Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Schulung & Awareness: NIS-2, ISO 27001, EU AI Act | SECURAM

Querschnitt · NIS-2 · ISO 27001 · EU AI Act

Schulung und Awareness als Pflichtprogramm

Geschäftsführung, Belegschaft und Fachrollen werden in NIS-2, ISO 27001 und dem EU AI Act zur regelmäßigen Schulung verpflichtet. SECURAM liefert ein zielgruppenspezifisches Curriculum mit 28 Modulen, das ISMS, BCMS, KI-Governance und Risikomanagement gemeinsam abdeckt, branchenspezifisch zugeschnitten und mit nachweisbarer Wirksamkeitsmessung.

Erstgespräch vereinbaren Leistungsumfang ↓
Awareness Schulung

Pflichtfeld Schulung

Warum Schulung und Awareness Pflicht sind

Schulungs- und Awareness-Pflichten sind in NIS-2, ISO 27001 und dem EU AI Act fest verankert. Versäumnisse treffen die Geschäftsleitung persönlich.

Mit Artikel 20 Absatz 2 verpflichtet die NIS-2-Richtlinie die Mitglieder der Leitungsorgane, regelmäßig Schulungen zu absolvieren und solche auch der Belegschaft anzubieten. Die Pflicht ist nicht delegierbar. Ergänzend fordert Artikel 4 der KI-Verordnung seit dem 2. Februar 2025, dass das Personal in Anbieter- und Betreiberorganisationen über ausreichende KI-Kompetenz verfügt, bezogen auf Vorbildung, Erfahrung und Anwendungskontext.

Auf Norm-Ebene konkretisieren ISO 27001 in den Klauseln 7.2 und 7.3, ISO 22301 in derselben Struktur und ISO 42001 in Annex A.6.3 das Bewusstsein und die Kompetenz für Managementsysteme. Der BSI-Baustein ORP.3 macht daraus für den deutschen Mittelstand einen prüffesten Standard. Wer die ISO 27001 ohne dokumentiertes Awareness-Programm zum Audit bringt, verfehlt die Zertifizierung.

In unseren Projekten zeigt sich, dass die meisten Organisationen Schulungs-Silos pflegen: Awareness für die Belegschaft, KI-Tooling-Trainings für die IT, Notfall-Übungen separat im BCM. SECURAM bricht diese Silos auf und liefert ein integriertes Curriculum, das alle vier Säulen ISMS, BCMS, AIMS und RMS gemeinsam abbildet.

Leistungsumfang

Acht Schulungspakete, die Norm-Pflichten abdecken

Vom GF-Briefing nach NIS-2 bis zum Phishing-Test mit Audit-Reporting. Modular kombinierbar, kundenspezifisch zugeschnitten.

01

GF-Briefing nach NIS-2

Schulung der Leitungsorgane zu Cyber-Risiko, Pflichten und Haftung. Mapping auf Artikel 20 Absatz 2 NIS-2 und Paragraph 43 GmbHG.

02

Mitarbeiter-Awareness

Phishing-Erkennung, Passwort-Hygiene, Schatten-KI, Social Engineering. E-Learning, Präsenz oder hybrid mit Pflicht-Quiz und Tracking.

03

ISO 27001 Curriculum (28 Module)

Vollständiger Schulungsplan für ISB, IT-Administration und Belegschaft. Bezug zu Klausel 7.2, 7.3 und Anhang A.6.3 vorhanden, NIS-2-konform erweiterbar.

04

AI Literacy nach EU AI Act

Pflicht-Schulung gemäß Artikel 4 der KI-Verordnung. Differenziert nach Endanwendern, Power-Usern und Verantwortlichen für Hochrisiko-KI.

05

BCM-Übungen und Notfall-Schulung

Tabletop-Übungen, Wiederanlauf-Drills und Krisenkommunikation nach ISO 22301 Klausel 8.5 und BSI-Standard 200-4 Kapitel 11.

