In der gesamten Europäischen Union verlagern die Vorschriften zur Cybersicherheit den Schwerpunkt von der Absolvierung von Schulungen auf den Nachweis einer tatsächlichen, messbaren Verringerung des menschlichen Risikos.

Richtlinien wie NIS2 und DORA fragen nicht mehr danach, ob es Risikobewusstseins-Programme gibt, sondern danach, ob Organisationen nachweisen können, dass menschliches Verhalten die betriebliche Widerstandsfähigkeit unterstützt. Während Deutschland einer der ersten Mitgliedstaaten ist, der diese Richtlinien vollständig in nationales Recht umsetzt, gelten ähnliche Verpflichtungen in der gesamten EU, und international tätige Unternehmen sehen sich mit wachsenden Erwartungen von Wirtschaftsprüfern und Aufsichtsbehörden weltweit konfrontiert.

Diese Verschiebung markiert einen grundlegenden Wandel: Awareness ist nicht länger ein Ankreuzfeld, sondern eine Risikokontrolle, die kontinuierlich gemessen, verwaltet und verbessert werden muss.

Für Unternehmen jeder Größe, die ihre operationellen Risiken reduzieren und die Erwartungen der Aufsichtsbehörden erfüllen wollen, ist es wichtig, diesen Wandel zu verstehen und zu wissen, wie sie darauf reagieren können.

Vom Bewusstsein zur Beweisführung: Der regulatorische Imperativ

Mehr als ein Jahrzehnt lang konzentrierten sich Programme zur Sensibilisierung für Cybersicherheit auf den Abschluss von Lernprogrammen und die Bestätigung von Richtlinien. Unternehmen konnten die Einhaltung der Richtlinien nachweisen, indem sie eLearning-Module bereitstellten, Phishing-Simulationen durchführten oder unterzeichnete Bestätigungen der Richtlinien sammelten.

Heute stellen die Aufsichtsbehörden, Vorstände und Wirtschaftsprüfer eine ganz andere Frage:

„Wurde das Risiko tatsächlich verringert, und können Sie das beweisen?“

Dies entspricht der Absicht von EU-Verordnungen wie z.B.:

  • NIS2-Richtlinie: Verlangt von Unternehmen, geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen und deren Wirksamkeit beim Management von IKT-Risiken, einschließlich Risiken im Zusammenhang mit Menschen, zu bewerten
  • DORA (Digital Operational Resilience Act): Verlangt von Finanzorganisationen und IKT-Dienstleistern, dass sie die Kompetenz und Widerstandsfähigkeit ihrer Mitarbeiter sicherstellen und die Wirksamkeit der Maßnahmen über die Erfüllungsmetriken hinaus nachweisen.

Weltweit zeichnen sich ähnliche Trends ab. Das US NIST Cybersecurity Framework und ISO-Normen wie ISO 27001/IEC 27002 betonen risikobasierte Ansätze und kontinuierliche Verbesserungen, wobei menschliche Faktoren als ein zentraler Risikobereich gelten. Selbst außerhalb der EU erwarten die Aufsichtsbehörden zunehmend, dass Unternehmen nachweisen, dass Sensibilisierungsinitiativen zu einer tatsächlichen Risikominderung führen und nicht nur zu einem abgeschlossenen Lernprozess.

Die Lücke zwischen Wissen und Handeln: Warum Bewusstsein allein nicht ausreicht

Die „Kluft zwischen Wissen und Handeln“ ist die Diskrepanz zwischen dem Wissen, wie sicheres Verhalten aussieht, und dessen konsequenter Anwendung in der Praxis. Viele Organisationen gehen davon aus, dass die Vermittlung von Wissen und Richtlinien ausreichend ist. In Wirklichkeit zeigen Audits zunehmend, dass Organisationen:

  • Mitarbeiter schulen, aber keine Verbesserungen im Laufe der Zeit feststellen
  • Führen Sie Phishing-Simulationen durch, aber reagieren Sie bei wiederholten Fehlschlägen nicht mit gezielten Maßnahmen
  • Richtlinien anerkennen, aber das menschliche Risiko nicht mit dem IKT-Risikomanagementrahmen verbinden

Der Schwerpunkt der Regulierung liegt nicht mehr auf der Teilnahme, sondern auf den Ergebnissen: messbare Verhaltensänderungen, Verringerung menschlicher Fehler und verbesserte operative Belastbarkeit.

Wie Beweise für eine Risikominderung beim Menschen aussehen

Regulierungsbehörden und Prüfer erwarten keine Perfektion. Sie erwarten dokumentierte, nachweisbare Verbesserungen im Laufe der Zeit. Der Nachweis erfolgt durch Muster und Trends, nicht durch einzelne Kennzahlen. Beispiele hierfür sind:

  • Phishing-Klickraten sinken über mehrere Kampagnen hinweg
  • Verstärkte und schnellere Meldung verdächtiger E-Mails
  • Weniger wiederholte Ausfälle durch dieselben Benutzer
  • Geringere Zeit für die Erkennung und Behebung von Vorfällen
  • Verhaltensverbesserung nach gezielten, rollenbasierten Interventionen

Ein Unternehmen könnte zum Beispiel feststellen, dass die Mitarbeiter einer bestimmten Abteilung wiederholt bei Phishing-Tests versagen. Es werden gezielte, rollenbasierte Schulungen durchgeführt, und die anschließenden Simulationen zeigen einen messbaren Rückgang des Risikoverhaltens. Dies ist die Art von Beweisen, die die Regulierungsbehörden erwarten.

