Mitarbeiter als größtes NIS2-Risiko: BSI-Monitor 2026

Der BSI-Cybersicherheitsmonitor 2026 zeigt: Nur 14 Prozent informieren sich regelmäßig über Cybersicherheit. Was §30 Abs. 2 Nr. 7 und §38 Abs. 3 BSIG für KMU bedeuten — und wie ein BSI-konformes Awareness-Programm aufgebaut ist.
Mitarbeitende sind das größte NIS2-Risiko: Laut dem BSI-Cybersicherheitsmonitor 2026 informieren sich nur 14 Prozent der Bevölkerung regelmäßig über Cybersicherheit. §30 Abs. 2 Nr. 7 BSIG macht Schulungen daher zur Pflichtmaßnahme. NIS2Compass bündelt im Kapitel "Schulung & Awareness" alle Schritte vom Schulungsplan bis zum revisionssicheren Nachweis.
Was zeigt der BSI-Cybersicherheitsmonitor 2026 konkret?
Der Cybersicherheitsmonitor 2026 ist eine gemeinsame Studie des BSI und des Programms Polizeiliche Kriminalprävention (ProPK). 11 Prozent der Befragten wurden in den letzten zwölf Monaten Opfer einer Internet-Straftat, 88 Prozent berichten von Schäden, 33 Prozent von finanziellen Verlusten. Nur 14 Prozent informieren sich regelmäßig über Cybersicherheit.
Die Studie beruht auf 3.060 Interviews mit Personen ab 16 Jahren. Die Erhebung lief vom 6. bis 12. Januar 2026, gewichtet nach Alter, Geschlecht, Bundesland und Bildung. Die Ergebnisse wurden am 11. Mai 2026 in Stuttgart und Bonn veröffentlicht.
Die häufigsten Tatbestände in der Reihenfolge der Nennungen:
- Betrug beim Onlineshopping
- Betrug beim Onlinebanking
- Fremdzugriffe auf Online-Accounts
- Phishing
Die Wissenslücken in der Bevölkerung sind erheblich. Nur 55 Prozent kennen starke Passwörter als grundlegende Schutzmaßnahme. Lediglich 54 Prozent sind mit Antivirenprogrammen vertraut. 40 Prozent beschäftigen sich nur gelegentlich mit Cybersicherheit. Das bedeutet: Vier von zehn Erwachsenen in Deutschland haben keine systematische Auseinandersetzung mit digitalen Risiken.
BSI-Präsidentin Claudia Plattner ordnet die Ergebnisse so ein: "Cybersicherheit muss im Alltag von Verbraucherinnen und Verbrauchern einfacher, präsenter und verständlicher werden." ProPK-Vorsitzende Dr. Stefanie Hinz ergänzt: "Cyberkriminalität ist längst in der Mitte der Gesellschaft angekommen."
Was bedeutet das für die NIS2-Praxis? Diese Verbraucherinnen und Verbraucher sind dieselben Personen, die werktags Unternehmens-Logins bedienen, geschäftliche E-Mails öffnen und im Auftrag des Arbeitgebers online einkaufen. Die Studie ist daher kein reines Consumer-Thema, sondern ein direkter KMU-Risiko-Indikator.
Wer im Privatleben kein starkes Passwort vergibt, tut es auch im Unternehmens-VPN nicht. Wer Phishing in der privaten Inbox nicht erkennt, erkennt es auch nicht in der Geschäfts-Mail. Für die rund 29.000 von NIS2 betroffenen Unternehmen in Deutschland ist das ein konkretes operatives Problem: Die menschliche Angriffsfläche ist messbar, sie ist groß, und sie ist die häufigste Eintrittspforte für Sicherheitsvorfälle.
Warum macht §30 Abs. 2 Nr. 7 BSIG Awareness zur NIS2-Pflicht?
§30 Abs. 2 Nr. 7 BSIG fordert ausdrücklich "Konzepte und Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit". Damit wird Mitarbeiter-Sensibilisierung zur gesetzlichen Pflichtmaßnahme, nicht zur Best Practice. Wer keine Schulungen nachweisen kann, verstößt gegen das NIS2UmsuCG und riskiert Bußgelder von bis zu 10 Millionen Euro.
