Jetzt Mitglied werden!
eRecht24.de

NIS-2-Schulung

NIS-2 verpflichtet zur Schulung – sind Sie als Geschäftsleitung vorbereitet?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(1 Bewertung, 5.00 von 5)

Das Wichtigste in Kürze

  • Die NIS-2-Richtlinie weitet die Cybersicherheitsvorgaben aus und verpflichtet Unternehmen aus zahlreichen Branchen zu höheren Sicherheitsstandards.
  • Gesetzlich vorgeschrieben sind u. a. regelmäßige Schulungen für Geschäftsleitung und Führungskräfte.
  • Die Schulung der Geschäftsführung lässt sich nicht delegieren und muss in regelmäßigen Abständen wiederholt werden.
Ich möchte mich ausführlich informieren Jetzt NIS-2-Schulung buchen

Worum geht's?

Cyberangriffe gehören mittlerweile zu den größten Geschäftsrisiken für Unternehmen. Mit der NIS-2-Richtlinie werden daher nicht mehr nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche andere Branchen zu mehr Cybersicherheit verpflichtet. Neben Meldepflichten und der Umsetzung und Überwachung geeigneter Maßnahmen sieht NIS-2 eine Schulungspflicht vor. Wer sich nicht an die Vorgaben hält, riskiert Bußgelder, Reputationsverluste – und eine persönliche Haftung der Geschäftsleitung. Wir geben Tipps, wie Sie die Anforderungen rechtssicher umsetzen.

 

1. Was besagt die NIS-2-Richtlinie?

Mit der NIS-2-Richtlinie hat die EU den regulatorischen Rahmen für Cybersicherheit deutlich verschärft: Unternehmen aus bestimmten Branchen werden verpflichtet, ihren Schutz vor Cyberkriminalität zu erhöhen. Neben technischen und organisatorischen Maßnahmen (TOM) rückt insbesondere die Qualifizierung und Sensibilisierung von Führungskräften und Mitarbeitenden in den Fokus. NIS-2 sieht für die betroffenen Unternehmen eine Schulungspflicht im Bereich Daten- und Cybersicherheit vor.

NIS-2 ersetzt die bisherige EU-NIS-Richtlinie 2016/1148 zur Netzwerk- und Informationssicherheit. In Deutschland wird sie durch das NIS-2-Umsetzungsgesetz und das überarbeitete BSI-Gesetz in die nationale Gesetzgebung überführt.

Für die Umsetzung durch die EU-Mitgliedstaaten galten Übergangsfristen. Seit dem 6. Dezember 2025 sind die gesetzlichen Vorgaben aber auch hierzulande in Kraft.

Was verlangt die NIS-2-Richtlinie?

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, müssen u. a.

  • sich bei der zuständigen Behörde registrieren lassen (§ 33 BSIG),
  • Risikomanagementmaßnahmen ergreifen (§ 30 BSIG),
  • erhebliche Sicherheitsvorfälle melden (§ 32 BSIG),
  • am Informationsaustausch teilnehmen (§ 35 BSIG)
  • und ihre Geschäftsleitungen schulen (§ 38 BSIG).

Neben NIS-2 verpflichtet die CER-Richtlinie die Mitgliedstaaten der EU, kritische Einrichtungen stärker gegen Naturgefahren, Terroranschläge und Sabotage zu schützen. Die CER-Richtlinie ist ebenso wie NIS-2 auf EU-Ebene bereits 2023 in Kraft getreten.

2. Welche Unternehmen sind von der NIS-2-Richtlinie betroffen?

Die neue NIS-2-Richtlinie umfasst nicht mehr nur Betreiber kritischer Infrastruktur (KRITIS), sondern auch weitere “wichtige” und “besonders wichtige” Einrichtungen, die mindestens 50 Angestellte oder einen Jahresumsatz über 10 Mio. Euro verzeichnen.

NIS-2: Wer ist betroffen?

