NIS2 - Intervall und Dauer von Schulungen

Die NIS-2-Richtlinie schreibt nicht nur vor, dass Schulungen stattfinden müssen, sondern verlangt auch, dass sie regelmäßig wiederholt werden. Doch wie oft ist „regelmäßig"? Und wie lange muss so eine Schulung dauern, damit sie als ausreichend gilt?

In vielen Unternehmen herrscht hier Unsicherheit, weil das Gesetz keine exakten Stundenangaben macht. Trotzdem lässt sich aus den Vorgaben klare Praxis ableiten – und genau das schauen wir uns jetzt an.

Wie oft müssen NIS-2-Schulungen durchgeführt werden?

Die offizielle Formulierung im Gesetz lautet:

„Mitglieder der Leitungsorgane müssen regelmäßig an Schulungen teilnehmen, um ein ausreichendes Verständnis der Risiken zu gewährleisten."

Das klingt vage – ist aber absichtlich so gehalten, weil Branchen und Unternehmensgrößen unterschiedlich sind. In der Praxis haben sich folgende Standards etabliert:

Empfehlung Intervall Begründung
Mindestens einmal pro Jahr 12 Monate Entspricht gängigen Standards in Compliance, Datenschutz und Arbeitsschutz
Zusätzlich bei besonderen Anlässen z. B. bei Gesetzesänderungen, größeren Sicherheitsvorfällen oder Managementwechsel Stellt sicher, dass Wissen aktuell bleibt
Bei Neueintritt von Führungspersonen Innerhalb von 3 Monaten Verhindert Haftungslücken durch ungeschulte Leitungskräfte

Kurz gesagt: Ein jährliches Schulungsintervall ist der Mindeststandard, alles darüber hinaus ist Bonus – aber für kritische Sektoren oft sinnvoll.

Muss jede Schulung gleich lang sein?

Auch hier macht das Gesetz keine genauen Vorgaben, sondern verlangt „angemessene Tiefe". Was als „angemessen" gilt, hängt von zwei Faktoren ab:

  1. Vorwissen der Geschäftsleitung – Hat jemand bereits Erfahrung mit Informationssicherheit oder ist das Thema komplett neu?
  2. Risikoprofil des Unternehmens – Ein Krankenhaus oder Energieversorger braucht mehr Tiefe als ein kleiner logistischer Dienstleister.

Typische Zeitmodelle, die in Audit und Zertifizierung akzeptiert werden:

Schulungsformat Typische Dauer Geeignet für
Kompakt-Webinar / Update-Briefing 1–2 Stunden Jährliche Auffrischung, Fokus auf aktuelle Entwicklungen
Basis-Schulung für neue Leitungskräfte 3–4 Stunden Erster Einstieg in NIS-2-Verantwortungen
Intensiv-Workshop inkl. Szenarien & Fallstudien 1 ganzer Tag Für Unternehmen mit hohem Risiko oder bestehender Unsicherheit
Fortgeschrittenen-Training mit Planspiel / Krisenübung 1–2 Tage Für kritische Infrastrukturen oder stark regulierte Sektoren


Wichtig ist nicht die exakte Dauer, sondern die Nachweisbarkeit, dass das Management inhaltlich wirklich befähigt wurde.

Wie dokumentiert man Intervall und Dauer korrekt?

Eines der größten Risiken besteht nicht im „Nicht-Schulen", sondern im Nicht-Nachweisen-Können. Deshalb sollte jede Schulung sauber dokumentiert werden. Typische Bausteine dafür:

  • Teilnehmerliste mit Namen und Funktion (z. B. Geschäftsführer / Vorstand)
  • Datum und Dauer (Start- und Endzeit)
  • Schulungsformat (online / vor Ort / individuell / Gruppensitzung)
  • Inhaltsübersicht oder Agenda
  • Bestätigung oder Zertifikat per Unterschrift oder digitalem Empfangsprotokoll


Tipp für die Praxis:
Einheitliches Musterprotokoll verwenden und im Compliance- oder ISMS-Dokumentenordner ablegen. Bei Audits oder Behördenfragen ist das Gold wert.

Was passiert, wenn Schulungen zu selten durchgeführt werden?

Fehlende oder veraltete Schulungen gelten offiziell als Organisationsverschulden der Geschäftsleitung. Das kann bei Vorfällen oder Kontrollen zu:

  • Bußgeldern (je nach Kategorie mehrere Millionen Euro)
  • persönlicher Haftung von Geschäftsführern
  • Reputationsschäden (wenn es publik wird, dass Pflichten ignoriert wurden)
  • Versicherungsproblemen (Cyber-Versicherungen verweigern häufig Leistungen bei fehlender Schulung)

Aus diesem Grund gilt: Die Schulung ist nicht nur Pflicht – sie ist auch eine Haftungsabsicherung.

Regelmäßigkeit ist wichtiger als Perfektion

Viele Geschäftsleitungen fragen sich: „Investieren wir zu viel Zeit? Zu wenig? Können wir das mit einem 90-Minuten-Webinar abhaken?"

Die beste Antwort lautet:

„Regelmäßigkeit schlägt Einmal-Aktion."

Eine jährliche, gut dokumentierte Schulung, ergänzt durch kurze Update-Sessions bei Bedarf, ist rechtssicher, effizient und organisatorisch einfach planbar. Wer frühzeitig einen klaren Schulungsrhythmus etabliert, spart später Diskussionen mit Behörden, Aufsichtsrat oder Versicherungsträgern.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Soziale Netzwerke rechtmäßig nutzen – So geht's
Datenschutz bei Livestreams und Mediatheken: Regel...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.