Warum die Umsetzung der NIS2-Richtlinie kein reines IT-Thema ist und wie HR zur Schaltzentrale für Sicherheitskultur, psychologische Stabilität und Resilienz werden kann. Denn auch kleine und mittlere Unternehmen stehen vor der Aufgabe, Risiken zu bewerten und Mitarbeitende zu sensibilisieren. Für HR-Abteilungen ist das keine Zusatzbelastung, sondern eine strategische Chance. Praxiseinblicke von Isabelle Kontri in ihrem Gastartikel.
Cybersicherheit betrifft uns alle – und deshalb vorallem HR
Cybersicherheit wird häufig als rein technische Aufgabe verstanden, mit Firewalls, Antivirenprogrammen und Penetrationstests. Die Realität sieht jedoch anders aus. Schaut man aktuelle Daten an, wird klar, dass menschliches Verhalten der entscheidende Risikofaktor ist.
Laut aktuellen Untersuchungen sind zwischen 60% und 74% aller erfolgreichen Cyberangriffe auf menschliches Verhalten zurückzuführen, etwa durch Phishing-Mails, Fehlern im Umgang mit Credentials oder der Nichtmeldung von Vorfällen aus Unsicherheit.
Die NIS2-Richtlinie zollt dem Rechnung und bringt das Thema endgültig aus der IT-Ecke heraus.
Cybersicherheit beginnt bei den Menschen
Viele Angriffe scheitern nicht an fehlender Technologie, sondern an menschlichen Faktoren wie etwa dem fehlenden Wissen oder Bewusstsein für Risiken. Genau hier liegt der Hebel für HR: Personalabteilungen begleiten Mitarbeitende über den gesamten Employee Lifecycle und verfügen damit über Strukturen, um Sicherheitsanforderungen nachhaltig zu vermitteln und zu verankern.
Statt NIS2 als isoliertes Compliance-Projekt zu betrachten, kann HR die Anforderungen in bestehende Prozesse integrieren. Onboarding, Weiterbildung, Führungskräfteentwicklung und interne Kommunikation bieten natürliche Anknüpfungspunkte. Gerade für KMU mit begrenzten Ressourcen ist dieser integrierte Ansatz oft wirksamer als zusätzliche Regelwerke.
Sicherheit entsteht durch Vertrauen
Ein zentraler, häufig unterschätzter Aspekt der NIS2-Umsetzung ist die Sicherheitskultur. Mitarbeitende müssen nicht nur wissen, was richtig ist, sondern sich auch trauen, Fehler und Vorfälle offen anzusprechen. Viele Mitarbeitende melden Vorfälle oder verdächtige E-Mails nicht, aus Angst vor negativen Konsequenzen oder davor, dafür kritisiert oder ausgegrenzt zu werden. Diese Zurückhaltung kostet Zeit und erhöht die Schäden, weil Angriffe länger unentdeckt bleiben. Psychologische Sicherheit wird damit zu einem zentralen Hebel für technische Sicherheit.
HR kann diesen Rahmen aktiv gestalten. Dazu gehören klare Meldewege ohne Schuldzuweisungen, eine verständliche Sprache jenseits von IT-Jargon und Führungskräfte, die Sicherheit als Teil ihrer Verantwortung begreifen.
Unternehmen, die aus Vorfällen lernen wollen, brauchen keine Perfektion, sondern Transparenz.
Führungskräfte als Multiplikatoren
NIS2 fordert nicht nur Maßnahmen, sondern Verantwortung auf Managementebene. Führungskräfte prägen maßgeblich, wie ernst Cybersicherheit im Alltag genommen wird. Wenn Vorgesetzte selbst Abkürzungen nehmen oder Warnsignale ignorieren, verpuffen Schulungen schnell.
Hier kann gezielt angesetzt werden, indem Sicherheitsthemen in Führungskräfteprogramme integriert werden. Praxisnahe Szenarien, klare Erwartungshaltungen und konkrete Leitfragen für den Führungsalltag helfen dabei, Cybersicherheit als Bestandteil modernen Managements zu etablieren und nicht als Sonderthema der IT.
Awareness-Trainings mit Wirkung
Laut WifiTalents führen nur 49 % aller Unternehmen regelmäßige Awareness-Trainings für Cybersicherheit durch. Diese werden nun durch die Richtlinie zur Pflicht. Entscheidend ist jedoch nicht die bloße Durchführung, sondern die Qualität. Einmalige Pflichtschulungen erzeugen selten nachhaltige Verhaltensänderungen.
Bewährt haben sich kurze, regelmäßig wiederkehrende Lerneinheiten, die sich am Arbeitsalltag orientieren. Microlearning-Formate zu typischen Angriffsmustern, kurze Simulationen oder interaktive Inhalte erhöhen die Aufmerksamkeit und senken die Hemmschwelle. Personalverantwortliche übernehmen dabei eine koordinierende Rolle, sorgen für Verständlichkeit und stellen sicher, dass das Lernen nicht als zusätzliche Belastung wahrgenommen wird.
Entlastung statt Überforderung
Gerade in KMU kann NIS2 schnell Verunsicherung auslösen. Neue Pflichten, unklare Zuständigkeiten und technische Begriffe führen zu Abwehrreaktionen. Personalabteilungen sollten deshalb darauf achten, Erwartungen klar zu kommunizieren und Unterstützung sichtbar zu machen.
Hilfreich sind zentrale Anlaufstellen, verständliche FAQ-Formate oder benannte Sicherheitsansprechpersonen. Gleichzeitig lohnt es sich, Mitarbeitende aktiv einzubeziehen. Wer Ideen einbringen darf oder Verantwortung in überschaubarem Rahmen übernimmt, entwickelt ein stärkeres Bewusstsein für Risiken und Lösungen.
