Auf den Punkt: NIS2 verlangt von Unternehmen, dass Sicherheitsbewusstsein in realen Arbeitssituationen funktioniert und nicht nur theoretisches Wissen bleibt — ein Fokus auf Verhaltensänderung statt Compliance-Nachweise.
Die europäische NIS2-Richtlinie regelt nicht nur technische Schutzmaßnahmen, sondern hebt die Verantwortung der Mitarbeitenden für alltägliche Sicherheitsentscheidungen stärker hervor. Behörden kontrollieren künftig weniger die bloße Dokumentation von Trainings, sondern deren messbare Wirkung auf das Risiko.
Viele Cybersicherheitsvorfälle entstehen nicht durch technische Ausfälle, sondern durch alltägliche Entscheidungen von Beschäftigten unter Zeitdruck. Ein Phishing-Angriff kann wie eine reguläre Nachricht wirken, eine verdächtige Anfrage scheinbar von einer Führungskraft stammen — in diesen Situationen entscheidet das tatsächliche Verhalten, nicht das Schulungswissen.
Die NIS2-Richtlinie berücksichtigt diese Realität, indem sie Anforderungen an Risikomanagement, Governance und Vorfallbehandlung formuliert, die im täglichen Handeln umsetzbar sein müssen. Bislang konzentrierten sich viele Unternehmen auf formale Nachweise: Schulungsteilnahmen wurden dokumentiert, Compliance-Anforderungen galten als erfüllt. Ob das vermittelte Wissen tatsächlich zu sichereren Entscheidungen führte, blieb ungemessen. Mit NIS2 rückt die Wirksamkeit solcher Maßnahmen stärker in den Fokus — nicht die bloße Existenz von Richtlinien, sondern ihre praktische Funktionsfähigkeit in kritischen Situationen zählt.
Regulierungsbehörden interessieren sich zunehmend dafür, ob Sicherheitsmaßnahmen messbare Ergebnisse liefern. Unternehmen gewinnen Erkenntnisse, wenn sie analysieren, wie Mitarbeitende auf simulierte Vorfälle reagieren, welche Unsicherheiten bestehen oder wie schnell potenzielle Risiken gemeldet werden. Solche Informationen zeigen ein deutlich realistischeres Bild der Sicherheitslage als reine Schulungsteilnahmequoten.
Parallel dazu trägt die Unternehmenskultur entscheidend zum Erfolg bei. Mitarbeitende treffen bessere Sicherheitsentscheidungen, wenn sie Fragen stellen können, Unterstützung erhalten und Fehler nicht automatisch sanktioniert werden. Eine offene Kommunikation und klare Meldewege fördern Vertrauen und erhöhen die Wahrscheinlichkeit, dass Sicherheitsvorfälle frühzeitig erkannt werden. Damit wird Sicherheit Teil der täglichen Arbeitsweise — nicht eine zusätzliche Pflicht.
Quelle: www.it-daily.net · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.