Aktuelles

11.2.8 DVO (EU) 2015/1998: Warum bestehende Schulungskonzepte im Audit nicht mehr ausreichen

WBT 11.2.8 2026, EUWISA GMBH

Im Rahmen einer aktuellen Re-Validierung eines bekannten Versenders (bVSP) wurde deutlich, dass bestehende Schulungskonzepte den aktuellen behördlichen Erwartungen nicht immer vollständig entsprechen.

Das Unternehmen war fachlich gut aufgestellt, Prozesse und Dokumentation waren vorhanden.
Dennoch wurde im Audit eine Auffälligkeit im Bereich der Schulung gemäß Nummer 11.2.8 festgestellt.

Ausgangssituation

Im konkreten Fall ging das Unternehmen davon aus, dass die Schulung nach 11.2.8 ausschließlich für Personal gemäß 11.2.5 erforderlich ist.

Das Personal gemäß 11.2.3.9 wurde intern unterwiesen, jedoch nicht in die Cyber Security Awareness Schulung einbezogen.

Bewertung im Audit

Diese Einordnung wurde im Audit nicht bestätigt.

Die Erwartung der prüfenden Stelle war, dass auch das Personal gemäß 11.2.3.9 in die Schulung nach 11.2.8 einzubeziehen ist, da diese Personengruppe im Rahmen ihrer Tätigkeit mit sicherheitsrelevanten Systemen arbeitet oder deren Beeinträchtigung erkennen kann.

Die reine Unterweisung wurde in diesem Zusammenhang als nicht ausreichend bewertet.

Regulatorische Einordnung

Die Anforderungen ergeben sich aus der Durchführungsverordnung (EU) 2015/1998 sowie den nationalen Grundsätzen zur Anwendung der Cybersicherheitsmaßnahmen.

Zentral ist dabei nicht die formale Zuordnung zu einer Personalkategorie, sondern die tatsächliche Tätigkeit:

Alle Personen müssen geschult werden,

  • die Zugang zu kritischen informations- und kommunikationstechnischen Systemen (KIKS) haben oder
  • Auswirkungen von Cyberangriffen auf diese Systeme erkennen oder beeinflussen können

Aktuelle Anforderungen (Stand 2026)

Mit den aktuellen Vorgaben haben sich die Anforderungen konkretisiert:

  • Schulungspflicht für alle relevanten Personengruppen auf Basis der Tätigkeit
  • keine ausreichende Erfüllung durch reine Unterweisung
  • Mindestumfang der Schulung: 2 Unterrichtseinheiten à 45 Minuten
  • regelmäßige Fortbildung (in der Regel alle 5 Jahre oder anlassbezogen)
  • verpflichtende Dokumentation inklusive Zeitumfang

Zudem entfällt die starre Einteilung in Personengruppen im formalen Aufbau der Grundsätze.
Die Verantwortung für die korrekte Zuordnung liegt vollständig beim Unternehmen.

Typische Ursache für Abweichungen

In der Praxis entstehen Auffälligkeiten selten durch fehlende Schulungen.

Häufiger liegt die Ursache in:

  • unvollständiger Ermittlung der betroffenen Personengruppen
  • zu enger Auslegung der Schulungspflicht
  • fehlender Anpassung an aktuelle behördliche Erwartungen

Fazit

Die Schulung nach 11.2.8 ist keine isolierte Maßnahme für einzelne Rollen, sondern Bestandteil eines umfassenden Sicherheitskonzepts.

Entscheidend ist die nachvollziehbare Ableitung:
Wer im Unternehmen potenziell Einfluss auf sicherheitsrelevante Systeme hat oder deren Beeinträchtigung erkennen kann, muss entsprechend geschult werden.

Unternehmen sollten daher bestehende Schulungskonzepte regelmäßig überprüfen und insbesondere die Zuordnung der Personengruppen kritisch hinterfragen.