur Vorfallsmeldung, Nachweis der Managementgenehmigung |
| DORA | IKT-Governance, Managementaufsicht, Lernen und Weiterentwicklung, Vorfalleskalation, Resilienztests und Erwartungen an Drittparteien | Führungskräfteschulung, IKT-Rollenmodule, Schulung für Incident Handler, lieferantenorientiertes Nachweispaket |
| GDPR | Rechenschaftspflicht, sichere Verarbeitung, Datenschutzbewusstsein nach Rolle, Erkennen von Datenschutzverletzungen und Umgang mit personenbezogenen Daten | Datenschutzschulung für HR, Support, Vertrieb, Engineering und Incident-Teams |
| NIST CSF 2.0 | GOVERN-Funktion, Rollen, Richtlinien, rechtliche Verpflichtungen, Aufsicht, Profile und Verbesserungsplanung | Ist- und Zielprofil für Schulung, Lückenregister und priorisierter Maßnahmenplan |
| NIST SP 800-53 Rev.5 | Sensibilisierungsschulung, rollenbasierte Schulung und Schulungsaufzeichnungen | Zuordnung zu AT-2, AT-3 und AT-4 über Zenith Controls |
| COBIT 2019-informierte Assurance | Governance-Ziele, Rechenschaftspflicht, Fähigkeit, Leistungskennzahlen und Managementberichterstattung | Schulungs-KPIs, Rollenverantwortung, Managementbewertung und Abschluss von Korrekturmaßnahmen |
NIST CSF 2.0 ist besonders nützlich für Organisationen, die Reifegrad gegenüber Nicht-ISO-Stakeholdern erklären müssen. Die Methode der Organizational Profiles unterstützt die Planung von Ist- und Zielzuständen. Ein Current Profile kann beispielsweise festhalten, dass Basis-Awareness vorhanden ist, aber Schulung für sichere Programmierung bei Entwicklern unvollständig ist. Ein Target Profile kann verlangen, dass alle Entwickler bis Q3 Schulung zu sicherer Programmierung, Offenlegung von Schwachstellen und Management von Geheimnissen abschließen.
Wie Auditoren und Aufsichtsbehörden Schulungsnachweise prüfen
Unterschiedliche Prüfer stellen unterschiedliche Fragen, aber alle prüfen dieselbe Wahrheit: Weiß die Organisation, was Menschen tun müssen, und kann sie nachweisen, dass Menschen darauf vorbereitet sind?
Ein ISO/IEC 27001:2022-Auditor wird Schulungsnachweise mit den Klauseln 5.3, 7.2, 7.3, 7.5, 9.1, 9.2, 10.1 und 10.2 sowie Annex A-Maßnahmen verbinden. Erwarten Sie Fragen dazu, wie Kompetenzanforderungen bestimmt wurden, wie Mitarbeiter die Informationssicherheitsleitlinie kennen, wie neue Mitarbeiter und Auftragnehmer geschult werden, wie Nichtabschluss behandelt wird, wie rollenbasierte Schulung mit der Risikobeurteilung und der Anwendbarkeitserklärung (SoA) verbunden ist und wie Wirksamkeit bewertet wird.
Zenith Controls weist darauf hin, dass Auditoren, die ISO/IEC 19011:2018 verwenden, Lehrplan, Zeitpläne, Materialien, Teilnahmelisten, Abschlusszertifikate und Trainerkompetenz prüfen. Außerdem können ISO/IEC 27007:2020-Auditoren Interviews nutzen, um festzustellen, ob Mitarbeiter wissen, wie Vorfälle zu melden sind, und ob sie zentrale Schulungsbotschaften wiedergeben können.
Eine NIS2-orientierte Prüfung wird über Abschlussquoten hinausgehen. Sie wird fragen, ob das Leitungsorgan Maßnahmen zum Management von Cybersicherheitsrisiken genehmigt und überwacht hat, ob das Management geschult wurde, ob Cyberhygiene-Schulung für Personal regelmäßig erfolgt und ob Vorfallsmeldung verstanden wird. Article 21 verlangt außerdem Verfahren zur Bewertung der Wirksamkeit von Maßnahmen zum Management von Cybersicherheitsrisiken; daher werden Phishing-Kennzahlen, Trends bei der Vorfallsmeldung und Audit-Feststellungen zu Nachweisen der Kontrollwirksamkeit.