Erfasst werden u. a. Betriebe und Organisationen aus den Bereichen:

  • Energie
  • Wasser und Abwasser
  • Verkehr
  • Gesundheitswesen
  • Digitale Infrastruktur und Telekommunikation
  • Top Level Domain Name Registries und DNS-Diensteanbieter
  • Abfallwirtschaft
  • Öffentliche Verwaltung
  • Finanz- und Versicherungswesen

Neben der Branchenzugehörigkeit spielt die Größe des Unternehmens und seine Bedeutung für Gesellschaft und Wirtschaft eine Rolle. Insgesamt betrifft die NIS-2-Richtlinie knapp 30.000 Unternehmen in Deutschland – mehr als fünfmal so viele wie in der alten NIS-Richtlinie.

Wenn Sie sich fragen, ob Ihr Unternehmen betroffen ist, können Sie auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine NIS-2-Betroffenheitsprüfung durchführen.

Wer muss NIS-2 umsetzen?

Die Geschäftsleitung trägt die Verantwortung für das Risikomanagement von Informations- und Cybersicherheit. Auch wenn die IT komplett an einen Dienstleister ausgelagert wird, bleibt das Unternehmen in der Verantwortung und muss sicherstellen, dass dieser die Vorgaben der NIS-2-Richtlinie umsetzt. Verträge allein reichen dafür nicht aus.

3. Was ist eine NIS-2-Schulung?

Unternehmen, die unter den Geltungsbereich der NIS-2-Richtlinie fallen, sind verpflichtet, Maßnahmen zur Cybersicherheit als integralen Bestandteil in ihre Geschäftsprozesse zu integrieren. Dafür sieht § 38 BSIG neben geeigneten technischen und organisatorischen Maßnahmen regelmäßige Schulungen bzw. Seminare für die Geschäftsführung vor.

Durch diese sollen Führungskräfte in der Lage sein,

  • Cybersicherheitsrisiken zu erkennen und zu bewerten.
  • technisch-organisatorische Risikomanagementmaßnahmen einzuführen.
  • die Auswirkungen von Risiken und Praktiken im Risikomanagement zu beurteilen.

Als Geschäftsleitung müssen Sie Kenntnisse in allen drei Bereichen erlangen und Risiken, Schutzmaßnahmen und deren Auswirkungen als gemeinsames Konzept verstehen – denn nur so können Sie fundierte Entscheidungen treffen. Seminare, die nur einzelne Aspekte behandeln, erfüllen die gesetzlichen Bedingungen nicht und werden auch vom BSI als unzureichend angesehen.

Sören Siebert
Sören SiebertRechtsanwalt

Die Absolvierung ist zu dokumentieren und auf Verlangen den zuständigen Behörden vorzulegen. Halten Sie in der Dokumentation fest, wer teilgenommen hat, wie lange das Seminar gedauert hat und welche Inhalte behandelt wurden. Eine Abschlussprüfung ist jedoch nicht notwendig.

4. Für wen ist eine NIS-2-Schulung Pflicht?

Durch die Neuerung der NIS-2-Richtlinie sind Schulungen zur Cybersicherheit keine freiwillige Maßnahme mehr, sondern für die Geschäftsführung der betroffenen Unternehmen gesetzliche Pflicht. Dadurch soll sichergestellt werden, dass sich diese bei Pflichtverstößen gegen die Cybersicherheit nicht auf Unkenntnis berufen kann.

Die Pflicht betrifft in erster Linie Führungskräfte. Entscheidend ist aber nicht der formale Titel, sondern die tatsächliche Funktion im Unternehmen: Wer eine Leitungs- und Führungsposition innehat, sollte eine Schulung absolvieren. In vielen Betrieben betrifft das mehrere Mitglieder der Management-Ebene gleichzeitig – z. B. neben der Geschäftsführung auch Vorstände, CFOs, COOs oder geschäftsführende Gesellschafter. Es ist nicht ausreichend, wenn sich von der Führungsetage nur eine Person schulen lässt.

Neben der gesetzlichen Pflicht kann ein freiwilliges Seminar für alle Mitarbeitenden, die der Geschäftsleitung zuarbeiten, Einfluss auf kritische Abläufe und IT-Sicherheit haben oder an Entscheidungen zum Risikomanagement beteiligt sind, zusätzlich sinnvoll sein.

