NIS-2
Personalsicherheit in NIS-2: Warum gute Technik allein nicht reicht
Von Joachim Reinke
Gründer & Geschäftsführer
Wenn Unternehmen über NIS-2 sprechen, denken viele zuerst an Firewalls, Logs, Backups und Angriffserkennung. Das ist verständlich, aber zu eng. Das BSI ordnet Personalsicherheit ausdrücklich als zentrale Grundlagen der Informationssicherheit ein, weil sie sowohl technische als auch organisatorische Risiken minimieren. In der ENISA-Leitlinie zur technischen Umsetzung ist Human Resources Security deshalb ein eigener Maßnahmenbereich.
Die kurze Antwort
NIS-2 meint mit Personalsicherheit nicht Misstrauen gegen Mitarbeiter. Gemeint ist vielmehr: Unternehmen müssen dafür sorgen, dass Menschen mit sicherheitsrelevanten Rollen ihre Verantwortung verstehen, dafür geeignet ausgewählt werden, passend eingearbeitet werden und bei Rollenwechsel oder Austritt keine unnötigen Risiken hinterlassen. ENISA formuliert das sehr klar: Relevante Einrichtungen müssen sicherstellen, dass Mitarbeiter sowie - soweit einschlägig - direkte Lieferanten und Dienstleister ihre Sicherheitsverantwortlichkeiten verstehen und sich dazu bekennen.
Personalsicherheit ist mehr als ein Awareness-Training
Ein häufiger Denkfehler ist, Personalsicherheit auf eine jährliche Schulung zu reduzieren. Das greift zu kurz. ENISA nennt hier deutlich mehr: klare Sicherheitsrollen, Onboarding und kontinuierliche Schulung, regelmäßige Überprüfung des Verständnisses, formale Dokumentation von Verantwortlichkeiten in Stellenbeschreibungen oder Verträgen und eine Kultur der Verbindlichkeit. Das BSI beschreibt Personalsicherheit passend dazu als Anforderungen an Personalabteilung und Vorgesetzte, damit Mitarbeiter verantwortungsbewusst mit Informationen umgehen und Sicherheitsvorgaben im Arbeitsalltag umsetzen.
Der Kern ist Verantwortung, nicht Menschenkunde
Personalsicherheit heißt nicht, dass Führungskräfte plötzlich Hobby-Psychologen werden sollen. Es geht nüchterner zu. Die entscheidende Frage lautet: Ist klar geregelt, welche sicherheitsrelevanten Pflichten eine Person in ihrer Rolle hat – und wird das auch verstanden, eingeübt und überprüft?
Schon vor der Einstellung beginnt das Thema
NIS-2-relevante Personalsicherheit beginnt nicht erst am ersten Arbeitstag. ENISA sieht ausdrücklich Mechanismen für die Einstellung qualifizierten Personals vor, etwa Referenzprüfungen, Vetting-Verfahren, Prüfung von Zertifikaten oder schriftliche Tests. Für besonders sensible Rollen nennt die Leitlinie außerdem Hintergrundprüfungen und weist zugleich darauf hin, dass etwaige Prüfungen – etwa zu Strafregistern - rollenbezogen und im Einklang mit Arbeitsrecht und DSGVO erfolgen müssen. Das ist wichtig: nicht pauschal jeden durchleuchten, sondern dort genauer hinschauen, wo die Rolle es wirklich rechtfertigt.
Nicht jeder Job braucht dieselbe Tiefe
Auch hier gilt Augenmaß. Vertiefte Prüfungen sind sinnvoll vor allem bei Rollen mit besonders kritischen Verantwortlichkeiten, etwa bei privilegierten Rechten, Finanzverantwortung, Beschaffung, Vendor Management oder physischem Zugang. Das ist die sinnvolle Richtung: keine generelle Übersteuerung, sondern risikobasierte Schärfe dort, wo ein Fehler oder Missbrauch besonders weh tun würde.
