NIS2 - Mögliche Schulungsanbieter

Die NIS-2-Richtlinie verpflichtet Geschäftsleitungen zu regelmäßigen Schulungen – aber sie schreibt nicht explizit vor, wer diese Schulungen durchführen muss. Genau das sorgt in vielen Unternehmen für Unsicherheit: Reicht ein internes Briefing? Muss es ein zertifizierter Anbieter sein? Oder verlangt der Gesetzgeber staatlich anerkannte Trainings?

Die gute Nachricht: Es gibt Spielraum. Die Verantwortung bleibt zwar bei der Geschäftsleitung, doch bei der Wahl des Schulungsanbieters besteht Flexibilität – solange Qualität und Nachweisbarkeit gewährleistet sind.

Welche Arten von Schulungsanbietern kommen in Frage?

Grundsätzlich lassen sich Anbieter in vier Kategorien einteilen:

Typ Beschreibung Geeignet für
Interne Schulungen (z. B. durch CISO, IT-Leitung oder Compliance) Wissen wird im eigenen Haus vermittelt Unternehmen mit hoher interner Kompetenz
Externe IT-Sicherheitsdienstleister oder Beratungshäuser Spezialisierte Anbieter mit Fokus auf Cybersecurity Mittelständler und Konzerne
Kammern, Verbände oder Brancheninitiativen (z. B. IHK, Bitkom, BvD) Neutraler Rahmen, oft rechtlich abgestimmt Geschäftsleitungen mit wenig Vorwissen
Zertifizierte Schulungsträger / Akademien / Hochschulen Offizielle Zertifikate, strukturierter Ablauf Unternehmen mit Prüf- oder Audit-Anforderungen

Wichtig: *Das Gesetz verlangt keine staatliche Zertifizierung des Anbieters – aber die Schulung muss „angemessen" und „nachweisbar" sein.

Interne Schulung vs. externer Anbieter – was ist besser?

Beides kann funktionieren – der Unterschied liegt im Ziel und im Reifegrad des Unternehmens.

Vorteile interner Schulungen:
  • Praxisnäher, da Inhalte auf eigene Prozesse bezogen werden können
  • Schneller und kostengünstiger, keine externe Organisation nötig
  • Direkter Dialog, da sich die Leitungsebene mit eigenen Fachbereichen austauscht

Aber: Interne Schulungen werden oft zu informell durchgeführt und unzureichend dokumentiert. Außerdem fehlt manchmal Neutralität, was bei späteren Prüfungen problematisch sein kann.

Vorteile externer Schulungen:
  • Anerkennung nach außen (z. B. gegenüber Behörden, Versicherungen oder Gesellschaftern)
  • Aktuelle Rechtslage garantiert, da Anbieter sich auf NIS-2 spezialisiert haben
  • Bessere Akzeptanz auf Geschäftsleitungsebene, wenn ein externer Experte spricht

Nachteil: Externe Formate wirken manchmal zu generisch, wenn sie nicht auf die Branche abgestimmt sind.

Wie erkennt man einen geeigneten Schulungsanbieter?

Folgende Kriterien sollten erfüllt sein – unabhängig davon, ob intern oder extern geschult wird:

Kompetenz nachweisbar (z. B. Erfahrung in Cybersecurity-Compliance / IT-Forensik / KRITIS-Betreuung)
Inhalte orientieren sich an NIS-2 und BSI-Standards
Schulung richtet sich explizit an Geschäftsleitungen – keine Technikvorträge!
Schwerpunkt auf Verantwortung, Haftung, Meldeprozessen und Entscheidungsfähigkeit
Dokumentation erfolgt nachvollziehbar und auditfest

Tipp: Bei externen Anbietern immer Agenda und Musterzertifikat vorab einsehen, um sicherzustellen, dass Leitungsthemen im Vordergrund stehen.

Können auch hybride Modelle funktionieren?

Ja – und das ist in vielen Organisationen sogar der effizienteste Weg. Häufig wird folgendes Modell gewählt:

  1. Externes Basistraining (z. B. 2-4 Stunden Webinar nur für Geschäftsleitung)
  2. Interner Follow-up-Workshop mit CISO oder IT, um konkrete Maßnahmen im eigenen Unternehmen abzuleiten
  3. Jährliche Kurzupdates intern, bei Gesetzesänderungen ggf. erneut externes Briefing

Dieses Modell vereint Neutralität und Praxisnähe – und erfüllt in der Regel auch die Anforderungen von Auditoren, Aufsichtsbehörden oder Versicherungen.

Der Anbieter ist nicht entscheidend – die Wirkung schon

Das Gesetz will nicht „Zertifikate sammeln", sondern handlungsfähige und informierte Geschäftsleitungen schaffen. Deshalb gilt:

Wichtig ist nicht, wer schult – entscheidend ist, dass die Geschäftsleitung danach verstanden hat, was sie zu tun hat.

Wenn die Schulung:

  • verständlich war,
  • konkrete Risikoverantwortung vermittelt hat,
  • und schriftlich dokumentiert wurde,

dann ist sie gesetzlich wirksam – egal ob intern oder extern durchgeführt.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Cybersicherheit: Prozesse für neue Pflichten imple...
Wenn Wohnungslosigkeit und Datenschutz zusammentre...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.