Eine DORA-Prüfung, insbesondere durch einen Finanzkunden, der einen IKT-Anbieter bewertet, konzentriert sich auf operationale Resilienz. Erwarten Sie Fragen zu Personal, das kritische Finanzdienstleistungen unterstützt, zu Schulungsaufzeichnungen für Teams, die Zahlungssysteme betreiben, zu Managementschulung über IKT-Drittparteienrisiken, zur Vorfallklassifizierung nach DORA Article 18 und zur Schulung von Auftragnehmern für den Zugriff auf Kundenumgebungen.
Eine GDPR-Prüfung konzentriert sich auf Rechenschaftspflicht. Die Organisation muss zeigen, dass Personal, das personenbezogene Daten verarbeitet, rechtmäßige Verarbeitung, Vertraulichkeit, Minimierung, Aufbewahrung, sicheren Umgang und Eskalation von Datenschutzverletzungen versteht. Für SaaS-, FinTech- und Managed-Service-Anbieter sind Schulungsnachweise Teil des Nachweises, dass Datenschutzanforderungen in operatives Verhalten eingebettet sind.
Kennzahlen, die Kontrollwirksamkeit belegen
Abschluss ist erforderlich, aber nicht ausreichend. Ein stärkeres Dashboard für 2026 zeigt, ob Schulung Verhalten verbessert hat.
| Kennzahl | Aussage | Auditinterpretation |
|---|---|---|
| Abschluss nach Rolle | Ob zugewiesene Personengruppen erforderliche Module abgeschlossen haben | Grundlegende Einhaltung und Abdeckung |
| Abschluss neuer Mitarbeiter innerhalb der Zielvorgabe | Ob Onboarding-Kontrollen funktionieren | Reifegrad von HR und Zugriffsgovernance |
| Abschluss der Schulung privilegierter Benutzer | Ob Benutzer mit hohem Risiko vorbereitet sind | Risikobasierte Priorisierung |
| Klick- und Meldequote in Phishing-Simulationen | Ob sich Verhalten verbessert | Wirksamkeit der Sensibilisierung |
| Vorfallsmeldungen durch Mitarbeiter | Ob Personen Ereignisse erkennen und melden | Verbindung zur Vorfallsbereitschaft |
| Zeit von verdächtiger E-Mail bis zur Meldung | Ob Meldungen regulatorische Fristen unterstützen | NIS2- und DORA-Bereitschaft |
| Wiederholter Nichtabschluss | Ob Durchsetzung und Eskalation funktionieren | Überwachung der Einhaltung |
| Schulungsaktualisierungen nach Vorfällen oder Änderungen | Ob Lessons Learned Verbesserungen auslösen | Kontinuierliche Verbesserung |
Diese Kennzahlen unterstützen ISO/IEC 27001:2022 Klausel 9.1 für Überwachung und Messung, Klausel 9.2 für internes Audit, Klausel 10.1 für kontinuierliche Verbesserung und Klausel 10.2 für Nichtkonformität und Korrekturmaßnahmen. ISO/IEC 27002:2022 Maßnahme 5.36 verstärkt, dass die Einhaltung von Richtlinien, Regeln und Standards überwacht, bewertet und nachgebessert werden muss.
Häufige Feststellungen, die Clarysec in Audits sieht
Dieselben Schwächen treten immer wieder auf.
Organisationen schulen Mitarbeiter, vergessen aber Führungskräfte. Unter NIS2 und DORA ist Managementschulung Teil der Governance, kein Reifebonus.
Organisationen führen jährliche Schulungen durch, ignorieren aber Rollenänderungen. Ein Supportingenieur, der in DevOps wechselt, benötigt Schulung zu privilegiertem Zugriff, Protokollierung, Backup und Vorfalleskalation.
Organisationen beziehen Mitarbeiter ein, vergessen aber Auftragnehmer. Zenith Blueprint Schritt 15 empfiehlt, Schulungen auf Auftragnehmer oder Dritte auszuweiten, die Zugriff auf Systeme oder Daten haben.
Organisationen lehren Vorfallsmeldung, erzeugen aber Angst. Wenn Personal glaubt, für das Anklicken eines Phishing-Links bestraft zu werden, bleibt es möglicherweise still. Zenith Blueprint Schritt 16 betont einfache Meldekanäle, durch Sensibilisierung gestützte Meldungen und eine Kultur ohne Schuldzuweisung.