06

Rollen-Schulung ISB, BCB, KI-Beauftragter

Vertiefte Schulung für Informationssicherheits-, Business-Continuity- und KI-Beauftragte. Audit-Methodik und Reporting an die Leitung inklusive.

07

Branchenspezifische Schulungen

Fallbeispiele und Risikoszenarien angepasst an Finanzdienstleister (BAIT, VAIT, DORA), Gesundheit, Industrie, Automotive (TISAX) und Public Sector.

08

Wirksamkeitsmessung und Reporting

Phishing-Simulationen, Quiz-Pflichtmodule und Audit-Reife-Reports. Datenbasis für das Management Review nach ISO 27001 Klausel 9.3.

Projektverlauf

Vom Bedarf zum produktiven Schulungsbetrieb in fünf Phasen

Bedarfsanalyse und Rollen-Kataster

Woche 1

Aufnahme der relevanten Rollen, Mapping auf Norm-Anforderungen und Risikoschwerpunkte. Klärung des Branchen-Fits und der bestehenden Schulungslandschaft.

Ergebnis: Schulungsbedarfs-Matrix mit Norm-Mapping (NIS-2, ISO 27001, EU AI Act, ISO 22301)

Curriculum-Design

Woche 2 bis 3

Auswahl der Module aus dem 28-teiligen Curriculum, Anpassung an Branche und Unternehmensgröße. Festlegung von Format, Dauer und Wirksamkeits-Indikatoren.

Ergebnis: Curriculum-Plan mit Modul-Liste, Zielgruppen und Format-Mix

Erstellung und Pilot

Woche 3 bis 6

Ausarbeitung von E-Learning-Inhalten, Präsenzfolien und Übungsmaterial. Pilot-Schulung mit ausgewählter Zielgruppe und Anpassung auf Basis der Rückmeldungen.

Ergebnis: Freigabefähige Schulungsmaterialien und Pilot-Auswertung

Roll-out und Durchführung

Woche 6 bis 12

Roll-out an alle Zielgruppen, Tracking der Pflicht-Teilnahme, Begleitung durch das SECURAM-Team. Spezialschulungen für Geschäftsführung und sicherheitskritische Rollen.

Ergebnis: Geschulte Belegschaft mit dokumentierter Teilnahmequote

Wirksamkeitsmessung und Re-Schulung

Ab Woche 12

Phishing-Simulationen, Quiz-Auswertungen und Audit-Reife-Berichte. Aufnahme der Ergebnisse in das Management Review. Planung der jährlichen Auffrischung.

Ergebnis: Wirksamkeitsbericht und Re-Schulungsplan für das Folgejahr

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100 bis 500 Mitarbeiter). Wenn ein bestehendes Awareness-Programm als Basis genutzt wird, verkürzt sich die Phase Erstellung und Pilot deutlich.

Erfahrung und Reichweite

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden, auch im Schulungs-Curriculum.

28
Curriculum-Module für ISO 27001 und NIS-2
4
Säulen abgedeckt: ISMS, BCMS, AIMS, RMS
10+
Zielgruppen mit eigenen Lernpfaden
20+
Jahre Beratungserfahrung

Anschlussleistungen

Schulungs-Curriculum als Brücke zwischen den Säulen

Jede der vier SECURAM-Säulen verlangt eigene Schulungsbausteine. Das Curriculum ist so geschnitten, dass eine bereits geschulte Organisation neue Normen mit reduziertem Aufwand integriert.

ISMS · ISO 27001

Awareness als Pflicht-Control A.6.3

ISO 27001 fordert in 7.2, 7.3 und Anhang A.6.3 ein dokumentiertes Schulungsprogramm. Das Curriculum bedient die Anforderung normgenau.

Zur ISO 27001-Leistung →
AIMS · EU AI Act

KI-Kompetenz nach Artikel 4

Seit dem 2. Februar 2025 verpflichtend. AI Literacy für Anwender, Power-User und Verantwortliche für Hochrisiko-KI. Schatten-KI inklusive.