Zusammengefasst

Eine NIS-2-Schulung richtet sich an Führungskräfte und leitende Angestellte von Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von mehr als 10 Millionen Euro, die als “wichtige” oder “besonders wichtige” Einrichtungen im Sinne des NIS-2-Umsetzungsgesetzes gelten. Betreiber kritischer Anlagen müssen NIS-2 unabhängig von diesen Kriterien umsetzen.

5. Schulungsinhalte: Was muss bei NIS-2 gemacht werden?

Bei einer NIS-2-Schulung gibt es verpflichtende Kerninhalte, die den Teilnehmern vermittelt werden müssen, sowie Zusatzinhalte, die keine Pflicht, aber empfehlenswert sind.

Vorbereitende Inhalte

Die vorbereitenden Inhalte sehen ein grundlegendes Verständnis der Richtlinie, ihrer Umsetzung in Deutschland und den daraus resultierenden Pflichten vor. Dadurch sollen Führungskräfte die eigene Verantwortung wahrnehmen und die nachfolgenden Inhalte sachgerecht einordnen können.

Zu den vorbereitenden Inhalten gehören:

  • Ziele, Inhalte und Geltungsbereich der NIS2-Richtlinie
  • Pflichten für wichtige und besonders wichtige Einrichtungen
  • Verantwortung der Geschäftsführung
  • Risikomanagement nach Stand der Technik
  • Melde- und Registrierungspflichten
  • Haftungsrisiken und mögliche Sanktionen

Inhaltlicher Kern

Die Schulungspflicht sieht drei gesetzlich vorgeschriebene Kernbereiche vor, die die notwendigen Fachkenntnisse vermitteln sollen, um verantwortungsvolle Entscheidungen im Cybersicherheits- und Risikomanagement zu treffen.

Die Kerninhalte einer NIS-2-Schulung sind:

  • Risikoanalyse (Erkennung und Bewertung von Risiken)
  • Cybersicherheitsmaßnahmen
  • Auswirkungen von Risiken und Risikomanagementmaßnahmen

Ergänzende Inhalte

Neben den Kerninhalten ist es sinnvoll, wenn in der Schulung ergänzend spezielle Anforderungen des jeweiligen Sektors vermittelt werden, um den Bezug zur Praxis herzustellen. Übungen, Fallstudien und Szenarien helfen dabei, Risiken und Schutzmaßnahmen besser zu verstehen und anzuwenden.

Ergänzende Inhalte, die das BSIG empfiehlt, behandeln u. a.:

  • Sektor- und einrichtungsspezifische Inhalte (z. B. B3S, ISO-Normen, sektorspezifische Sicherheitskataloge)
  • typische Bedrohungsszenarien des jeweiligen Sektors
  • Beispielszenarien für Schwachstellen oder Entscheidungssituationen, interaktive Übungen, Fallstudien

Wie oft sollten die NIS-2-Schulungen erfolgen?

Die Schulungen sind keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess, der mindestens alle drei Jahre wiederholt werden sollte. Kürzere Abstände sind sinnvoll, wenn die Geschäftsführung wechselt, neue IT-Sicherheitsmaßnahmen eingeführt werden, es erhebliche Änderungen in den Geschäftsprozessen gibt oder höhere Risiken entstehen.

6. Was droht bei Verstößen gegen NIS-2?

Wer gegen die NIS-2-Richtlinie verstößt – einschließlich unzureichender Umsetzung von Schulungspflichten – riskiert je nach Art des Verstoßes

  • empfindliche Bußgelder
  • behördliche Anordnungen
  • persönliche Haftungsrisiken für Leitungsorgane
  • Image- und Vertrauensverlust bei Sicherheitsvorfällen

Verstöße können mit Bußgeldern zwischen 100.000 und 5 Mio. Euro geahndet werden. Für besonders schwerwiegende Verstöße drohen noch höhere Bußgelder.