Organisationen können Inhaltsversionierung nicht nachweisen. Wenn ein Auditor fragt, was Mitarbeiter im März abgeschlossen haben, reicht der aktuelle Foliensatz auf SharePoint nicht aus. Bewahren Sie die ausgelieferte Version auf.
Organisationen verbinden Schulung nicht mit Risikobehandlung. Wenn Ransomware, Zahlungsbetrug, fehlerhafte Cloud-Konfiguration oder Datenabfluss ein Top-Risiko sind, sollte der Schulungsplan eine gezielte Behandlung für die relevanten Rollen zeigen.
Wo Clarysec unterstützt
Clarysec hilft Organisationen, ein belastbares Programm aufzubauen statt fünf voneinander getrennte Compliance-Spuren.
Die Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit - SME gibt kleineren Organisationen eine praxistaugliche Basis: rollenbasierte Erwartungen, dokumentierte Aufzeichnungen, jährliche Aktualisierungen, durch Änderungen ausgelöste Schulung und Aufbewahrung für mindestens drei Jahre.
Die unternehmensweite Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit gibt größeren Organisationen stärkere Governance: strukturierte risikoorientierte Sensibilisierung, Onboarding, jährliche Auffrischungen, rollenbasierte Module, CISO-Verantwortung für Aufzeichnungen und Vorbereitung auf regulatorische Prüfungen nach GDPR, DORA und NIS2.
Zenith Blueprint zeigt Umsetzungsteams, was in welcher Reihenfolge zu tun ist. Schritt 5 verankert Kompetenz und Bewusstsein in der ISMS-Grundlage. Schritt 15 operationalisiert ISO/IEC 27002:2022 Maßnahme 6.3 mit jährlicher Schulung, rollenspezifischen Modulen, Onboarding, Phishing-Simulationen, Teilnahmenachweisen, gezielten Bulletins, Auftragnehmerschulung und Verhaltensverstärkung. Schritt 16 verbindet Sensibilisierung mit personenbezogener Vorfallsmeldung.
Zenith Controls liefert Compliance-Teams die Querverknüpfung. Es verbindet ISO/IEC 27002:2022 Maßnahme 6.3 mit Rollen, Ereignismeldung, Überwachung der Einhaltung, menschenbezogenen Risiken nach ISO/IEC 27005:2024, GDPR-Schulungserwartungen, NIS2 Article 21, DORA-IKT-Schulung, NIST-Awareness-Kontrollen und Auditmethodiken. Außerdem verbindet es Maßnahme 5.2 mit Governance-Verantwortlichkeiten und Maßnahme 5.36 mit Überwachung der Einhaltung und Korrekturmaßnahmen.
Zusammen ermöglichen diese Ressourcen einem CISO nicht nur zu erklären, welche Schulung stattgefunden hat, sondern warum sie stattgefunden hat, wer sie verlangt hat, welches Risiko sie behandelt hat, wie sie nachgewiesen wurde und wie sie verbessert wird.
Nachweise für Sicherheitsschulung jetzt auditbereit machen
Wenn Ihre aktuellen Nachweise aus einer Tabelle, einem Foliensatz und der Hoffnung bestehen, dass Mitarbeiter sich an die Meldeadresse erinnern, ist jetzt der Zeitpunkt, sie zu professionalisieren.
Beginnen Sie diese Woche mit vier Maßnahmen:
- Erstellen Sie eine rollenbasierte Schulungsmatrix, die mit ISMS-Verantwortlichkeiten, Systemzugriff und regulatorischen Verpflichtungen verknüpft ist.
- Übernehmen oder aktualisieren Sie Ihre Clarysec-Awareness-Richtlinie mit der Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit - SME oder der Richtlinie zur Sensibilisierung und Schulung zur Informationssicherheit.
- Erstellen Sie das Nachweispaket mit sechs Ordnern für Governance, Rollenzuordnung, Inhalte, Abschluss, Wirksamkeit und Verbesserung.
- Nutzen Sie Zenith Blueprint und Zenith Controls, um Schulungsnachweise den Auditerwartungen aus ISO/IEC 27001:2022, NIS2, DORA, GDPR und NIST zuzuordnen.
Security Awareness ist wertvoll, wenn sie Verhalten verändert. Compliance-Nachweise sind wertvoll, wenn sie dieses Verhalten konsistent belegen.
Clarysec hilft Ihnen, beides aufzubauen.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
