NIS2 ist Gesetz: Warum Ihre Mitarbeiter jetzt das schwächste Glied in der Kette sind
Seit dem 6. Dezember 2025 ist NIS2 in Deutschland verbindliches Recht. Mehr als 29.500 Unternehmen aus 18 Sektoren sind betroffen — viele davon wissen es noch nicht. Laut dem Cyber Security Report 2026 von Schwarz Digits unterschätzen 48 Prozent der Unternehmen ihre Pflichten. Bei Kleinunternehmen mit 10 bis 49 Mitarbeitenden schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus.
Das Bußgeld bei Verstößen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Dazu kommt: Geschäftsführungen haften persönlich.
Eine der zentralen Pflichten aus §30 BSI-Gesetz: nachweisbare Schulungen und Sensibilisierungsmaßnahmen im Bereich IT-Sicherheit für alle Mitarbeitenden. §38 geht noch weiter — die Geschäftsleitung muss selbst regelmäßig an Schulungen teilnehmen.
Das ist der Kontext. Jetzt zur Realität in den meisten Unternehmen.
Warum Phishing immer noch die #1 Angriffsmethode ist
Hornetsecurity analysiert jeden Monat 6 Milliarden E-Mails. Der Cybersecurity Report 2026 zeigt: Malware-E-Mail-Angriffe sind um 131 Prozent gestiegen, Phishing um 21 Prozent. Gleichzeitig geben 77 Prozent der CISOs an, KI-generierte Angriffe als ihre größte Bedrohung zu sehen.
9 von 10 erfolgreichen Cyberangriffen beginnen mit einer Phishing-E-Mail an einen Mitarbeiter.
Das ist kein neues Problem. Es ist ein dauerhaftes Problem — weil Technologie allein es nicht löst. Firewall, Spam-Filter, Microsoft Defender: alles wichtig. Aber der Angreifer braucht nur einmal einen Mitarbeiter, der auf einen Link klickt.
Der Mensch ist das Ziel. Also muss der Mensch auch Teil der Verteidigung werden.
Was NIS2 konkret von Ihnen verlangt
§30 BSI-Gesetz (2025) listet konkrete Risikomanagementmaßnahmen, darunter:
“grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik”
Das klingt nach Pflicht-E-Learning einmal im Jahr. Ist es nicht. Das Gesetz meint regelmäßige, nachweisbare Maßnahmen — mit messbarem Effekt auf das Sicherheitsverhalten.
Für die Geschäftsleitung gilt §38 BSI-Gesetz zusätzlich: Sie müssen selbst an Schulungen teilnehmen und ausreichende Kenntnisse zur Risikobewertung nachweisen können. Wer das delegiert und vergisst: persönliche Haftung.
Die Frage ist nicht ob Sie schulen müssen. Die Frage ist wie — und ob Ihre aktuelle Lösung das tatsächlich leistet.
Das Problem mit klassischen Security-Schulungen
In der Praxis sieht Security-Training in KMU meistens so aus: Einmal im Jahr, 45 Minuten, PowerPoint oder ein generisches E-Learning-Modul. Haken gesetzt, Dokumentation für den Auditor abgelegt.
Das Problem: Menschen vergessen. Die Forgetting Curve zeigt, dass wir innerhalb einer Woche bis zu 70 Prozent gelernter Inhalte verlieren, wenn es keine Wiederholung gibt. Eine Jahresschulung bringt im Oktober wenig, wenn der Phishing-Angriff im März kommt.
Klassische Schulungen scheitern an drei Punkten:
- Einmaligkeit: Kein nachhaltiger Lerneffekt ohne Wiederholung
- Fehlende Personalisierung: Alle bekommen dasselbe — egal ob Admin oder Assistenz
- Kein Feedback-Loop: Unternehmen wissen nicht, wer wirklich auf Phishing-Mails hereinfällt
Wie Security Awareness Service (SAS) das anders macht
Hornetsecurity SAS ist kein Schulungsmodul. Es ist ein kontinuierlicher, automatisierter Prozess — direkt in Microsoft 365 integriert, ohne separate Tool-Installation.
Drei Kernkomponenten:
ESI® — Employee Security Index
Der ESI ist ein branchenweit einzigartiger Benchmark. Er misst kontinuierlich das Sicherheitsverhalten jedes einzelnen Mitarbeiters — und steuert automatisch, welche E-Trainings für wen ausgespielt werden. Kein manueller Admin-Aufwand für Kampagnenplanung.
Das Ergebnis: Unternehmen sehen auf einen Blick, wo ihre Risiken liegen. Nicht nur “haben wir geschult?” — sondern “wer ist wie gefährdet?”
Awareness Engine
Die Awareness Engine rollt Lerninhalte automatisch und bedarfsgesteuert aus. Wer beim simulierten Phishing-Test durchfällt, bekommt sofort ein kurzes, kontextbezogenes Training. Wer sich gut schlägt, wird nicht mit unnötigen Modulen belastet.
AI-powered Spear Phishing Simulation
Die Phishing-Engine simuliert realistische, aktuelle Angriffsmuster — KI-gestützt, individuell zugeschnitten. Keine generischen “Herzlichen Glückwunsch, Sie haben gewonnen”-Mails. Sondern die Art von Angriffen, die tatsächlich ankommen.
Über 125.000 Organisationen weltweit setzen auf Hornetsecurity — darunter Konica Minolta und Vodafone.
Was WITC-Kunden konkret bekommen
Als Hornetsecurity Bronze Partner setze ich SAS direkt in Ihrer M365-Umgebung auf. Kein separates Tool, keine neue Admin-Oberfläche.
Der Einstieg läuft in der Regel über einen M365-Audit: Wir schauen uns an, wie Ihre aktuelle Sicherheitskonfiguration aussieht, wo NIS2-Lücken bestehen — und bauen SAS als Bestandteil eines nachhaltigen Sicherheitskonzepts ein.
Anschließend läuft SAS im Hintergrund:
- Spear Phishing Simulationen laufen automatisch
- ESI® liefert monatliche Berichte
- Bei auffälligen Mitarbeitern: automatisches Training
- Für die Geschäftsführung: Dokumentation der Teilnahmen (NIS2-konform)
Im Retainer-Modell überwache ich die ESI-Entwicklung quartalsweise und passe Kampagnen bei neuen Bedrohungsmustern an.
Fazit: NIS2 ist keine Option mehr
Die Pflicht zur Mitarbeiterschulung ist kein Empfehlung. Sie ist Gesetz — seit Dezember 2025, mit persönlicher Haftung der Geschäftsführung.
Eine PowerPoint-Jahresschulung erfüllt diese Pflicht nicht. Was Sie brauchen: kontinuierliches, messbares, automatisiertes Security Awareness Training — dokumentiert, NIS2-konform, ohne Mehraufwand für Ihr IT-Team.
Das ist genau das, was Hornetsecurity SAS liefert. Und es ist das, was ich bei unseren Kunden einrichte.
Buchen Sie jetzt einen M365-Audit — wir schauen uns gemeinsam an, wo Ihre NIS2-Lücken liegen und wie Security Awareness Training in Ihren M365-Stack passt.
Dieser Artikel ist Teil unserer Hornetsecurity-Serie:
→ Microsoft 365 Backup: Warum OneDrive allein nicht reicht
→ Microsoft 365 schützt eure E-Mails nicht. Wirklich nicht.