Pflichttraining oder Lernwirkung? : Wie HR Cybersicherheit nach NIS2 sinnvoll verankert

Mit der NIS2-Richtlinie verschiebt sich der Blick auf Cybersicherheit deutlich. Sie ist nicht länger ausschließlich ein technisches Fachthema, sondern wird zur unternehmensweiten Aufgabe. Artikel 21 g der NIS2-Richtlinie verpflichtet Unternehmen dazu, Mitarbeitende regelmäßig zu schulen und für sicherheitsrelevantes Verhalten zu sensibilisieren. Damit rückt Cybersicherheit unmittelbar in den Verantwortungsbereich von HR und Learning & Development.

Für Personalverantwortliche stellt sich jedoch weniger die Frage, ob geschult werden muss, sondern wie die notwendigen Cybersicherheitstrainings effektiv in die bestehenden Lernpfade integriert werden können – ohne dass sie als lästige Pflicht angesehen werden.

Der Faktor Mensch

Der Mensch ist nach wie vor der primäre Risikofaktor – nicht nur wegen mangelnden Wissens, sondern vor allem aufgrund von falschem Verhalten und Einschätzungen in Situationen. Laut dem aktuellen “State of Human Risk”-Report von Mimecast sind 95 Prozent aller Sicherheitsvorfälle auf menschliches Verhalten zurückzuführen. Phishing, Social Engineering und der unachtsame Umgang mit Zugangsdaten gehören weiterhin zu den häufigsten Ursachen erfolgreicher Angriffe.

Gleichzeitig nimmt die Komplexität dieser zu. Der Phishing-by-Industry-Benchmarking-Report von KnowBe4 zeigt für 2025 einen Anstieg von Phishing-Angriffen um mehr als 17 Prozent. Über 80 Prozent der Phishing-Mails enthalten inzwischen KI-generierte Inhalte, was ihre Erkennbarkeit weiter erschwert. Diese Entwicklung macht deutlich: Klassische Awareness-Ansätze stoßen zunehmend an ihre Grenzen.

Warum klassische Pflichtschulungen oft scheitern

Trotz dieser Entwicklung setzen viele Organisationen weiterhin auf standardisierte Pflicht-E-Learnings. Diese erfüllen zwar formale Anforderungen, bleiben in ihrer Wirkung jedoch begrenzt. Der Grund liegt selten im fehlenden Wissen der Mitarbeitenden. Die meisten kennen grundlegende Sicherheitsregeln. Entscheidend ist vielmehr, wie unter Zeitdruck, in Routinen oder in Zielkonflikten gehandelt wird. Genau diese Realität bildet ein isoliertes E-Learning kaum ab.

Ein zentrales Problem ist die fehlende Relevanz. Schulungen, die losgelöst vom Arbeitsalltag stattfinden, schaffen kaum Bezug zur eigenen Tätigkeit. Mitarbeitende erkennen nicht, welche Konsequenzen ein falscher Klick im konkreten Kontext haben kann – etwa für Kund*innen, Kolleg*innen oder kritische Geschäftsprozesse. Cybersicherheit bleibt abstrakt.

Hinzu kommt, dass Inhalte häufig zu allgemein gehalten sind. Ein generisches Modul über Phishing mag die Theorie erklären, aber es versäumt, die spezifischen Taktiken und Risiken zu adressieren, denen Mitarbeitende im Marketing oder in der Buchhaltung begegnen, oder wie sich die Sicherheitsmaßnahmen in den konkret genutzten Kollaborationstools (z. B. Slack, Microsoft Teams, firmeneigene CRM-Systeme) verhalten.

Wenn Schweigen gefährlich wird

Ein weiteres, häufig unterschätztes Problem liegt nicht im Fehler selbst, sondern im Umgang damit. Viele Mitarbeitende trauen sich nicht, sicherheitsrelevante Vorfälle zu melden. Eine offene Fehler- und Medienkultur ist jedoch eine wesentliche Voraussetzung, um Risiken frühzeitig zu erkennen und daraus zu lernen.

Die Studie “Cybersecurity in Zahlen” von G DATA CyberDefense, Statista und brand eins zeigt: Nur 36 Prozent der Beschäftigten würden Sicherheitsverstöße oder unsicheres IT-Verhalten aktiv melden. Die Mehrheit zögert aus Unsicherheit über den richtigen Meldeweg, Angst vor negativen Konsequenzen oder hat schlichtweg das Gefühl, “das sei nur ein kleines Versehen”.