Onboarding ist ein Sicherheitsprozess
Viele Unternehmen behandeln Onboarding organisatorisch: Laptop, E-Mail, Unterschrift, los. Für NIS-2 reicht das nicht. Hier empfiehlt sich, Sicherheitsverantwortlichkeiten auch formal zu erfassen und in Jobbeschreibungen, vertraglichen Regelungen und Trainingsprogrammen zu verankern. Das bedeutet praktisch: Wer neu anfängt, muss nicht nur wissen, wie gearbeitet wird, sondern auch, welche Sicherheitsanforderungen für die eigene Rolle gelten.
Auch Dienstleister und Externe gehören dazu
Ein weiterer blinder Fleck: Viele Unternehmen denken bei Personalsicherheit nur an eigene Angestellte. Aber: auch direkte Lieferanten und Dienstleister sind hier wichtig, soweit das für die angebotenen Leistungen relevant ist. Sicherheitsverantwortlichkeiten sollen - wo passend - auch in Verträgen oder Servicevereinbarungen verankert werden. Das ist nur logisch: Ein externer Administrator oder Projektmitarbeiter kann sicherheitsseitig genauso kritisch sein wie ein interner Mitarbeiter.
Rollenwechsel und Austritt sind besonders heikel
Ein sehr praktischer Teil der Personalsicherheit beginnt dort, wo viele Unternehmen schlampig werden: beim Rollenwechsel oder Austritt. Sinnvoll ist es, hier Vorgehensweisen zu etablieren, die die Themen
- fortgeltende Pflichten,
- Vertraulichkeitsklauseln,
- Rückgabe von Eigentum,
- rechtzeitigen Entzug von Zugriffsrechten und
- Dokumentation der zurückgegebenen Assets
abdecken. Genau hier entstehen in der Praxis viele unnötige Risiken: Rechte bleiben zu lange offen, Geräte werden nicht sauber eingesammelt oder niemand weiß, welche Verantwortlichkeiten eigentlich übergeben werden müssen.
Zugriff entziehen gehört zur Personalsicherheit dazu
Personalsicherheit und Zugriffskontrolle hängen unmittelbar zusammen. ENISA formuliert für Access Management ausdrücklich, dass Zugriffsrechte gemäß Need-to-know, Least Privilege und Separation of Duties vergeben und bei Beendigung oder Rollenwechsel entsprechend geändert werden müssen. Wer Personalsicherheit ernst nimmt, darf also Offboarding nicht von Berechtigungsmanagement trennen.
Disziplinarprozess klingt unangenehm - ist aber nötig
NIS-2-nahe Personalsicherheit hört nicht bei Schulung und Onboarding auf. ENISA verlangt auch einen kommunizierten und aufrechterhaltenen Disziplinarprozess für Verstöße gegen Sicherheitsrichtlinien. Das heißt nicht, dass jedes Versehen maximal sanktioniert werden soll. Es heißt nur: Sicherheitsregeln müssen verbindlich sein, und das Unternehmen braucht einen klaren Umgang mit Verstößen – im Einklang mit Arbeitsrecht, Datenschutz und internen Zuständigkeiten.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Personalsicherheit heißt, misstrauisch auf Mitarbeiter zu schauen."
Das ist zu kurz gedacht. Personalsicherheit heißt vor allem, Rollen sauber zu schneiden, Erwartungen klar zu machen, Risiken bei sensiblen Rollen nüchtern zu adressieren und Übergänge professionell zu regeln. Anders gesagt: weniger Bauchgefühl, mehr saubere Führung.
Ein pragmatischer Start für Unternehmen
Wenn Sie das Thema ohne Übertreibung, aber belastbar aufsetzen wollen, reicht für den Start meist schon eine klare Linie:
1. Kritische Rollen identifizieren
Welche Funktionen haben besonders viel bzw. privilegierten Zugriff, viel Entscheidungsmacht oder besonders sensible Datenbezüge? ENISA denkt genau von diesen rollenbezogenen Risiken her.
