Die EU-Richtlinie NIS2 (Network and Information Security) muss bis Oktober in deutsches Recht umgesetzt werden. Damit kommen auf die von der Richtlinie betroffenen Unternehmen zahlreiche Cybersicherheitspflichten zu. Auch Schulungen im Bereich der IT-Sicherheit werden obligatorisch – für Geschäftsleitung und Mitarbeitende. Doch was genau bedeutet diese neue Schulungspflicht und wie lassen sich Cyber Awareness Trainings im Unternehmen ressourcenschonend umsetzen?

NIS2 betrifft über 3.000 Maschinenbauunternehmen in Deutschland und mehr als 9.000 in der Europäischen Union. Die Umsetzung in deutsches Recht muss bis Oktober 2024 erfolgen. Damit verbunden ist ein umfangreicher Pflichtenkatalog, der verschiedene Maßnahmen zur IT-Sicherheit und zum Risikomanagement umfasst. Auch Schulungen werden für die betroffenen Unternehmen verpflichtend. Diese sind daher gut beraten, bereits jetzt ein Cyber Awareness Konzept zu implementieren, das die Mitarbeiterinnen und Mitarbeiter kontinuierlich trainiert.

NIS2 fordert Schulungen im Bereich der Cybersicherheit
Cybersicherheitsschulungen werden in mehreren Artikeln der NIS2-Richtlinie vorgeschrieben. So heißt es in Artikel 20 Abs. 2: „Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“ Auch in Artikel 21 Abs. 2 (g) NIS2 werden Cybersicherheitstrainings explizit als verpflichtende Maßnahme genannt.

Welche Schulungsinhalte hier genau gefordert werden, bleibt abzuwarten, da die konkrete Umsetzung in deutsches Recht noch aussteht. Klar ist jedoch, dass die betroffenen Unternehmen ab der Umsetzung der NIS2 in deutsches Recht ihren Mitarbeitenden regelmäßig Schulungen im Bereich der Cybersicherheit anbieten müssen.

Cyber Awareness Trainings für IT-Sicherheit unverzichtbar
Die neue Schulungsverpflichtung ist nachvollziehbar und sinnvoll. Cyber Awareness Trainings sind ein wichtiger Bestandteil einer ganzheitlichen IT-Sicherheitsstrategie. Viele Angreifer nutzen die Mitarbeitenden als Schwachstelle für Phishing und Betrug – rund 70 Prozent aller Cybervorfälle beginnen mit dem unbedachten Klick auf eine Phishing-Mail. Diese Bedrohung lässt sich durch Maßnahmen wie E-Mail-Gateways oder Sandboxing nur teilweise eliminieren. Studien zeigen, dass selbst die besten technischen IT-Sicherheitslösungen nicht alle Angriffe erkennen. Wer die Cybersicherheit im Unternehmen nachhaltig optimieren will, sollte daher ein Cyber Awareness Konzept einsetzen, das die gesamte Belegschaft kontinuierlich schult.

Das Awareness Konzept sollte neben Trainingseinheiten möglichst auch regelmäßige Phishing-Simulationen mit unterschiedlichen Schwierigkeitsgraden beinhalten. Dabei werden simulierte Betrugs-E-Mails mit präparierten Links oder Anhängen an die Mitarbeitenden verschickt. Im Anschluss wird der Testlauf aufgedeckt, erklärt und bewertet. Diese praktischen Übungen halten die Aufmerksamkeit hoch und führen so zu einer positiven Verhaltensänderung.

VDMA Cyber Awareness für den Maschinen- und Anlagenbau
Um die VDMA-Mitgliedsunternehmen bei der Durchführung von Cybersicherheitsschulungen zu unterstützen, hat die VSMA GmbH im vergangenen Jahr ein entsprechendes Angebot in ihr Portfolio aufgenommen. Der VDMA Cyber Awareness Service ist eine automatisierte Cybersecurity-Plattform, die das gesamte Team bedarfsgerecht und ressourcenschonend trainiert. Eine patentierte Awareness-Engine sensibilisiert die Mitarbeitenden kontinuierlich für aktuelle Angriffsszenarien. Und das ohne großen administrativen Aufwand: Ist der VDMA Cyber Awareness Service einmal implementiert, läuft alles Weitere automatisiert – die Engine rollt für jeden Nutzer selbstständig genau das richtige Maß an Training aus.

Die Phishing-Engine des VDMA Cyber Awareness Services nutzt realistische Szenarien, um die Mitarbeitenden auf raffinierte Phishing-Angriffe vorzubereiten und erweitert so laufend das Wissen der Nutzer. Interaktive Lernelemente und Videos machen das Team spielerisch mit neuen Cyberrisiken vertraut. Damit wird der VDMA Cyber Awareness Service zu einem wichtigen Baustein, um die IT-Sicherheit im Unternehmen nachhaltig zu fördern und zu stärken.

Mehr zum VDMA Cyber Awareness Service lesen Sie hier:

Zum VDMA Cyber Awareness Service
Bildnachweis: metamorworks / Shutterstock
AnlagenbauCyber AwarenessCyberrisikoCybersecurityCybersicherheitsrichtlinie NIS2CyberversicherungEU-Richtlinie NIS2Maschinenbau UnternehmenVDMA Cyber AwarenessVSMA GmbH

Unsere Empfehlungen für Sie:

VCP Angebotstool

VDMA NOTFALLHILFE RANSOMWARE

VSMA CYBER NEWSLETTER

VDMA Cyber Awareness

Kontakt

THOMAS VÖLKER

Spartenverantwortlicher Cyber Versicherung

VSMA GmbH – ein Unternehmen des VDMA
Telefon +49 69 6603-1520
tvoelker@vsma.org

www.vsma.de    Impressum    Datenschutz