Auch schrittweise Verbesserungen zählen. Die kontinuierliche Verfolgung und Dokumentation der Bemühungen zur Risikominderung zeigt, dass Awareness-Programme keine statischen Kästchen sind, sondern sich entwickelnde, risikobasierte Kontrollen.

Von Sensibilisierungsprogrammen zum menschlichen Risikomanagement

Das regulatorische Umfeld verlangt von Unternehmen, dass sie das Bewusstsein für Cybersicherheit als Teil des gesamten IKT-Risikomanagements behandeln und nicht als isolierte Compliance-Aktivität. Dies bedeutet:

  • Übergang vom jährlichen oder einmaligen Lernen zu kontinuierlichen, strukturierten Programmen
  • Verknüpfung von Fehlern und Vorfällen mit gezielten, messbaren Interventionen
  • Verfolgen von Verhaltenstrends im Laufe der Zeit
  • Integration des menschlichen Risikos in die Gesamtberichterstattung über IKT und operationelle Risiken

An dieser Stelle werden Sensibilisierungsprogramme zum menschlichen Risikomanagement.

Organisationen, die dies erfolgreich tun, reduzieren nicht nur Vorfälle, sondern können auch
den Aufsichtsbehörden, Wirtschaftsprüfern und der Geschäftsleitung gegenüber Widerstandsfähigkeit demonstrieren.

Praktische Schritte zum Reagieren

Um die Erwartungen der Aufsichtsbehörden zu erfüllen, ist kein perfektes Sicherheitsverhalten erforderlich, aber ein strukturierter Nachweis von Verbesserungen.

Einige der wichtigsten Maßnahmen, die Ihr Unternehmen ergreifen sollte, sind:

  1. Definieren Sie aussagekräftige KPIs, die über den Abschluss der Schulung hinausgehen, z. B. Phishing-Klickraten, Häufigkeit von Meldungen, wiederholte Fehlversuche
  2. Verfolgen Sie das Verhalten im Laufe der Zeit, um Verbesserungen nachzuweisen
  3. Reagieren Sie auf Misserfolge mit gezieltem Lernen oder Beratung
  4. Dokumentieren Sie Entscheidungen und Ergebnisse und verknüpfen Sie Aktionen mit bestimmten Vorfällen.
  5. Regelmäßige Überprüfung zur Identifizierung von Nutzern mit hohem Risiko oder von Bereichen, die ein Eingreifen erfordern

Diese Schritte bedeuten, dass sich Awareness-Programme zu einem kontinuierlichen, evidenzbasierten Risikomanagement entwickeln, das die Erwartungen von Aufsichtsbehörden und Wirtschaftsprüfern erfüllt und gleichzeitig die operative Widerstandsfähigkeit verbessert.

Wie MetaCompliance helfen kann

MetaCompliance hilft Organisationen dabei, die Lücke zwischen Wissen und Handeln zu schließen, indem es Daten zu Bewusstsein und Vorfällen in
Regulierungsfähige Nachweise. Die Plattform kombiniert:

  • Kontinuierliches eLearning
  • Phishing-Simulationen
  • Meldung von Vorfällen
  • Verwaltung von Richtlinien
  • Zentralisierte Berichterstattung und Trendanalyse

Dies ermöglicht es Organisationen, von der einfachen Bereitstellung von Lerninhalten zum Nachweis überzugehen, dass das menschliche Risiko aktiv gemanagt und im Laufe der Zeit reduziert wird.

Das MetaCompliance Customer Success Team arbeitet mit Unternehmen zusammen, um ihre Daten zu interpretieren, risikobasierte Sensibilisierungsprogramme zu strukturieren, aussagekräftige KPIs zu definieren und die Ergebnisse den Aufsichtsbehörden, Wirtschaftsprüfern und der Unternehmensleitung zu präsentieren. Auf diese Weise wird aus Compliance Vertrauen und aus Bewusstsein eine messbare Kontrolle, die die betriebliche Widerstandsfähigkeit stärkt.

Von Compliance zu Vertrauen

In der EU und zunehmend auch weltweit ist das Bewusstsein für Cybersicherheit nicht mehr nur ein Kästchen. Die Vorschriften verlangen den Nachweis, dass die Programme das menschliche Risiko verringern und die Widerstandsfähigkeit der Organisation verbessern.

Organisationen, die diesen Wandel vollziehen:

  • Schließen Sie die Lücke zwischen Wissen und Handeln
  • Demonstrieren Sie eine messbare Reduzierung des Risikos für Menschen
  • Vertrauen bei Aufsichtsbehörden und Wirtschaftsprüfern aufbauen
  • Stärkung der operativen Widerstandsfähigkeit

Das Schließen der Lücke ist nicht optional, sondern der neue Standard, und Unternehmen, die jetzt handeln, werden besser auf die realen Sicherheitsherausforderungen vorbereitet sein.

Um mehr über NIS2, DORA und andere Vorschriften zu erfahren, die sich darauf auswirken, wie Unternehmen im Jahr 2026 und darüber hinaus mit Risiken umgehen, lesen Sie unseren Blog:
4 Regulatorische Änderungen, auf die sich CISOs im Jahr 2026 vorbereiten müssen
.

ICP und Cyber Awareness – FAQ

Was sind Cyber Awareness KPIs?

Cyber Awareness KPIs messen, wie effektiv das Verhalten der Mitarbeiter das Cyber-Risiko reduziert, z. B. Phishing-Klickraten, Melderaten und Wiederholungsfehler.