Schulungspflicht (Training Obligation / IT-Sicherheitsschulung)

Die Schulungspflicht verpflichtet Organisationen, Mitarbeitende regelmäßig in IT-Sicherheit und Datenschutz zu schulen; NIS2 konkretisiert diese Pflicht für Leitungsebenen in §38 BSIG-E mit einem Schulungsgebot zu Risikomanagementmaßnahmen. Im Vergabekontext sollten Auftraggeber von IT-Dienstleistern nachweisbare Schulungsprogramme (Ersteinweisung, jährliche Auffrischung, rollenspezifische Schulungen) als Eignungsanforderung oder Ausführungsbedingung einfordern. Das BSI empfiehlt, Awareness-Schulungen durch Phishing-Simulationen und Tabletop-Exercises zu ergänzen, um den Lernerfolg messbar zu machen.