NIS-2 Schulungspflicht: Cybersecurity-Awareness für Führungskräfte

Hier ist eine Neuerung, die bei manchen Geschäftsführern für Stirnrunzeln sorgt: NIS-2 macht Cybersicherheitsschulungen für die Unternehmensleitung zur Pflicht. Keine Empfehlung, keine Best Practice – eine rechtliche Verpflichtung. Der Geschäftsführer muss selbst auf die Schulbank.

Was das Gesetz sagt

Artikel 20 Absatz 2 der NIS-2-Richtlinie ist eindeutig: Die Mitglieder der Leitungsorgane müssen an Schulungen teilnehmen, um “ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen zu erwerben.”

Das ist kein Vorschlag. Das ist Pflicht.

Wen betrifft das konkret?

Bei einer GmbH: alle Geschäftsführer. Bei einer AG: alle Vorstandsmitglieder, möglicherweise auch Aufsichtsratsmitglieder, je nach nationaler Umsetzung. Bei anderen Rechtsformen: die jeweils vergleichbaren Leitungspersonen.

Für Mitarbeitende gilt eine abgeschwächte Formulierung – Schulungen sollen “gefördert” werden. Das ist keine direkte Pflicht, aber regelmäßige Cyberhygiene-Schulungen gehören zu den Mindestanforderungen. Faktisch brauchen Sie also beides: Schulungen für die Leitung und ein Awareness-Programm für alle.

Was in der Schulung drinstehen muss

Die Richtlinie nennt vier Bereiche.

Risikoerkennung: Wie sieht die aktuelle Bedrohungslandschaft aus? Welche Angriffsmethoden sind typisch? Was sind die spezifischen Risiken für Ihre Branche? Woran erkennt man Warnsignale?

Risikobewertung: Grundlagen des Risikomanagements. Wie bewertet man Eintrittswahrscheinlichkeit und Schadensausmaß? Wie priorisiert man Risiken? Wie trifft man Kosten-Nutzen-Abwägungen bei Sicherheitsmaßnahmen?

Managementpraktiken: Was sind grundlegende technische und organisatorische Maßnahmen? Wie baut man Governance-Strukturen für Cybersicherheit auf? Was ist die Rolle der Geschäftsleitung? Welche Standards und Best Practices gibt es?

Auswirkungen verstehen: Was passiert bei einem Cyberangriff – geschäftlich, rechtlich, für die Reputation, finanziell?

Das klingt nach viel, und das ist es auch. Aber es geht nicht darum, jeden Geschäftsführer zum IT-Sicherheitsexperten zu machen. Es geht darum, dass die Leitung informierte Entscheidungen treffen kann.

Wie eine sinnvolle Schulung aussieht

Ein bewährter Ansatz teilt die Inhalte in Module auf.

Das Grundlagen-Modul dauert zwei bis drei Stunden und deckt die Bedrohungslandschaft ab: Was passiert da draußen? Ransomware, Phishing, Social Engineering – konkrete Beispiele, konkrete Schäden. Dazu der regulatorische Rahmen: NIS-2 im Überblick, DSGVO, branchenspezifische Vorgaben. Und besonders wichtig: die persönliche Verantwortung. Was sind die Pflichten der Geschäftsleitung? Wo liegen die Haftungsrisiken?

Das Risikomanagement-Modul braucht ebenfalls zwei bis drei Stunden. Wie funktioniert Risikobewertung? Wie identifiziert man kritische Assets? Wie priorisiert man? Und dann die Entscheidungsperspektive: Wie viel Sicherheit ist angemessen? Wie rechtfertigt man Investitionen? Wo sind die Grenzen der Risikoakzeptanz?

Das Maßnahmen-Modul vermittelt einen Überblick: Die zehn NIS-2-Mindestmaßnahmen, was technische Maßnahmen leisten und was nicht, organisatorische Maßnahmen. Dazu Überwachung und Kontrolle: Security Metrics verstehen, Berichte richtig lesen, die richtigen Fragen an die IT stellen.

Das Krisenmanagement-Modul behandelt Incident Response: Was tun im Ernstfall? Meldepflichten und Fristen, Kommunikation in der Krise. Idealerweise mit einer praktischen Übung – eine Tabletop-Simulation eines Ransomware-Angriffs, bei der die Teilnehmer Entscheidungen unter Druck treffen müssen.

Welches Format passt?

Präsenzschulungen ermöglichen intensiven Austausch und direkte Fragen, praktische Übungen funktionieren besser. Aber die Terminkoordination ist schwierig, die Kosten sind höher, und die Anreise kostet Zeit.

