NIS2 wird nicht an der Technologie scheitern – sondern am Faktor Mensch

Die EU-Richtlinie erhöht die Erwartungen an die Cybersicherheit in ganz Europa und stellt das menschliche Verhalten in den Mittelpunkt der Compliance – MetaCompliance fordert Unternehmen auf ihre Belegschaft vorzubereiten.

[datensicherheit.de, 28.03.2026] NIS2 hat die Messlatte für die Cybersicherheit in ganz Europa höher gelegt, und das aus gutem Grund. Die Bedrohungen sind hartnäckiger, raffinierter und störender als je zuvor. Die Aufsichtsbehörden reagieren darauf, indem sie stärkere Sicherheitskontrollen, eine klarere Rechenschaftspflicht und einen besseren Einblick in das Risikomanagement von Unternehmen fordern. Als Reaktion darauf haben viele Unternehmen bekannte und sinnvolle Schritte unternommen. Sie haben in neue Sicherheitstools investiert, ihre technischen Schutzmaßnahmen verstärkt, Richtlinien verfeinert und die Risikoberichterstattung an die Unternehmensleitung verstärkt. All dies spielt eine wichtige Rolle bei der Verbesserung der Sicherheitslage.

MetaCompliance, Anbieter für Human Risk Management, warnt jedoch, dass Erfahrung aus der Praxis zeigen, dass diese Maßnahmen allein nicht ausreichen werden:

Wenn es zu Sicherheitsverletzungen kommt, beginnt dies selten mit einem technischen Defekt. Sie beginnen mit einer menschlichen Entscheidung, die oft schnell, unter Druck oder ohne genügend Kontext getroffen wird, um das Risiko in diesem Moment zu erkennen. Daran wird sich der Erfolg oder Misserfolg von NIS2 letztlich entscheiden.

NIS2 rückt den Menschen fest in den Blickpunkt

Eines der häufigsten Missverständnisse im Zusammenhang mit NIS2 ist, dass es sich in erster Linie um eine technische oder IT-gesteuerte Verordnung handelt. Sie enthält zwar Anforderungen in Bezug auf Systeme, Überwachung, Meldung von Vorfällen und Sicherheit der Lieferkette, aber ihr Anwendungsbereich ist viel breiter.

NIS2 legt den Schwerpunkt eindeutig auf Risikomanagement, Governance und organisatorische Resilienz. Unternehmen müssen verstehen, wo ihre wirklichen Risiken bestehen, wie sich diese Risiken im Laufe der Zeit entwickeln und ob die vorhandenen Kontrollen wirklich wirksam sind, um sie zu reduzieren. Diese Wirksamkeit wird nicht daran gemessen, wie viele Tools eingesetzt werden oder wie umfangreich eine Richtlinienbibliothek auf dem Papier aussieht, sondern daran, ob die Risiken in der Praxis verwaltet werden.

Auch die Verantwortung wird fest nach oben verlagert. Von der Geschäftsleitung wird erwartet, dass sie die Maßnahmen zum Risikomanagement genehmigt und ihre laufende Wirksamkeit überwacht. In diesem Zusammenhang kann menschliches Verhalten nicht mehr ignoriert werden. Entscheidungen über den Zugang, den Umgang mit Anmeldeinformationen, die gemeinsame Nutzung von Daten und Reaktionen unter Druck haben einen direkten Einfluss darauf, ob die Kontrollen bei Tests Bestand haben.

NIS2 betrachtet dieses Thema nicht als zweitrangig oder weich, sondern das menschliche Verhalten als Kernkomponente des organisatorischen Risikos.

Die meisten Angriffe beginnen immer noch mit alltäglichen Entscheidungen

Trotz jahrelanger Fortschritte in der Cybersicherheitstechnologie bleiben die häufigsten Angriffswege bemerkenswert gleich. Laut des neuesten Verizon Data Breach Investigations Report (DBIR) sind rund 60 Prozent der Sicherheitsverletzungen auf menschliches Verhalten zurückzuführen, darunter Phishing, kompromittierte Zugangsdaten und Routinefehler. Dies zeigt, wie sehr menschliches Verhalten das Risiko immer noch beeinflusst. In demselben Bericht waren gestohlene oder missbräuchlich verwendete Zugangsdaten in etwa 22 Prozent der Fälle der primäre Einstiegsvektor, während Phishing etwa 15 Prozent ausmachte. Diese Zahlen verdeutlichen, dass viele Vorfälle nicht auf einen Fehler in den Sicherheitstools zurückzuführen sind, sondern auf alltägliche Entscheidungen, die getroffen werden, wenn Menschen beschäftigt, abgelenkt oder unter Druck sind.

Diese Situationen entstehen nicht, weil Mitarbeiter unvorsichtig oder böswillig sind. Sie entstehen, weil die Menschen versuchen, ihre Arbeit in einer schnelllebigen Umgebung zu erledigen, in der Bequemlichkeit, Dringlichkeit und konkurrierende Prioritäten das Verhalten oft bestimmen. Angreifer verstehen diese Dynamik sehr gut, weshalb Social Engineering nach wie vor eine so effektive Taktik ist. Gemäß des DBIR sind Social-Engineering-Techniken an fast drei Vierteln der Sicherheitsverletzungen beteiligt. Damit ist dies eine der erfolgreichsten Methoden für Angreifer, sich Zugang zu verschaffen, indem sie menschliche Entscheidungen und nicht technische Schwächen ausnutzen.