Auch wenn für eine vergessene NIS-2-Schulung wohl kein Bußgeld in Millionenhöhe verhängt wird, sollten Sie die Schulungspflicht im Blick haben – allein aus Gründen der persönlichen Haftung. Sollte es nämlich z. B. aufgrund fehlenden Wissens zu einem Phishing-Angriff kommen, der sich hätte vermeiden lassen, sind Sie als Geschäftsführung ggf. mit Ihrem Privatvermögen haftbar.

ACHTUNG

Führungskräfte können bei Verstößen gegen NIS-2 persönlich haften. Sie sollten daher gewährleisten, dass verpflichtende Schulungen systematisch geplant, durchgeführt und dokumentiert werden.

7. Wo kann ich eine NIS-2-Schulung buchen – und was kostet das?

Sie haben die Wahl, ob Sie die Schulung über einen externen Dienstleister durchführen oder ob ein qualifizierter Mitarbeiter die Aufgabe übernimmt. Beides ist aus Sicht des BSI zulässig. Wichtig ist, dass nicht nur oberflächliche oder abstrakte Inhalte vermittelt werden, sondern auch auf die individuellen Gegebenheiten des Unternehmens eingegangen wird.

In diesen kennen sich eigene Mitarbeiter in der Regel besser aus, allerdings fehlt es oftmals an ausreichenden Fachkenntnissen zu den Anforderungen der NIS-2-Richtlinie und übergreifenden Cybersicherheitspraktiken. Externe, spezialisierte Anbieter können hinsichtlich der Herausforderungen und offenen Fragen zur Umsetzung daher die bessere Wahl sein. Allerdings müssen auch sie einrichtungsindividuelle Aspekte berücksichtigen.

Mit der NIS-2-Schulung unseres eRecht24 Partners Legaltrust erhalten Sie gezieltes Wissen zur Richtlinie und ihrer praktischen Umsetzung. Sie erfahren, welche Pflichten auf Ihr Unternehmen zukommen, wie Sie Risiken und Meldepflichten korrekt einordnen und eingesetzte TOMs rechtssicher steuern. Die Schulung vermittelt Ihnen nicht nur rechtliche Grundlagen, sondern auch Handlungsempfehlungen für ein höheres Cybersicherheitsniveau – inklusive Nachweis zur Erfüllung der gesetzlichen Schulungspflicht.

Mehr zur NIS-2-Schulung

NIS‑2‑Schulung von Legaltrust

Erfüllen Sie Ihre Schulungspflicht mit der NIS-2-Schulung von Legaltrust. Lernen Sie, Risiken zu erkennen, Meldepflichten korrekt umzusetzen und Ihr Risikomanagement rechtssicher zu steuern – schon ab 990 Euro (zzgl. USt.)

Mehr zur NIS-2-Schulung

8. Checkliste: NIS-2-Schulung für Unternehmen

NIS2-Schulung in der Praxis: Darauf kommt es an

1. Grundlagen der NIS-2-Richtlinie

  • Geschäftsführung kennt Inhalte, Ziele und den Geltungsbereich der Richtlinie
  • Pflichten für wichtige und besonders wichtige Einrichtungen werden verständlich vermittelt

2. Verantwortung der Geschäftsführung

  • Regelmäßige Teilnahme an verpflichtenden Schulungen
  • Kontinuierliche Überprüfung der umgesetzten Cybersicherheitsmaßnahmen
  • Dokumentation und Prüfung ihrer Wirksamkeit

3. Risikomanagement

  • Risikomanagementmaßnahmen, die den Anforderungen nach § 30 Abs. 2 BSIG-E und dem aktuellen Stand der Technik entsprechen
  • mindestens einmal jährlich Risikoanalysen (technisch und organisatorisch)
  • Berücksichtigung von Sicherheitsanforderungen bei der Beschaffung und Entwicklung von IT-Systemen
  • Risikoanalysen bei Dienstleistern und Lieferanten

4. Sicherheitsvorfälle

  • Definition, was ein erheblicher Sicherheitsvorfall ist
  • Meldepflichten an zuständige Aufsichtsbehörden bekannt und eingehalten
  • klarer und regelmäßig getesteter Reaktionsplan für Sicherheitsvorfälle
  • regelmäßige Überprüfung von Backups und Wiederherstellungsprozessen