2. Sicherheitsverantwortlichkeiten schriftlich verankern
Nicht nur im Kopf der Führungskraft, sondern in Stellenprofilen, Onboarding und - wo nötig - in Verträgen.
3. Einarbeitung und Auffrischung regeln
Rollenbezogene Sicherheitsunterweisung am Anfang und regelmäßige Auffrischung später.
4. Eintritt, Rollenwechsel und Austritt sauber prozessieren
Rechte, Geräte, Verantwortlichkeiten und Vertraulichkeitsbindung müssen geregelt übergeben, angepasst oder entzogen werden. Hier gilt: auch die Entsorgung von Datenträgern (elektronische sowie auch alle übrigen) aller Art nach Austritt eines Mitarbeiters ist sicherheitsrelevant
5. Dokumentation von Anfang an mitdenken
Wenn später nachgefragt wird, ist es zu spät, Onboarding, Rollenzuschnitt oder Offboarding erst dann sauber zu rekonstruieren. ENISA nennt dafür ausdrücklich Nachweise wie Trainingsunterlagen, Bestätigungen, Vertragsklauseln, Exit-Checklisten und Records zu Access Revocation.
Was will der Auditor oder Prüfer sehen?
Ein Auditor oder Prüfer will in diesem Bereich nicht hören: "Unsere Leute sind halt vertrauenswürdig." Er will erkennen, dass Personalsicherheit geregelt ist: Wer hat welche sicherheitsrelevante Rolle? Wie werden Mitarbeiter und - wo relevant - Dienstleister eingewiesen? Welche Prüfungen gibt es für sensible Funktionen? Wie laufen Rollenwechsel und Austritte? Und wie wird nachgewiesen, dass Zugriffe und Assets rechtzeitig zurückgegeben oder entzogen werden?
Interesse geweckt?
Wenn Sie Personalsicherheit unter NIS-2 so aufsetzen wollen, dass sie praxistauglich ist und nicht in HR-Theater ausartet, dann lassen Sie uns sprechen.
Häufig gestellte Fragen
Was bedeutet Personalsicherheit unter NIS-2?
Personalsicherheit meint unter NIS-2 vor allem, dass Mitarbeiter sowie – soweit relevant – direkte Lieferanten und Dienstleister ihre Sicherheitsverantwortlichkeiten verstehen, dafür passend ausgewählt, eingearbeitet und gesteuert werden und bei Rollenwechsel oder Austritt keine unnötigen Risiken hinterlassen.
Verlangt NIS-2 Hintergrundprüfungen für alle Mitarbeiter?
Nein, nicht pauschal. Hintergrundprüfungen sind risikobezogen für bestimmte kritische Rollen sinnvoll. Hier gilt es, auch Arbeitsrecht, Datenschutz und Verhältnismäßigkeit zu beachten.
Gehören externe Dienstleister auch zur Personalsicherheit?
Ja, soweit sie relevante Leistungen erbringen. Es kommt häufig vor, dass Freelancer oder andere externe Personen "embedded" im eigenen Team eng und vertrauensvoll mitarbeiten.
Was ist bei Austritt oder Rollenwechsel wichtig?
Vor allem fortgeltende Vertraulichkeitspflichten, rechtzeitiger Entzug von Zugriffsrechten, Rückgabe von Assets und dokumentierte Übergaben.
Braucht man dafür einen Disziplinarprozess?
Ja, ein vorab kommunizierter und gepflegter Prozess für Verstöße gegen Sicherheitsrichtlinien (natürlich im Einklang mit geltendem Recht) ist hier absolut sinnvoll, weil Disziplinarmaßnahmen dann nicht als willkürlich verstanden werden.
Was ist der größte Fehler beim Thema Personalsicherheit?
Das Thema entweder zu psychologisieren oder zu bagatellisieren. Entscheidend sind nicht diffuse Vermutungen über Menschen, sondern klare Rollen, Prozesse, Nachweise und Übergänge.
Dieser Artikel gehört zum Thema NIS-2 — erfahren Sie mehr über die Zertifizierung.