E-Learning bietet flexible Zeiteinteilung und eigenes Lerntempo, ist kostengünstiger. Aber es fehlt die Interaktion, die Ablenkungsgefahr ist höher, individuelle Fragen bleiben offen.

Blended Learning kombiniert beide Ansätze: Grundlagen per E-Learning, Vertiefung und Übungen in Präsenz. Das ist meist die beste Balance.

Wie oft müssen Schulungen stattfinden?

Die Richtlinie nennt keine konkreten Intervalle. Sinnvoll ist:

Eine Initialschulung bei Erstbetroffenheit durch NIS-2 oder bei Neubesetzung einer Leitungsposition.

Regelmäßige Auffrischung jährlich oder bei wesentlichen Änderungen – neue Bedrohungen, neue Regulierung, neue Risiken.

Anlassbezogene Schulungen nach Sicherheitsvorfällen im Unternehmen oder bei größeren Änderungen im regulatorischen Umfeld.

Dokumentation nicht vergessen

Sie müssen nachweisen können, dass die Schulungen stattgefunden haben. Dokumentieren Sie Datum und Dauer, Inhalte und Format, teilnehmende Personen, Schulungsanbieter oder Referent.

Bewahren Sie die Nachweise mindestens für die Dauer der Leitungstätigkeit auf. Bei Audits müssen Sie sie vorzeigen können.

Akzeptierte Formate sind Teilnahmebescheinigungen, Zertifikate bei externen Schulungen, Protokolle bei internen Schulungen, bei E-Learning die Abschlussnachweise aus dem System.

Schulungen für Mitarbeitende

Neben der Geschäftsleitung brauchen auch die Mitarbeiter Schulungen – das gehört zu den Mindestanforderungen.

Alle Mitarbeitenden brauchen Basis-Awareness: Phishing erkennen, sichere Passwörter, Social Engineering verstehen, Meldewege kennen.

IT-Personal braucht vertiefende technische Schulungen: Incident Response, sichere Administration.

Besondere Zielgruppen brauchen spezifische Inhalte: Führungskräfte zusätzliche Sensibilisierung, HR die Sicherheitsaspekte bei Einstellung und Austritt, Einkauf das Thema Lieferantenrisiken.

Die Frequenz: Onboarding bei Eintritt, Refresher mindestens jährlich, anlassbezogen bei Vorfällen oder neuen Bedrohungen.

Methoden, die funktionieren: kurze, regelmäßige Module statt einmaliger Marathonschulungen, Phishing-Simulationen, Gamification-Elemente, praktische Beispiele aus der eigenen Branche.

Wie Sie einen Schulungsanbieter auswählen

Achten Sie auf Erfahrung mit NIS-2-Schulungen, zielgruppengerechte Aufbereitung (nicht zu technisch für Geschäftsführer!), Aktualität der Inhalte, Praxisbezug und Übungen, aussagekräftige Nachweise und Zertifikate.

Mögliche Anbieter sind spezialisierte Schulungsunternehmen, IHK und Wirtschaftsverbände, IT-Sicherheitsdienstleister, Online-Plattformen für Awareness-Training.

Kosten: Geschäftsführer-Schulungen liegen bei 500 bis 2.000 Euro pro Person. Awareness-Plattformen für alle Mitarbeiter kosten etwa 5 bis 15 Euro pro Mitarbeiter pro Jahr. Inhouse-Schulungen variieren je nach Umfang und Anbieter.

Der Punkt

Die Schulungspflicht für Geschäftsführer ist kein bürokratischer Selbstzweck. Sie unterstreicht: Cybersicherheit ist Chefsache. Wer über Investitionen entscheidet, wer Risiken akzeptiert oder ablehnt, wer im Krisenfall die Verantwortung trägt – der muss verstehen, worum es geht.

Ein Geschäftsführer, der die Grundlagen kennt, kann besser mit der IT kommunizieren. Kann klügere Investitionsentscheidungen treffen. Kann im Krisenfall souveräner handeln. Das ist kein Nice-to-have, das ist Voraussetzung für verantwortungsvolle Unternehmensführung.

Fangen Sie an: Identifizieren Sie einen Schulungsanbieter, terminieren Sie die Schulungen, dokumentieren Sie die Teilnahme. Die rechtliche Pflicht erfüllen Sie damit – aber der eigentliche Gewinn ist ein besseres Verständnis für die Risiken, die Ihr Unternehmen betreffen.