Am 13. November 2025 hat der Bundestag das NIS2-Umsetzungsgesetz verabschiedet. Neben strengeren Meldepflichten und erhöhten Schutzmaßnahmen, legt das neue Gesetz auch einen Fokus auf präventive Maßnahmen. Eine davon betrifft Sie direkt als Geschäftsführung. Regelmäßige Schulungen im Bereich IT-Sicherheit sind mit NIS2 keine Empfehlung mehr, sondern gesetzliche Vorgabe. In diesem Blogartikel erfahren Sie, was die Schulungspflicht für Sie bedeutet und wie Sie sie umsetzen.
Was bringt NIS2?
NIS2 soll die Cybersicherheit in der EU auf ein einheitliches Niveau heben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zur Aufsichtsbehörde für rund 29.500 Unternehmen. Diese werden als „besonders wichtige Einrichtungen“ oder „wichtige Einrichtungen“ eingestuft. Die Richtlinie verpflichtet Unternehmen dazu, wirksame Risikomanagementmaßnahmen umzusetzen. Und die Verantwortung dafür liegt bei Ihnen als Geschäftsleitung.
Was umfasst die NIS2-Richtlinie? Wer ist betroffen? Welche verpflichtenden Maßnahmen müssen umgesetzt werden? Unser Blogartikel gibt einen kompakten Überblick!
Wer muss sich schulen lassen?
Die Schulungspflicht gilt für alle Personen, die zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen oder wichtigen Einrichtung berufen sind. Das betrifft nicht nur klassische Geschäftsführer. Gemeint sind auch Vorstände, CFOs, CIOs, CSOs oder geschäftsführende Gesellschafter. Wenn Sie laut Gesetz, Satzung oder Gesellschaftsvertrag zur Geschäftsleitung gehören, sind Sie ebenfalls schulungspflichtig.
Neben dieser durch das Gesetz definierten Gruppe kann es sinnvoll sein, auch weitere Personen im Unternehmen zu schulen, die beispielsweise der Geschäftsführung zuarbeiten oder in Führungspositionen tätig sind.
Warum gibt es diese Pflicht?
Die Schulungspflicht ist Teil der gesetzlichen Vorgaben aus § 38 Abs. 3 BSIG-E. Ein besonderes Augenmerk liegt dort auf präventiven und Risikomanagement-Maßnahmen der Geschäftsleitung. Sie trägt die Verantwortung für die Umsetzung des Risikomanagements in Ihrem Unternehmen. Dabei ist eine wichtige Unterscheidung zu beachten: Geschäftsführer:innen müssen die Maßnahmen nicht selbst technisch umsetzen, aber Sie müssen sie verstehen und überwachen.
Die Schulung soll sicherstellen, dass Sie Risiken im Bereich Cybersicherheit erkennen und bewerten können. Außerdem müssen Sie einschätzen können, wie sich Risiken und Gegenmaßnahmen auf Ihre Dienstleistungen oder Produkte auswirken.
Und es gibt noch einen weiteren Punkt. Als Geschäftsführung haften Sie persönlich nach gesellschaftsrechtlichen Grundsätzen. Wer diese Pflichten missachtet, muss mit rechtlichen Folgen rechnen. Die Schulung ist also auch eine Form des Selbstschutzes.
Was sind die Pflichtinhalte?
Die BSI-Handreichung unterscheidet zwischen vorbereitenden, Kern- und ergänzenden Inhalten bei der NIS2-Schulung und unterstreicht, dass die Inhalte sinnvoll eingebettet werden sollen.
Zunächst sollten Geschäftsleitungen Kontext zur NIS2-Regulierung erhalten. Sie erfahren, welche Pflichten auf Ihr Unternehmen und auf Sie als Geschäftsleitung zukommen. Dazu gehören Inhalte zu den Melde- und Unterrichtspflichten in Unternehmen, die Umsetzung und Dokumentation von Risikomanagement-Maßnahmen und die Registrierungspflicht. Mit diesem Wissen haben Sie eine solide Grundlage für das Verständnis der Kernbereichsinhalte.
Der Kernbereich behandelt drei zentrale Themenbereiche: Risikoerkennung und -bewertung, Risikomanagement-Maßnahmen und Auswirkungsbeurteilung. Die Inhalte dieser drei Schwerpunkte helfen Ihnen dabei, im Ernstfall angemessene Entscheidung treffen zu können. Dabei geht es vor allem, um das strategische Verständnis und nicht das technische. Die Inhalte sollen Ihnen dabei helfen, wesentliche Bedrohungen, deren Eintrittswahrscheinlichkeit und die potenziellen Auswirkungen zu verstehen. Außerdem liegt ein Schwerpunkt auf den organisatorischen Schutzmaßnahmen. Geschäftsleitungen sollen in der Lage sein, den Einsatz von Schutzmaßnahmen beurteilen und überwachen zu können. Bei dem letzten Themenbereich geht es um die Beurteilung der Auswirkungen auf Ihre erbrachten Dienste und Prozesse und das Verständnis für das ganzheitliche Risikomanagement Ihres Unternehmens.
Ergänzend können branchenspezifische Inhalte dazukommen, die sektor- oder einrichtungsspezifische Inhalte abbilden. Ein Produktionsunternehmen hat andere Risiken als ein Online-Shop. Szenarien oder Fallstudien helfen dabei, das Gelernte auf Ihre konkrete Situation zu übertragen.