Oft ist es aber auch Scham darüber, dass die Risiken nicht erkannt wurden, oder die Angst, als unaufmerksam oder inkompetent dazustehen. Diese Zurückhaltung ist kein individuelles Versagen, sondern Ausdruck organisationeller Rahmenbedingungen. Wo Fehler primär sanktioniert werden, bleiben Vorfälle unsichtbar.

Daher überrascht es wenig, dass laut der TÜV-Cybersecurity-Studie 2025 jedes siebte Unternehmen in Deutschland berichtet, im vergangenen Jahr mindestens einen erfolgreichen Cyberangriff erlebt zu haben. Solange Mitarbeitende aus Unsicherheit schweigen oder Vorfälle nicht melden, bleibt die organisatorische Resilienz gefährdet und die Wirksamkeit der Sicherheitstrainings gering.

Lernen im Arbeitskontext verankern

Wirksamkeit entsteht dort, wo Cybersicherheit in bestehende Lernpfade integriert wird. HR verfügt in den meisten Organisationen bereits über etablierte Lernarchitekturen, etwa im Onboarding, in fachlichen Weiterbildungen oder in der Führungskräfteentwicklung.

Bereits im Onboarding kann Cybersicherheit als selbstverständlicher Teil professionellen Arbeitens vermittelt werden. Neue Mitarbeitende lernen nicht nur Prozesse und Tools kennen, sondern auch den verantwortungsvollen Umgang mit Daten, Zugängen und digitalen Kommunikationswegen. Sicherheit wird so nicht als nachgelagerte Regel erlebt, sondern als Grundlage der eigenen Rolle.

Auch in fachlichen Weiterbildungen entfaltet ein integrierter Ansatz Wirkung. Werden neue Systeme, Tools oder Prozesse eingeführt, sollten Sicherheitsaspekte unmittelbar mitgedacht werden. Lernformate, die Sicherheit im Nutzungskontext vermitteln, erhöhen nachweislich die Anwendbarkeit und Akzeptanz deutlich.

Kontinuität, Feedback und Messbarkeit

Lernen ist kein einmaliges Ereignis, sondern ein Prozess. Ohne regelmäßige Wiederholung, Aktualisierung der Inhalte und vor allem ohne kontinuierliches Feedback, verblasst Wissen schnell. Demgegenüber haben kontinuierliche Awareness-Programme mit regelmäßigen Impulsen und Simulationen messbare Effekte. Analysen von KnowBe4 zeigen, dass Organisationen mit fortlaufenden Trainings ihre Phishing-Klickrate innerhalb von 12 Monaten um mehr als 80 Prozent reduzieren können.

Feedback spielt dabei eine zentrale Rolle. Mitarbeitende müssen erkennen können, wie sich ihr Verhalten entwickelt. Rückmeldungen aus Simulationen oder realen Vorfällen schaffen Transparenz und fördern Lernbereitschaft. Gleichzeitig liefern sie HR belastbare Daten zur Weiterentwicklung der Lernangebote.

Führung als Verstärker von Sicherheitskultur

Auch Führungskräfte haben einen entscheidenden Einfluss. Verhalten im Team orientiert sich stark daran, welche Themen Führungskräfte priorisieren. Wird Cybersicherheit regelmäßig angesprochen und vorgelebt, steigt die Aufmerksamkeit im Alltag. Führungskräfteentwicklung bietet daher einen wichtigen Hebel, um Sicherheitsbewusstsein nachhaltig zu verankern.

Ob Cybersicherheitstrainings als lästige Pflicht wahrgenommen werden, entscheidet sich letztlich an ihrer Einbettung und Kommunikation. Werden sie als Unterstützung verstanden, die den Arbeitsalltag erleichtert und Risiken reduziert, steigt die Akzeptanz deutlich.

Von der Pflicht zur wirksamen Praxis

Artikel 21 g NIS2 setzt den regulatorischen Rahmen. Die Wirkung entsteht in der Umsetzung. Unternehmen, die Cybersicherheit nicht isoliert schulen, sondern systematisch in Lernpfade integrieren, schaffen die Grundlage für nachhaltige Verhaltensänderung. So wird aus einer regulatorischen Pflicht ein wirksamer Beitrag zur organisationalen Resilienz.