5. Monitoring und Kennzahlen

  • Definition von KPIs und KRIs (z. B. Zeit bis zur Erkennung, Zeit bis zur Reaktion, Anzahl offener Schwachstellen)
  • Regelmäßige Berichterstattung der Kennzahlen an die Geschäftsführung

6. Zusätzliche Sicherheitsmaßnahmen

  • Verschlüsselung sensibler Daten
  • Begrenzte und dokumentierte Zugriffsrechte
  • Multi-Faktor-Authentifizierung (MFA)
  • Mitarbeiterschulungen

9. Fazit: Keine Cybersicherheit ohne geschulte Geschäftsleitung

Die NIS-2-Richtlinie bringt für viele Unternehmen neue Anforderungen an die eigene Cybersicherheit mit sich und nimmt dabei vor allem die Geschäftsleitung in die Pflicht. Betroffene Unternehmen müssen nicht nur technische und organisatorische Maßnahmen zum Risikomanagement kennen und umsetzen, sondern auch sicherstellen, dass die Geschäftsführung über die notwendigen Fachkenntnisse verfügt, um Cyberrisiken fundiert einzuschätzen und sinnvolle Entscheidungen zu treffen.

Ohne fundierte Kenntnisse drohen bei Rechtsverstößen nicht nur Bußgelder und Reputationsverluste, sondern auch eine persönliche Haftung der Geschäftsführung. Die Schulung ist daher für alle Führungskräfte Pflicht – und das ab sofort, denn das NIS-2-Umsetzungsgesetz ist in Deutschland bereits seit dem 6. Dezember 2025 in Kraft.

Schieben Sie Informations- und Cybersicherheit nicht auf, sondern kommen Sie Ihrer Schulungspflicht nach – mit der NIS-2-Schulung von Legaltrust.

Jetzt NIS-2-Schulung anfragen

Ihre NIS‑2‑Schulung – praxisnah und rechtskonform

Mit der NIS-2-Schulung von Legaltrust machen Sie die Geschäftsführung fit für die gesetzlichen Anforderungen der NIS-2-Richtlinie.

Jetzt NIS-2-Schulung anfragen

10. FAQ

Was ist die NIS-2-Zertifizierung?

Eine NIS-2-Zertifizierung im eigentlichen Sinne gibt es nicht. Gemeint ist damit aber der Nachweis, dass ein Unternehmen die Anforderungen der NIS-2-Richtlinie, inklusive Risikomanagement erfüllt hat (z. B. durch Schulungen, Dokumentationen, Audits). Dieser Nachweis kann z. B. über eine ISO-Norm wie ISO 27001 erfolgen.

Wann wird NIS-2 verpflichtend?

Die NIS-2-Richtlinie ist auf EU-Ebene bereits seit 2023 in Kraft. Seit dem 6. Dezember 2025 gilt die nationale Gesetzgebung durch das NIS-2-Umsetzungsgesetz auch in Deutschland und verpflichtet Unternehmen, die Anforderungen der Richtlinie umzusetzen.

Wer ist NIS-2-pflichtig?

Betroffen von der NIS-2-Richtlinie sind nicht mehr nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche Betriebe aus nahezu allen Branchen wie z. B. Energie, Verkehr, Wasser und Abwasser, Gesundheitswesen, digitale Infrastruktur (z. B. Rechenzentren, Cloud-Dienste), Finanzwesen und die öffentliche Verwaltung.

Bin ich von NIS-2 betroffen?

Ihr Unternehmen ist wahrscheinlich von NIS-2 betroffen, wenn Sie in einem der genannten Sektoren tätig sind und mindestens 50 Mitarbeitende beschäftigen oder mehr als 10 Mio. Euro Jahresumsatz erzielen. Auch ob Sie wichtige oder kritische Leistungen erbringen, ist für den Geltungsbereich der NIS-2-Richtlinie relevant.

 
Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details