Nehmen wir ein Beispiel. Sie führen einen mittelständischen Produktionsbetrieb. Ein Cyberangriff legt Ihre Steuerungssysteme lahm. Die Fertigung steht still. Was bedeutet das für Ihre Lieferketten? Wie schnell können Sie wieder hochfahren? Welche Notfallpläne brauchen Sie? Solche Fragen sollten Sie nach der Schulung beantworten können.
Wie oft und wie lange?
Laut Gesetz muss an den Schulungen regelmäßig teilgenommen werden. Als „regelmäßig“ im Sinne dieser Vorschrift gelten Schulungen, die mindestens alle drei Jahre angeboten werden. Bei der Länge wird von einer halbtägigen Schulung (vier Stunden) ausgegangen. Die vier Stunden sind allerdings ein Richtwert. Je nach Komplexität Ihres Unternehmens kann die Schulung kürzer oder länger ausfallen. Wichtig ist nur, dass Sie am Ende ausreichende Kenntnisse haben. Das ist das Ziel, nicht die Stundenzahl.
Auch bei der Regelmäßigkeit sollte man genau hinschauen. Es gibt Situationen, in denen kürzere Intervalle sinnvoll sind. Wenn sich Ihre Geschäftsprozesse stark ändern, wenn neue Risiken auftauchen oder wenn Sie Ihre IT-Infrastruktur umbauen, sollten Sie früher nachschulen. Auch personelle Wechsel in der Geschäftsleitung sind ein Anlass. Neue Mitglieder müssen geschult werden, bevor sie ihre Verantwortung voll übernehmen können.
Wer bietet Schulungen an?
Aus Sicht des BSI gibt es drei Optionen, um die Schulungen durchführen zu lassen:
- Internes, qualifiziertes Personal kann die Schulung durchführen. Der Vorteil liegt auf der Hand. Sie kennen Ihr Unternehmen, Ihre Systeme und Ihre Prozesse. Der Nachteil ist, dass sie möglicherweise wenig Erfahrung mit Schulungen haben. Außerdem fehlt ihnen oft die Kapazität.
- Externe IT-Sicherheitsdienstleister und Beratungsunternehmen kommen ebenfalls infrage. Auch sie kennen Ihr Unternehmen, wenn sie bereits für Sie arbeiten. Aber hier können Interessenkonflikte entstehen. Wer Ihre Systeme betreut, sollte Sie nicht gleichzeitig prüfen und schulen.
- Spezialisierte Schulungsanbieter können Sie ebenfalls unterstützen. Sie haben Erfahrung mit der Vermittlung von Wissen und kennen die gesetzlichen Anforderungen genau. Allerdings müssen sie sich erst in Ihre spezifische Situation einarbeiten.
Für kleine und mittlere Unternehmen bietet sich oft eine Mischung an. Lassen Sie sich extern schulen und binden Sie, falls vorhanden, Ihre internen Expert:innen ein, um die Inhalte auf Ihr Unternehmen zu übertragen.
Wie setzen Sie das Wissen um?
Das Ziel einer Schulung sollte sein, dass Sie konkrete Leitfragen beantworten können.
Welche IT-Sicherheitsrisiken bestehen in unserem Unternehmen? Wer ist intern für welche Maßnahmen verantwortlich? Wie überprüfen wir, ob unsere Maßnahmen wirken? Was tun wir im Ernstfall?
Wenn Sie auf diese Fragen keine klaren Antworten haben, war die Schulung nicht ausreichend. Dann müssen Sie nacharbeiten oder eine andere Schulung wählen.
Die Schulung ist kein Selbstzweck. Sie soll Sie befähigen, Ihre Verantwortung wahrzunehmen. Das bedeutet auch, dass Sie die richtigen Leute in Ihrem Unternehmen mit den richtigen Aufgaben betrauen. Sie müssen nicht alles selbst machen, aber Sie müssen wissen, was gemacht werden muss.
Worauf sollten Sie achten?
Prüfen Sie vor dem Schulungsbeginn, ob die Schulung die gesetzlichen Anforderungen tatsächlich erfüllt werden. Die BSI-Handreichung hilft Ihnen dabei, einen Überblick über die Schulungsinhalte zu bekommen. Fragen Sie den Dienstleister oder externen Schulungsanbieter nach konkreten Inhalten und danach, wie branchenspezifische Themen behandelt werden.
Dokumentieren Sie nach erfolgreichem Abschluss der Schulung Ihre Teilnahme. Bewahren Sie Zertifikate oder Teilnahmebestätigungen auf. Bei einer Prüfung durch das BSI müssen Sie nachweisen können, dass Sie Ihrer Schulungspflicht nachgekommen sind.
Und denken Sie daran, dass die Schulung nur der erste Schritt ist. Sie müssen das Gelernte in Ihrem Unternehmen anwenden. Sorgen Sie dafür, dass Risikomanagementprozesse etabliert werden und dass jemand für die Umsetzung verantwortlich ist.
Das Handbuch „Management von Cyberrisiken“ der Allianz für Cybersicherheit zeigt sechs grundlegende Prinzipien, die Unternehmensleitungen bei der Betrachtung von Cyberrisiken unterstützen.
NIS2 bedeutet auf den ersten Blick mehr Aufwand für Sie als Geschäftsleitung. Aber es bedeutet auch mehr Sicherheit für Ihr Unternehmen. Die Schulungspflicht zwingt Sie dazu, sich mit einem Thema auseinanderzusetzen, das viele Unternehmen bisher vernachlässigt haben. Nutzen Sie diese Chance!
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