Der Wortlaut des §30 BSIG listet Cyberhygiene und Schulungen als Punkt 7 von zehn Mindestmaßnahmen. Dieser Punkt steht gleichrangig neben Risikomanagement, Incident Response und Zugriffskontrollen. Es gibt keine gesetzliche Hierarchie, die technische Maßnahmen über organisatorische stellt. Geschäftsleitungen müssen alle zehn Bereiche dokumentiert umsetzen.
Wichtig ist die Abgrenzung zweier Begriffe, die §30 bewusst nebeneinander nennt. Cyberhygiene beschreibt das Grundverhalten im IT-Alltag und läuft fortlaufend: sichere Passwortpraxis, konsequente MFA-Nutzung, gesperrter Bildschirm beim Verlassen des Arbeitsplatzes, zeitnahe Updates. Awareness-Schulungen sind dagegen strukturierter Wissensaufbau und anlassbezogen, etwa jährliche Pflichtschulungen, Onboarding-Module für neue Mitarbeiter und Refresher nach Sicherheitsvorfällen. Das BSIG fordert beides, nicht das eine oder das andere.
Aus BSI-Sicht gehören in eine vollständige Awareness-Schulung mindestens folgende Inhalte: Erkennung von Phishing und Social Engineering, Passwort- und MFA-Praxis, Umgang mit Wechseldatenträgern, Meldewege bei Sicherheitsverdacht sowie sichere Geräte-Nutzung im Home-Office.
Der Bußgeldrahmen ist erheblich. Nach §60 BSIG drohen wesentlichen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, wobei der jeweils höhere Wert greift. Wichtige Einrichtungen müssen mit bis zu 7 Millionen Euro oder 1,4 Prozent rechnen. Eine detaillierte Übersicht liefert der Beitrag NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.
NIS2Compass-Analysen zeigen, dass Awareness die am häufigsten unterschätzte der zehn §30-Mindestmaßnahmen ist. Gerade weil sie keine technische Infrastruktur erfordert, wird sie von IT-Teams oft an HR delegiert, ohne dass jemand den Gesamtprozess verantwortet. Awareness ist jedoch fester Bestandteil eines funktionierenden Compliance-Programms, wie der Beitrag Brauche ich ein ISMS für NIS2? im Detail beleuchtet.
Welche Pflichten hat die Geschäftsleitung nach §38 Abs. 3 BSIG?
§38 Abs. 3 BSIG verpflichtet die Geschäftsleitung selbst zur regelmäßigen Schulung in Risikomanagement und Cybersicherheit, nicht den IT-Leiter oder den ISB. Diese Pflicht ist nicht delegierbar. Geschäftsleitende haften zudem persönlich nach §38 BSIG für Pflichtverletzungen, die GmbH-Haftungsbeschränkung greift hier nicht.
Der Wortlaut von §38 Abs. 3 BSIG ist eindeutig: Geschäftsleitende müssen "regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit zu erwerben". Der Gesetzgeber hat diese Pflicht bewusst auf der Organ-Ebene verankert, nicht beim IT-Leiter oder ISB.
Bei Pflichtverletzung haftet das Organ persönlich auf Schadenersatz. Anders als bei vielen anderen Pflichten greift die Haftungsbeschränkung der GmbH nicht. Diese Konstruktion ist eine bewusste gesetzgeberische Entscheidung: Cybersicherheit soll Chefsache werden, nicht in der zweiten Reihe versickern. Selbst eine bestehende ISO-27001-Zertifizierung deckt die §38-Schulungspflicht der Geschäftsleitung nicht ab, weil ISO keine vergleichbare Anforderung an Leitungsorgane stellt.
In der Praxis wird genau diese Pflicht regelmäßig übersehen. Viele Geschäftsleitungen halten Awareness für ein operatives IT-Thema und konzentrieren sich auf Mitarbeitenden-Schulungen. Wer aber keinen eigenen Nachweis für die GL-Schulung führt, erfüllt §38 Abs. 3 BSIG nicht, selbst wenn alle Beschäftigten geschult sind.
