Auditfest bleiben: Schulung nach 11.2.8 richtig einordnen

Im Rahmen einer aktuellen Re-Validierung eines bekannten Versenders (bVSP) wurde deutlich, dass bestehende Schulungskonzepte den aktuellen behördlichen Erwartungen nicht immer vollständig entsprechen.

Das Unternehmen war fachlich gut aufgestellt, Prozesse und Dokumentation waren vorhanden. Dennoch wurde im Audit eine Auffälligkeit im Bereich der Schulung gemäß Nummer 11.2.8 festgestellt.


Ausgangssituation

Im konkreten Fall ging das Unternehmen davon aus, dass die Schulung nach 11.2.8 ausschließlich für Personal gemäß 11.2.5 erforderlich ist.

Das Personal gemäß 11.2.3.9 wurde intern unterwiesen, jedoch nicht in die Cyber Security Awareness Schulung einbezogen.

Die Annahme, dass ausschließlich Personal nach 11.2.5 von der Schulungspflicht betroffen ist, wurde im Audit kritisch hinterfragt.

Bewertung im Audit

Diese Einordnung wurde im Audit nicht bestätigt.

Die Erwartung der prüfenden Stelle war, dass auch das Personal gemäß 11.2.3.9 in die Schulung nach 11.2.8 einzubeziehen ist, da diese Personengruppe im Rahmen ihrer Tätigkeit mit sicherheitsrelevanten Systemen arbeitet oder deren Beeinträchtigung erkennen kann.

Die reine Unterweisung wurde in diesem Zusammenhang als nicht ausreichend bewertet.


Regulatorische Einordnung

Die Anforderungen ergeben sich aus der Durchführungsverordnung (EU) 2015/1998 sowie den nationalen Grundsätzen zur Anwendung der Cybersicherheitsmaßnahmen.

Zentral ist dabei nicht die formale Zuordnung zu einer Personalkategorie, sondern die tatsächliche Tätigkeit:

Alle Personen müssen geschult werden,
die Zugang zu kritischen informations- und kommunikationstechnischen Systemen (KIKS) haben oder Auswirkungen von Cyberangriffen auf diese Systeme erkennen oder beeinflussen können.

Aktuelle Anforderungen (Stand 2026)

Mit den aktuellen Vorgaben haben sich die Anforderungen konkretisiert:

  • Schulungspflicht für alle relevanten Personengruppen auf Basis der Tätigkeit
  • Keine ausreichende Erfüllung durch reine Unterweisung
  • Mindestumfang der Schulung: 2 Unterrichtseinheiten à 45 Minuten
  • Regelmäßige Fortbildung (in der Regel alle 5 Jahre oder anlassbezogen)
  • Verpflichtende Dokumentation inklusive Zeitumfang

Zudem entfällt die starre Einteilung in Personengruppen im formalen Aufbau der Grundsätze. Die Verantwortung für die korrekte Zuordnung liegt vollständig beim Unternehmen.


Typische Ursache für Abweichungen

In der Praxis entstehen Auffälligkeiten selten durch fehlende Schulungen.

Häufiger liegt die Ursache in:

  • Unvollständiger Ermittlung der betroffenen Personengruppen
  • Zu enger Auslegung der Schulungspflicht
  • Fehlender Anpassung an aktuelle behördliche Erwartungen
Viele Abweichungen entstehen nicht durch fehlende Maßnahmen, sondern durch eine fehlerhafte Zuordnung der betroffenen Mitarbeitenden.

Fazit

Die Schulung nach 11.2.8 ist keine isolierte Maßnahme für einzelne Rollen, sondern Bestandteil eines umfassenden Sicherheitskonzepts.

Entscheidend ist die nachvollziehbare Ableitung: Wer im Unternehmen potenziell Einfluss auf sicherheitsrelevante Systeme hat oder deren Beeinträchtigung erkennen kann, muss entsprechend geschult werden.

Unternehmen sollten daher bestehende Schulungskonzepte regelmäßig überprüfen und insbesondere die Zuordnung der Personengruppen kritisch hinterfragen.

Praxisempfehlung: Überprüfen Sie regelmäßig Ihre Schulungsmatrix und dokumentieren Sie nachvollziehbar, warum bestimmte Personengruppen in die Schulung nach 11.2.8 einbezogen werden – oder warum nicht.