KIProf. Dr. SchanbacherKI für den Mittelstand
IT-Sicherheit

Modul 1 von 4

Grundlagen & rechtlicher Rahmen

Cybersicherheit ist längst kein reines IT-Thema mehr, sondern Chefsache und Pflicht jedes Einzelnen. Dieses Modul ordnet ein, warum – und welche Gesetze (DSGVO, NIS2) dahinterstehen.

Der Mensch als wichtigste Verteidigungslinie

Die meisten erfolgreichen Cyberangriffe beginnen nicht mit hochtechnischer Hackerei, sondern mit einer Person, die auf einen Link klickt, einen Anhang öffnet oder ein Passwort verrät. Technik allein schützt nicht – geschulte, aufmerksame Mitarbeitende sind der entscheidende Faktor. Ziel jeder Schulung ist es, das Sicherheitsbewusstsein zu erhöhen und Gefahren zu minimieren.

Rechtlicher Rahmen: DSGVO und NIS2

Sicherheit ist nicht nur sinnvoll, sondern vorgeschrieben. Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen – Schulungen zählen ausdrücklich dazu. Hinzu kommt die europäische NIS2-Richtlinie zur Cybersicherheit. In Deutschland wurde sie mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt, das am 6. Dezember 2025 in Kraft getreten ist und rund 29.500 Unternehmen zu deutlich höheren Sicherheitspflichten verpflichtet. Betroffene Unternehmen müssen sich bis zum 6. März 2026 beim BSI registrieren.

Betroffen sind grundsätzlich mittlere Unternehmen mit mindestens 50 Mitarbeitenden und mindestens 10 Mio. € Jahresumsatz oder Bilanzsumme in bestimmten Sektoren. Für besonders kritische Sektoren (Energie, Gesundheit, Wasserversorgung) gelten teils niedrigere oder gar keine Schwellenwerte. Pflichten umfassen: Risikomanagementmaßnahmen, BSI-Registrierung, Prüfung der eigenen Lieferkette auf Sicherheitsanforderungen sowie Meldung von Cybersicherheitsvorfällen in gestaffelten Fristen (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat). Achtung: Die NIS2-72h-Frist für Cybervorfälle ist nicht identisch mit der DSGVO-72h-Frist für Datenschutzverletzungen – beide können gleichzeitig greifen. Neu und besonders wichtig: Die Geschäftsleitung haftet für Umsetzungsversäumnisse persönlich und aus eigenen Mitteln.

Beispiel: Wenn die Schulung fehlt

Verletzt ein Mitarbeitender fahrlässig die Datensicherheit – etwa durch einen Klick auf eine Phishing-Mail –, kann eine fehlende oder mangelhafte Schulung dem Unternehmen als Organisationsversäumnis angelastet werden. Eine dokumentierte, regelmäßige Schulung ist daher auch ein rechtlicher Schutzschild für das Unternehmen.

Die drei Schutzziele

  • Vertraulichkeit: Nur Berechtigte sehen die Daten.
  • Integrität: Daten sind korrekt und unverändert.
  • Verfügbarkeit: Systeme und Daten sind nutzbar, wenn sie gebraucht werden.
Vertraulichkeit Nur Berechtigte sehen die Daten Integrität Daten sind korrekt und unverändert Verfügbarkeit Nutzbar, wenn sie gebraucht werden
Die drei klassischen Schutzziele (CIA-Triade) – jede Sicherheitsmaßnahme zahlt auf mindestens eines ein.

Das Wichtigste in Kürze

  • Die meisten Angriffe beginnen beim Menschen – Aufmerksamkeit ist entscheidend.
  • Art. 32 DSGVO und NIS2UmsuCG (in DE seit 6.12.2025) verlangen Sicherheitsmaßnahmen inkl. Schulung; BSI-Registrierung bis 6.3.2026.
  • NIS2-Meldefristen: 24h Frühwarnung, 72h Meldung (Cybervorfälle!), 1 Monat Abschluss – verschieden von DSGVO-72h-Frist.
  • Geschäftsleitung haftet persönlich; Lieferkettensicherheit ist Pflicht.
  • Drei Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit.

?Wissens-Check

Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.

Frage 1.Welche Rechtsgrundlagen verlangen geeignete Sicherheitsmaßnahmen inkl. Schulung?

Frage 2.Was kann fehlende Schulung im Schadensfall bedeuten?

Frage 3.Welche drei Schutzziele kennt die Informationssicherheit?

← Zur Kursübersicht