Technologie ist auf definierte Prozesse und vorhersehbare Eingaben ausgelegt, aber sie geht oft davon aus, dass Menschen sich konsistent verhalten, selbst wenn sie müde sind, unter Druck stehen oder mit unvollständigen Informationen arbeiten. Aus Sicht von NIS2 ist diese Lücke wichtig. Die Aufsichtsbehörden interessieren sich nicht nur dafür, ob es Kontrollen gibt, sondern auch dafür, ob sie belastbar genug sind, um den realen Bedingungen standzuhalten.

Wenn eine Kontrolle von perfektem Verhalten unter unvollkommenen Umständen abhängt, stellt dies ein Risiko dar, das verstanden und verwaltet werden muss.

Warum Politik und jährliche Schulungen zu kurz greifen

Die meisten Unternehmen können nachweisen, dass sie über Sicherheitsrichtlinien verfügen und dass ihre Mitarbeiter regelmäßig Schulungen zur Sensibilisierung absolvieren. Lange Zeit wurde dies als angemessener Beweis für die gebotene Sorgfalt angesehen. Unter NIS2 wird es schwieriger, diese Annahme zu verteidigen. Richtlinien beschreiben, wie die Dinge funktionieren sollten, und jährliche Schulungen erklären das erwartete Verhalten in der Theorie. Was sie nicht zeigen, ist, wie Menschen tatsächlich reagieren, wenn sie mit realistischen Szenarien konfrontiert werden, die den Druck ihrer täglichen Aufgaben widerspiegeln.

Vom Standpunkt der Regulierung aus betrachtet, schafft dies eine Lücke in der Sichtbarkeit. Abschlussquoten und Bestätigungen von Richtlinien zeigen die Aktivität, aber nicht die Wirksamkeit. Da NIS2 einen risikobasierten und ergebnisorientierten Ansatz für die Einhaltung der Vorschriften vorantreibt, müssen die Unternehmen nachweisen, dass ihre Sensibilisierungsprogramme das Verhalten auf messbare Weise beeinflussen.

Verhaltensnachweise sind wichtiger als Anwesenheit

Eine der wichtigsten Änderungen, die durch NIS2 eingeführt wurden, ist die Konzentration auf das laufende Risikomanagement und nicht auf die punktuelle Einhaltung von Vorschriften.

Wenn es um menschliche Risiken geht, bedeutet das, dass wir in der Lage sind, praktische Fragen zu beantworten:

• Womit haben die Mitarbeiter am meisten zu kämpfen?
• Welche Verhaltensweisen bergen die größten Risiken?
• Wie variiert dieses Risiko je nach Funktion, Team oder Standort?
• Welche Beweise gibt es, die belegen, dass Lerninterventionen tatsächlich Wirkung zeigen?

Verhaltensbasierte Erkenntnisse helfen bei der Beantwortung dieser Fragen. Daten zum Engagement, Reaktionen auf realistische Szenarien und Muster bei der Entscheidungsfindung liefern wertvolle Erkenntnisse darüber, wie sich Menschen verhalten, wenn sie mit wichtigen Situationen konfrontiert sind. Anwesenheits- und Abschlusskennzahlen allein können dieses Maß an Sicherheit nicht bieten.

Engagement ist kein Nice-to-have

Das Engagement im Bereich des Sicherheitsbewusstseins wird oft in Bezug auf die Teilnahme oder den Abschluss diskutiert und nicht in Bezug auf die Auswirkungen auf die Art und Weise, wie Menschen denken und handeln, wenn sie mit Risiken konfrontiert werden.

Wenn Mitarbeiter unmotiviert sind, ist es viel unwahrscheinlicher, dass sie Anleitungen aufnehmen, Warnzeichen erkennen oder das Gelernte anwenden, wenn es am wichtigsten ist. Aus der Sicht von NIS2 ist dies kein Problem des Lerndesigns, sondern ein Problem des Risikomanagements.

Interaktive, szenariobasierte Inhalte spielen hier eine wertvolle Rolle, da sie widerspiegeln, wie Menschen am besten lernen. Dieser Ansatz steht in engem Einklang mit den Erwartungen der Regulierungsbehörden in Bezug auf Effektivität und kontinuierliche Verbesserung.

Technologie unterstützt die Resilienz, Menschen bestimmen sie

Starke technische Kontrollen sind weiterhin unerlässlich. Firewalls, Überwachungstools, Identitätssysteme und Erkennungsfunktionen spielen eine entscheidende Rolle. Was NIS2 außerdem fordert, ist ein klares Verständnis dafür, wie diese Kontrollen mit dem menschlichen Verhalten interagieren. Unternehmen, die NIS2 als reines Technologieprojekt betrachten, laufen Gefahr, dies völlig zu verpassen.

Aufbau einer vertretbaren NIS2-Ausrichtung

Da die Durchsetzung von NIS2 näher rückt, werden die Unternehmen zunehmend aufgefordert werden, nachzuweisen, wie sie in der Praxis mit Risiken umgehen. Eine vertretbare Ausrichtung beruht auf Beweisen. Letztendlich wird die Einhaltung von NIS2 nicht daran scheitern, dass ein Tool fehlt. Sie wird scheitern, wenn menschliches Verhalten als nachträglicher Gedanke behandelt wird und nicht als zentraler Bestandteil des Risikomanagements.

Management menschlicher Risiken

Die Erfüllung der NIS2-Erwartungen erfordert mehr als den Nachweis, dass eine Schulung stattgefunden hat. NIS2 führt zu mehr Verantwortlichkeit und Kontrolle. Unternehmen, die klar zeigen können, wie sie ihre Mitarbeiter vorbereiten, werden am besten in der Lage sein, sowohl die Erwartungen der Regulierungsbehörden zu erfüllen als auch reale Bedrohungen zu bewältigen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2025
NIS-2 offiziell in Kraft: Proliance-Handlungsempfehlungen für Unternehmen