Zur EU AI Act-Leistung →
BCMS · ISO 22301

Notfall-Übungen nach Klausel 8.5

Tabletop-Übungen, Wiederanlauf-Drills und Krisenkommunikation. Erfüllt zugleich die Schulungs- und Übungsanforderungen aus BSI 200-4.

Zur ISO 22301-Leistung →
RMS · ISO 27005

Schulung der Risiko-Eigner

Methoden- und Prozess-Schulung für Risiko-Eigner, Risikomanager und Auditoren. Anschluss an BSI 200-3 für die deutsche Praxis.

Zur ISO 27005-Leistung →
Norm- und Gesetzes-Anforderungen abgedeckt
NIS-2 Art. 20.2 ISO 27001 7.2/7.3 ISO 27001 A.6.3 EU AI Act Art. 4 ISO 42001 7.3 ISO 22301 7.3/8.5 BSI 200-4 Kap. 11 BSI ORP.3 DORA Art. 13.6 TISAX 1.2.4

Formate

Vier Lernformate, ein Curriculum

Jede Zielgruppe braucht das passende Format. SECURAM kombiniert E-Learning, Präsenz, Hybrid und Coaching, gesteuert über das gleiche Curriculum.

E-Learning

Skalierbare Online-Module mit Pflicht-Quiz, Tracking und automatisierter Reminder-Logik. Geeignet für Awareness und Standardrollen.

Präsenz

Workshops für Geschäftsführung, ISB, BCM-Team und Notfall-Übungen. Mit Diskussion, Fallarbeit und direkter Rückkopplung.

Hybrid

Kombination aus E-Learning-Pflichtteil und Präsenz-Vertiefung. Standard-Format für mittelständische Roll-outs mit gemischten Zielgruppen.

1:1-Coaching

Individuelles Coaching für ISB, KI-Verantwortliche und Geschäftsführung. Stärkt Rollenkompetenz und bereitet auf Audit-Interviews vor.

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ zu Schulungs- und Awarenessmaßnahmen