Cybersicherheit stärkt die Arbeitgebermarke
Was oft als regulatorische Pflicht wahrgenommen wird, zahlt auch auf das Employer Branding ein. Gerade vor dem Hintergrund von Remote Work und digitaler Zusammenarbeit erwarten Fachkräfte, dass Unternehmen verantwortungsvoll mit Daten und Systemen umgehen.
Gerade im Kontext des Fachkräftemangels wird die Demonstration einer gelebten Sicherheitskultur zu einem klaren Wettbewerbsvorteil. Ein Unternehmen, das zeigen kann, dass digitale Sicherheit ein tief verwurzelter, integraler Bestandteil der gesamten Organisation ist – und nicht bloß ein nachträglich aufgesetztes, technisches Add-On – schafft auf allen Ebenen tiefes Vertrauen.
Konkrete Ansatzpunkte für HR
1. NIS2-Anforderungen in bestehende HR-Prozesse integrieren.
- Prozess-Audit mit „Sicherheitsbrille“: Alle HR-Prozesse (von Onboarding und Performance Management bis hin zu Offboarding und interner Kommunikation) sollten auf potenzielle Schwachstellen im Hinblick auf Compliance, Datenschutz, aber auch psychologische Risiken (z.B. durch unklare Feedback-Strukturen, Bewertungsbias) überprüft werden.
- Integration in das Onboarding: Bereits in der Einarbeitungsphase sollten Standards für sicheres Arbeiten und den Umgang mit Fehlern klar vermittelt werden.
2. Melde- und Feedbackkultur reflektieren und fördern.
- Etablierung einer „Blame-Free Culture“: Ziel ist es, eine offene Unternehmenskultur zu schaffen, in der Fehler vor allem als Lernchancen verstanden werden und nicht primär als Anlass für Sanktionen dienen. Dies erfordert eine klare Abgrenzung zwischen Systemfehlern, unbeabsichtigten Fehlern und fahrlässigem Verhalten.
- Regelmäßige Feedback- und Retrospektiv-Formate: Implementierung strukturierter Möglichkeiten für Teams und Einzelpersonen, Vorfälle, Prozesse und Fehler ohne Angst vor negativen Konsequenzen zu besprechen und daraus kollektive Lernschritte abzuleiten.
- Messung der psychologischen Sicherheit: Nutzung von anonymen Umfragen oder gezielten Interviews, um den Grad der psychologischen Sicherheit im Unternehmen regelmäßig zu erheben und gezielte Maßnahmen abzuleiten.
3. Lernprogramme kontinuierlich und praxisorientiert gestalten
- Zielgruppen-Orientierung: Schulungen dürfen nicht generisch sein. Führungskräfte benötigen andere Inhalte (Umgang mit Diversität, Fördern von Resilienz, Führen von Feedback-Gesprächen) als technische Mitarbeitende (Datensicherheit, Prozess-Compliance). Daher sollten Schulungen und Formate auf die jeweiligen Zielgruppen zugeschnitten sein.
- Praxisorientierte und interaktive Formate: Abwendung von reinen Powerpoint-Formaten hin zu interaktiven Workshops, Simulationen, Fallstudien und Micro-Learnings, die direkt auf den Arbeitsalltag anwendbar sind und die aktive Auseinandersetzung fördern.
- Kontinuierliches Lernen: Sicherheit und psychologische Resilienz sind keine einmaligen Schulungsthemen, sondern erfordern regelmäßige Auffrischungen und die Integration in den Arbeitsalltag.
4. Führungskräfte in Verantwortung und Kompetenz stärken
- Befähigung und Coaching: Bereitstellung gezielter Trainings, Coachings und Mentoring-Programme, die Führungskräfte in die Lage versetzen, konstruktiv mit Fehlern umzugehen, Konflikte zu moderieren und ein Umfeld des Vertrauens zu schaffen.
- Tools und Ressourcen: Ausstattung mit klaren Handlungsanweisungen und Ressourcen (z.B. Leitfäden für Krisengespräche, Checklisten zur Förderung von Team-Resilienz), um ihre Verantwortung effektiv wahrnehmen zu können.
5. Kommunikation so gestalten, dass Orientierung statt Unsicherheit entsteht
- Transparenz und Verständlichkeit: Informationen über Entscheidungen, Prozessänderungen und Sicherheitsrichtlinien müssen klar, präzise und für alle Mitarbeitenden verständlich kommuniziert werden. Unnötige Fachsprache und Vagheiten sind zu vermeiden.
- Konsistente und verlässliche Kanäle: Etablierung weniger, aber dafür verlässlicher und gut zugänglicher Kommunikationskanäle, um Informationsüberflutung entgegenzuwirken.
- Dialog und Rückkanal: Kommunikation muss ein zweiseitiger Prozess sein. Bereitstellung einfacher und vertraulicher Möglichkeiten für Mitarbeitende, Fragen zu stellen, Bedenken zu äußern und Feedback zu geben, um Unsicherheiten aktiv abzubauen.
Sicherheit als Chance
NIS2 ist kein reines IT-Projekt, sondern ein Organisationsentwicklungsprozess. HR-Abteilungen haben die Möglichkeit, Cybersicherheit mit Themen wie Führung, Lernen und Kultur zu verbinden. Wer diese Perspektive einnimmt, erfüllt nicht nur regulatorische Anforderungen, sondern stärkt langfristig die Resilienz des Unternehmens.
Isabelle Kontri ist Head of Communications and Growth Strategy bei der experdoo GmbH und treibt dort die Kommunikation sowie die Positionierung des Corporate Startups voran.
Newsletter