Anerkannt sind nur dokumentierte Schulungen mit Datum, Inhalt, Dauer, Trainer und Teilnehmerunterschrift. Ein automatisch versendeter E-Mail-Kurs ohne Lernfortschritts- und Teilnahmenachweis reicht dem BSI nicht. Empfohlen ist eine jährliche Pflichtschulung von mindestens zwei Stunden, inhaltlich auf die Organ-Ebene zugeschnitten: Haftung, Berichtspflichten, Eskalationspfade und Meldepflichten nach §32 BSIG.
"Regelmäßig" bedeutet nach Lesart des BSI mindestens einmal jährlich, bei wesentlichen Änderungen der Bedrohungslage oder Organisationsstruktur auch häufiger. Wechselt die Geschäftsleitung, ist die Schulung innerhalb von drei Monaten nach Amtsantritt nachzuholen. Reine Vorstandssitzungen mit IT-Sicherheitsthemen genügen nicht, gefordert ist ein abgrenzbares Schulungsformat mit messbarem Lernziel.
Der NIS2 Guide in NIS2Compass adressiert die Geschäftsleitungs-Schulungspflicht in Kapitel 5, Step 5-3 "Managementhaftung dokumentieren und Schulungspflicht erfüllen", inklusive Substep 5-3-2 und der Vorlage "Schulungsnachweis Leitungsorgane".
Wie sieht ein BSI-konformes Awareness-Programm aus?
Ein BSI-konformes Awareness-Programm hat drei Bausteine: einen Schulungsplan mit Zielgruppenmatrix, jährliche Pflichtschulungen und regelmäßige Phishing-Simulationen. Der NIS2Compass NIS2 Guide führt in Kapitel 8 in drei Steps durch genau diese Struktur. Inklusive fertiger Vorlagen für Schulungsplan und Anwesenheitsliste in der Template Library.
Baustein 1: Der Schulungsplan
Der Schulungsplan ist das Fundament jedes Awareness-Programms und entspricht Guide-Step 8-1. Er definiert die Zielgruppen im Unternehmen: alle Mitarbeitenden, Administratoren, Entwickler, Geschäftsleitung und externe Dienstleister mit Systemzugriff. Je Zielgruppe legen Sie Themen, Frequenz, verantwortliche Rolle und Schulungsformat verbindlich fest.
Der fertige Plan wird der Geschäftsleitung zur Freigabe vorgelegt und jährlich überprüft. Ohne dokumentierten Schulungsplan fehlt der Nachweis gegenüber dem BSI, dass §30 BSIG systematisch umgesetzt wird. Eine entsprechende Vorlage finden Sie in der Template Library.
Baustein 2: Pflichtschulungen durchführen und dokumentieren
Guide-Step 8-2 unterteilt sich in drei Substeps. Substep 8-2-1 adressiert die Geschäftsleitungsschulung nach §38 Abs. 3 BSIG, deren rechtliche Tragweite bereits im vorherigen Abschnitt erläutert wurde. Substep 8-2-2 verlangt jährliche Pflichtschulungen für alle Mitarbeitenden, Onboarding-Schulungen innerhalb der ersten 30 Tage sowie anlassbezogene Refresher nach Sicherheitsvorfällen oder Bedrohungslagen.
Substep 8-2-3 fordert die revisionssichere Archivierung aller Schulungsnachweise. Welche konkreten Anforderungen das BSI an die Nachweisführung stellt, erläutert der folgende Abschnitt.
Baustein 3: Phishing-Simulationen als Wirksamkeitsmessung
Phishing-Simulationen (Guide-Step 8-3) sind das einzige Instrument, mit dem sich die Wirksamkeit des Awareness-Programms objektiv messen lässt. Zwei rechtliche Rahmenbedingungen sind dabei zu beachten: Nach Betriebsverfassungsgesetz unterliegen Simulationen der Mitbestimmung des Betriebsrats. Die DSGVO-konforme Auswertung erfolgt ausschließlich aggregiert, niemals personenbezogen.
Inhaltliche Mindestbausteine nach §30 BSIG
Jedes Awareness-Programm muss inhaltlich fünf Kernthemen abdecken: Phishing- und Social-Engineering-Erkennung, Passwort- und MFA-Praxis, sichere Geräte-Nutzung, Meldewege bei Sicherheitsvorfällen sowie Datenschutz-Basics. Die Tiefe variiert je Zielgruppe, denn Administratoren brauchen anderen Stoff als die Buchhaltung.
Wie weisen Sie Awareness gegenüber dem BSI nach?
Das BSI prüft Awareness anhand von vier Nachweisen: Schulungsplan mit Zielgruppenmatrix, Anwesenheitslisten pro Schulung, Schulungsnachweis-Register und Wirksamkeitsmessung. Fehlt einer dieser Bausteine, gilt die Pflicht nach §30 Abs. 2 Nr. 7 BSIG als nicht erfüllt. Auch wenn Schulungen tatsächlich stattgefunden haben.
Nachweis 1: Schulungsplan. Jährlich aktualisiert, mit Freigabe der Geschäftsleitung. Zeigt: Was wird wann an wen geschult, mit welchem Ziel. Pflicht ist eine Zielgruppenmatrix, die zwischen Standardbelegschaft, IT-Administratoren, Führungskräften und Risikogruppen wie Finanzbuchhaltung oder Einkauf differenziert.
Nachweis 2: Anwesenheitsliste pro Schulung. Datum, Trainer, Teilnehmende mit Unterschrift oder digitaler Bestätigung. Zeigt: Wer war wirklich anwesend, für wen ist die Schulung erbracht. Ohne diese Liste lässt sich die Pflicht aus §30 BSIG nicht belegen, selbst bei vollständiger Schulungsdurchführung.
Nachweis 3: Schulungsnachweis-Register. Zentrales Verzeichnis aller Schulungen, idealerweise als Excel oder im GRC-Tool. Zeigt: Abdeckungsgrad pro Mitarbeitenden über die Zeit, offene Fälle, nächste Fälligkeit. Das Register ist das Kontrolldokument für interne Audits und BSI-Folgegespräche.
Nachweis 4: Wirksamkeitsmessung. Phishing-Klickrate, Test-Quiz nach Schulungen, Stichproben-Befragungen. Zeigt: Ist das Wissen angekommen, sinkt die Klickrate über Quartale? Das BSI erwartet eine messbare Entwicklung, nicht nur die einmalige Durchführung.
Aufbewahrungsfrist: Mindestens fünf Jahre, parallel zur Dokumentationspflicht aus §38 BSIG. Ergänzend gehört ein Audit-Trail dazu, der dokumentiert, wer wann was freigegeben hat und wer für die nächste Schulung verantwortlich ist.
Wie ein Stadtwerk in vier Wochen aus dem Phishing-Vorfall lernte
Ein Stadtwerk mit 130 Mitarbeitenden, betroffen als wesentliche Einrichtung im Sektor Energie, meldete im März 2026 einen Phishing-Vorfall: Eine Mitarbeiterin hatte Zugangsdaten auf einer gefälschten Login-Seite eingegeben. Die Meldung gemäß §32 BSIG erfolgte innerhalb von 24 Stunden.
Im BSI-Folgegespräch kam die Frage nach dem Awareness-Programm. Vorhanden waren vereinzelte E-Mail-Erinnerungen. Nicht vorhanden waren Schulungsplan, Anwesenheitslisten und Register.
In vier Wochen setzte das Team ein vollständiges Awareness-Programm auf, entlang der drei Steps in NIS2Compass Kapitel 8 und mit den dortigen Vorlagen. Beim zweiten Audit-Termin galt die Pflicht als erfüllt.
Wer den eigenen Stand vorab prüfen will, nutzt den kostenlosen Vor-Check von NIS2Compass: Die 18-Screen-Gap-Analyse identifiziert die Awareness-Lücke gemeinsam mit weiteren §30-Maßnahmen in unter 15 Minuten und mappt Ergebnisse direkt auf den NIS2 Guide.
Häufig gestellte Fragen
Muss jeder Mitarbeitende zu Awareness geschult werden?
Ja. §30 Abs. 2 Nr. 7 BSIG kennt keine Ausnahmen. Auch Teilzeitkräfte, Werkstudierende und externe Dienstleister mit Systemzugriff fallen darunter. Die Schulungstiefe darf zielgruppenspezifisch variieren, etwa als Admin-Track, Geschäftsleitungs-Track oder Standard-Track. Die Grundsensibilisierung gilt jedoch für alle Personen mit Zugang zu betroffenen Systemen.
Wie oft müssen Awareness-Schulungen stattfinden?
Das Gesetz nennt keinen festen Turnus. Das BSI empfiehlt mindestens einmal jährlich, ergänzt durch anlassbezogene Schulungen nach Vorfällen oder Bedrohungslage-Updates. Onboarding-Schulungen sollten innerhalb der ersten 30 Tage erfolgen. Auch nach einem Rollenwechsel ist ein Refresher mit angepasstem Inhalt sinnvoll und im Audit nachweisbar.
Reicht E-Learning, oder müssen Schulungen in Präsenz stattfinden?
E-Learning ist zulässig, sofern die Wirksamkeit nachweisbar ist. Üblich sind Abschluss-Quiz, Lernzeiten und Phishing-Folgetests. Reine Newsletter oder PDF-Versand reichen nicht. Das BSI prüft, ob Inhalte beim Mitarbeitenden ankommen, nicht ob sie lediglich verschickt wurden. Präsenz ist nur bei sensiblen Rollen empfehlenswert.
Was prüft das BSI konkret bei Awareness?
Vier Nachweise stehen im Fokus: Schulungsplan, Anwesenheitslisten, Schulungsnachweis-Register und eine Wirksamkeitsmessung wie Phishing-Klickraten. Fehlt einer dieser Belege, gilt die Pflicht nach §30 Abs. 2 Nr. 7 BSIG als nicht erfüllt. Das gilt unabhängig davon, ob Schulungen tatsächlich stattgefunden haben.
Können wir Awareness-Schulungen vollständig outsourcen?
Die Durchführung lässt sich an externe Anbieter delegieren, die Verantwortung für den Prozess bleibt jedoch beim Unternehmen. Geschäftsleitende haften persönlich nach §38 BSIG für die Erfüllung der Schulungspflicht. Das gilt auch dann, wenn ein Dienstleister die Schulungen operativ konzipiert und umsetzt.
Quellen
- BSI-Pressemitteilung "Cyberkriminalität im Alltag" (11.05.2026): bsi.bund.de/Presse2026/260511_Cyberkriminalitaet_im_Alltag
- BSI Cybersicherheitsmonitor 2026 — Kurzbericht (PDF): bsi.bund.de/CyMon-ProPK-BSI_2026_Kurzbericht
- §30 BSIG (Risikomanagementmaßnahmen): gesetze-im-internet.de/bsig_2009/__30
- §38 BSIG (Pflichten der Geschäftsleitungen): gesetze-im-internet.de/bsig_2009/__38
- §60 BSIG (Bußgeldvorschriften): gesetze-im-internet.de/bsig_2009/__60
NIS2 strukturiert umsetzen
NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.
Jetzt startenÄhnliche Artikel
KRITIS-Dachgesetz und NIS2: Was gilt für wen?
Seit Juli 2026 müssen sich rund 2.000 KRITIS-Betreiber zusätzlich zu NIS2 registrieren. Wer NIS2, das KRITIS-Dachgesetz oder beide Regelwerke erfüllen muss – Sektoren, Fristen und Bußgelder im Überblick.
7 Min. Lesezeit
NIS2 ISO 27001 Mapping: Das Excel-Checklist zum Download
ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Das Mapping-Excel zeigt auf einen Blick, was bereits abgedeckt ist — und wo die regulatorische Lücke bleibt.
6 Min. Lesezeit
NIS2 BSI-Registrierung: Frist verpasst — was jetzt?
Die gesetzliche NIS2-Registrierungsfrist ist abgelaufen, doch das BSI setzt eine Nachfrist bis 31. Juli 2026. So holen Sie die Registrierung im BSI-Portal Schritt für Schritt nach.
9 Min. Lesezeit