NIS-2 Artikel 20 Absatz 2 verpflichtet die Mitglieder der Leitungsorgane, regelmäßig Schulungen zu absolvieren, und sicherzustellen, dass auch der Belegschaft regelmäßige Schulungen angeboten werden. Die Pflicht ist nicht delegierbar. Inhalte: Cyber-Risiken, Risikomanagement, Erkennung von Bedrohungen, Eskalationswege. Die Häufigkeit wird in NIS-2 nicht beziffert, üblich sind ein bis zwei Wiederholungen pro Jahr.
Ja. NIS-2 Artikel 20 Absatz 2 fordert die persönliche Schulung der Mitglieder des Leitungsorgans. Bei Verstoß drohen Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Die Geschäftsführung haftet zudem nach Paragraph 43 GmbHG für Sorgfaltspflichtverletzungen, wenn unzureichende Cyber-Sicherheits-Vorkehrungen zu einem Schaden führen. Eine Delegation an die IT-Abteilung entlastet nicht.
ISO 27001 Klausel 7.3 und ISO 27002 Control 6.3 verlangen ein dokumentiertes Awareness-Programm mit Wirksamkeitsmessung. SECURAM nutzt drei Bausteine: Phishing-Simulationen mit Klick-Quote pro Abteilung, verpflichtende Quiz-Module nach jeder Schulungseinheit sowie ein jährliches Audit-Reife-Reporting. Die Daten fließen in das Management Review ein und sind im Zertifizierungs-Audit prüffest verfügbar.
Artikel 4 der KI-Verordnung (EU 2024/1689) verpflichtet Anbieter und Betreiber von KI-Systemen, dafür zu sorgen, dass das eingesetzte Personal über ausreichende KI-Kompetenz verfügt. Maßstab sind Vorbildung, Erfahrung und Anwendungskontext. Die Pflicht gilt seit dem 2. Februar 2025. Praxis: differenzierte Schulungspfade für Endanwender, Power-User, KI-Verantwortliche und das Leitungsorgan, ergänzt um Regeln zur Nutzung freigegebener Tools und zum Umgang mit Schatten-KI.
Ja, sofern die Wirksamkeit nachweisbar ist. Die ISO 27001 schreibt kein Format vor, sondern fordert Bewusstsein und Kompetenz nachweislich herzustellen. E-Learning-Module mit Pflicht-Quiz, Tracking der Teilnahme und regelmäßiger Auffrischung erfüllen die Anforderung. Für Geschäftsführungs-Briefings, Notfall-Übungen und sicherheitskritische Rollen empfiehlt sich ein Hybrid-Format mit Präsenzanteil.
Die Normen geben keine starre Frequenz vor. Praxis-Standard ist ein verpflichtendes Awareness-Modul jährlich für alle Beschäftigten, ergänzt um anlassbezogene Schulungen bei Rollenwechsel, neuen Bedrohungen oder Änderungen der Richtlinien. Geschäftsführungs-Briefings nach NIS-2 sollten halbjährlich oder mindestens jährlich erfolgen. AI-Literacy-Schulungen begleiten den Roll-out neuer KI-Tools und werden bei wesentlichen Änderungen wiederholt.
Die Investition richtet sich nach Curriculum-Tiefe, Anzahl der Zielgruppen und Format. Ein NIS-2-konformes Basis-Paket für ein mittelständisches Unternehmen umfasst typischerweise das GF-Briefing, ein Awareness-Modul für die Belegschaft sowie rollenspezifische Vertiefungen für IT und ISB. Ein Erstgespräch klärt Scope, Branchenanforderungen und Format kostenfrei und unverbindlich.
Standardmäßig sechs bis zwölf Wochen vom Kick-off bis zum produktiven Roll-out. Die Phasen sind: Bedarfsanalyse mit Rollen-Kataster und Norm-Mapping (eine Woche), Curriculum-Design (zwei Wochen), Erstellung von E-Learning, Folien und Übungsmaterial (drei bis sechs Wochen) sowie Pilot und Rollout. Wenn ein bestehendes Curriculum als Basis genutzt wird, verkürzt sich die Erstellungsphase deutlich.
Ja. Beispiele und Risikoszenarien werden auf die Branche zugeschnitten. Für Finanzdienstleister werden DORA-Pflichten und BAIT-/VAIT-Anforderungen integriert, für Energieversorger und Krankenhäuser die KRITIS-Vorgaben, für Automotive-Zulieferer die TISAX-Anforderungen, für Industrie und Maschinenbau die Schutzziele OT und Lieferkette. Das Curriculum bleibt modular, die Beispiele wechseln.
Standard-Anbieter liefern Inhalte. SECURAM liefert das Mapping auf Norm-Anforderungen, das integrierte System aus Awareness, Rollen-Schulung und GF-Briefing sowie die Wirksamkeitsmessung mit Audit-tauglichem Reporting. Das Curriculum mit 28 Modulen deckt ISMS, BCMS, KI-Governance und Risikomanagement gemeinsam ab. Überschneidungen werden genutzt, statt parallele Schulungs-Silos zu pflegen.

Nächster Schritt

Drei Einstiege in das SECURAM-Schulungssystem

Schulungsbedarfs-Analyse

Status quo gegen Norm-Pflicht prüfen

Aufnahme der vorhandenen Schulungen, Mapping auf NIS-2, ISO 27001 und EU AI Act. Lücken werden priorisiert ausgewiesen.

GF-Briefing NIS-2

Leitungsorgan rechtssicher schulen

Halbtägiges Briefing zu Cyber-Risiko, Pflichten, Haftung und Eskalationswegen. Erfüllt Artikel 20 Absatz 2 NIS-2 dokumentiert.

Curriculum-Anfrage

28 Module für ISO 27001 und NIS-2

Komplettes Schulungsplan-Curriculum mit Modul-Liste, Zielgruppen-Mapping und Format-Empfehlung. Anpassbar an Branche und Größe.

Erstgespräch vereinbaren →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen