Zum Inhalt springen Zur Navigation springen
NIS-2 gilt: Was Sie jetzt zur Geschäftsleitungsschulung wissen müssen

NIS-2 gilt: Was Sie jetzt zur Geschäftsleitungsschulung wissen müssen

Artikel von Mika Wiemken·12. Dezember 2025

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06.12.2025 rücken Unternehmensleitungen stärker denn je in den Fokus der Informationssicherheitsregulierung. Erstmals wird die Geschäftsleitungsschulung nach NIS-2 ausdrücklich gesetzlich vorgeschrieben. Was genau dahintersteckt, wen es betrifft und was inhaltlich erwartet wird, erklären wir in diesem Beitrag.

NIS-2 ist in Deutschland in Kraft – und betrifft die Geschäftsleitung persönlich

Mit dem am 5. Dezember 2025 verkündeten und zum 6. Dezember 2025 in Kraft getretenen Gesetz zur Umsetzung der NIS-2-Richtlinie wurde das BSI-Gesetz (BSIG) umfassend erweitert. Erfasst sind nun nicht mehr nur klassische KRITIS-Betreiber, sondern auch zahlreiche „wichtige“ und „besonders wichtige“ Einrichtungen aus nahezu allen Wirtschaftssektoren – insgesamt rund 29.500 Unternehmen in Deutschland.

Eine der zentralen Neuerungen:

Die Verantwortung für das Risikomanagement in der Informationssicherheit liegt ausdrücklich bei der Geschäftsleitung – inklusive einer verpflichtenden Schulung.

Geschäftsleitungsschulung nach NIS-2: Gesetzliche Pflicht statt freiwillige Weiterbildung

Die Schulungspflicht ergibt sich unmittelbar aus § 38 Abs. 3 BSIG:

„Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen.“

Wichtig ist der Zusammenhang:

  • § 38 Abs. 1 BSIG: Verantwortung für Umsetzung und Überwachung der IT-Sicherheitsmaßnahmen
  • § 38 Abs. 2 BSIG: gesellschaftsrechtliche Binnenhaftung
  • § 38 Abs. 3 BSIG: verpflichtende Schulung der Geschäftsleitung

Die drei Absätze des § 38 BSIG bilden gemeinsam eine geschlossene Verantwortungs- und Haftungskette:
Die Geschäftsleitung ist nicht nur für die Umsetzung und Überwachung der Sicherheitsmaßnahmen verantwortlich (§ 38 Abs. 1), sondern haftet bei Pflichtverstößen auch gesellschaftsrechtlich (§ 38 Abs. 2). Die Schulungspflicht (§ 38 Abs. 3) stellt sicher, dass sich die Geschäftsleitung nicht auf Unwissen berufen kann.

Damit wird klar: Wer entscheidet, muss verstehen – und wer nicht versteht, haftet trotzdem. Die Schulung ist kein formaler Selbstzweck, sondern ein zentraler Baustein zur rechtlichen Absicherung der Unternehmensleitung.

Die Schulung dient also nicht nur der Wissensvermittlung, sondern ist auch haftungsrelevant.

Welche Bußgelder drohen bei Verstößen gegen NIS-2?

Je nach Art des Verstoßes sieht das Gesetz unterschiedliche allgemeine Bußgeldstufen vor. Diese reichen von 100.000 Euro bis hin zu 5 Millionen Euro. Für besonders schwerwiegende Verstöße gelten erhöhte feste Bußgelder: Bis zu 10 Millionen Euro für besonders wichtige Einrichtungen und bis zu 7 Millionen Euro für wichtige Einrichtungen.
Zusätzlich sieht das Gesetz für größere Unternehmen eine umsatzabhängige Sanktionierung vor. Ab einem weltweiten Jahresumsatz von mehr als 500 Millionen Euro kann bei besonders wichtigen Einrichtungen ein Bußgeld von bis zu 2 % des weltweiten Gesamtumsatzes verhängt werden, bei wichtigen Einrichtungen bis zu 1,4 % des weltweiten Gesamtumsatzes. Maßgeblich ist dabei der weltweite Konzernumsatz des vorangegangenen Geschäftsjahres, der durch die Behörde auch geschätzt werden darf.

Gesetzlich ist zudem klargestellt, dass diese umsatzbezogenen Höchstgrenzen nicht durch die allgemeinen Begrenzungen des Ordnungswidrigkeitenrechts gedeckelt sind. Gleichzeitig ist allerdings eine doppelte Sanktionierung nach DSGVO und NIS-2 für denselben Sachverhalt ausgeschlossen.

Wer genau gilt als „Geschäftsleitung“?

Die Definition ist bewusst weit gefasst. Als Geschäftsleitung gilt jede natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung und Vertretung des Unternehmens berufen ist. Dazu zählen unter anderem:

  • Geschäftsführer:innen
  • Vorstände
  • CEO, CFO, COO, CIO, CSO
  • geschäftsführende Gesellschafter:innen
  • persönlich haftende Gesellschafter (z. B. Komplementäre)

Entscheidend ist dabei nicht der formale Titel, sondern die tatsächliche Leitungs- und Vertretungsfunktion. In vielen Organisationen sind damit gleich mehrere Personen gleichzeitig schulungspflichtig.

Gleichzeitig zeigt sich in der Praxis, dass der sachliche Nutzen der Geschäftsleitungsschulung deutlich über den engen gesetzlichen Pflichtenkreis hinausgeht. Denn NIS-2 ist kein reines IT-Thema, sondern berührt zentrale Führungsfragen: strategische Prioritätensetzung, Budgetentscheidungen, organisatorische Verantwortlichkeiten und den Umgang mit Krisensituationen.

Vor diesem Hintergrund profitieren regelmäßig auch weitere Rollen von den Schulungsinhalten – etwa Bereichsleitungen mit Einfluss auf kritische Prozesse, leitende IT- und Sicherheitsverantwortliche, Compliance- und Risikomanager:innen oder Führungskräfte mit Budgetverantwortung für digitale Infrastrukturen. Je breiter dieses Verständnis in der Führung verankert ist, desto wirksamer lassen sich die Anforderungen aus NIS-2 in belastbare Organisationsstrukturen übersetzen.

Welche Inhalte muss eine NIS-2-Geschäftsleitungsschulung abdecken?

Die Inhalte lassen sich in drei Stufen gliedern:

1. Vorbereitende Inhalte

  • Einordnung der NIS-2-Regulierung
  • Pflichten für Unternehmen und Geschäftsleitung
  • Rolle des BSI als Aufsichtsbehörde

2. Kerninhalte (Pflichtprogramm)

  • Durchführung und Bewertung von Risikoanalysen
  • Umsetzung geeigneter Risikomanagementmaßnahmen
  • Bewertung der Auswirkungen von Sicherheitsrisiken auf Geschäftsprozesse

3. Ergänzende Inhalte (empfohlen)

  • Branchenspezifische Bedrohungsszenarien
  • Tabletop-Exercises, Fallstudien, Krisensimulationen
  • Wechselwirkungen mit Datenschutz, BCM und Lieferkettensicherheit

Wichtig: Die Empfehlungen unterscheiden zwischen „SOLL“- und „KANN“-Inhalten. Die konkrete Ausgestaltung muss immer unternehmensspezifisch erfolgen.

Eine detaillierte inhaltliche Ausgestaltung und weitere Erläuterungen zu den empfohlenen Schulungsbestandteilen finden sich zudem in der offiziellen Orientierungshilfe des BSI zur NIS-2-Geschäftsleitungsschulung.

Wie oft und wie intensiv muss die Schulung erfolgen?

Das Gesetz nennt keine festen Zeiten, wohl aber den Maßstab der „ausreichenden Kenntnisse“. In der Praxis haben sich folgende Orientierungswerte etabliert:

  1. Eine Basisschulung von ca. 4 Stunden
  2. Anschließend jährliche Auffrischungen von etwa 1 Stunde

Kürzere Intervalle bei:

  • Wechsel in der Geschäftsleitung
  • Wesentlichen Änderungen der Geschäftsprozesse
  • Erhöhter Risikoexposition
  • Einführung neuer IT-Sicherheitsmaßnahmen

Dieser Ansatz stellt sicher, dass regulatorische Anforderungen, aktuelle Bedrohungslagen und unternehmensspezifische Risiken kontinuierlich im Blick der Geschäftsleitung bleiben.

Wer darf die Geschäftsleitungsschulung durchführen?

Das Gesetz gibt hier bewusst keine starre Vorgabe. In Betracht kommen grundsätzlich interne IT-Sicherheitsverantwortliche, externe IT-Sicherheitsdienstleister und Beratungen sowie spezialisierte Schulungsanbieter für NIS-2. In der Praxis zeigen sich dabei jedoch typische Herausforderungen: Interne Expert:innen kennen in der Regel die eigenen Systeme sehr gut, verfügen jedoch häufig nicht über ausreichende Kenntnisse zu übergreifenden Informationssicherheitspraktiken und den regulatorischen Anforderungen von NIS-2. Externe IT-Dienstleister bringen technisches Know-how mit, kennen aber häufig die individuellen Geschäftsprozesse und Risikoszenarien nicht im Detail. Reine Schulungsanbieter punkten methodisch, müssen sich die konkrete NIS-2-Betroffenheit des Unternehmens jedoch oft erst erschließen.

Genau hier zeigt sich, warum die Qualität der Schulung zum zentralen Compliance-Faktor wird. Eine wirksame Geschäftsleitungsschulung muss regulatorisches Verständnis, praktische Risikobewertung und unternehmensspezifische Abläufe miteinander verbinden. Genau an dieser Stelle entscheidet sich in der Praxis, ob Unternehmen lediglich eine formale Schulung absolvieren – oder echte NIS-2-Compliance erreichen.

Unsere Erfahrung zeigt: Reine Schulungsformate greifen oft zu kurz, wenn sie nicht systematisch in eine unternehmensspezifische Risikoanalyse, eine belastbare Maßnahmenplanung und eine tragfähige Governance-Struktur eingebettet sind.

Geschäftsleitungsschulung nach NIS-2 ist Pflicht – und strategischer Hebel zugleich

Mit dem Inkrafttreten von NIS-2 in Deutschland ist die Geschäftsleitung erstmals explizit schulungspflichtig. Die Inhalte reichen von regulatorischem Grundverständnis bis zur aktiven Risikobewertung. Intervall, Anbieter und Tiefe müssen sich am tatsächlichen Gefährdungspotenzial des Unternehmens orientieren.

Klar ist: Die NIS-2-Geschäftsleitungsschulung ist keine reine Formalität mehr – sie wird zum entscheidenden Bindeglied zwischen Recht, Organisation, Technik und Unternehmensstrategie.

Genau hier setzt unsere NIS-2-Beratung an: Wir unterstützen Unternehmen dabei, Schulung, Risikoanalyse, organisatorische Umsetzung und Governance nicht isoliert zu betrachten, sondern als integriertes Gesamtsystem. So entsteht aus einer gesetzlichen Pflicht echte Steuerungsfähigkeit – und aus formaler Compliance belastbare Resilienz.

Sie benötigen Unterstützung? Unser Fahrplan mit Check, Beratung und Schulung für NIS‑2. Eine Ersteinschätzung, ob Ihr Unternehmen von NIS-2 betroffen ist, erhalten Sie mit unserem NIS-2 QuickCheck.

Sie wünschen sich eine persönliche Beratung? Vereinbaren Sie ganz bequem einen kostenfreien Termin mit uns.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.