Die NIS-2-Richtlinie verpflichtet Geschäftsleitungen zu regelmäßigen Schulungen – aber sie schreibt nicht explizit vor, wer diese Schulungen durchführen muss. Genau das sorgt in vielen Unternehmen für Unsicherheit: Reicht ein internes Briefing? Muss es ein zertifizierter Anbieter sein? Oder verlangt der Gesetzgeber staatlich anerkannte Trainings?
Die gute Nachricht: Es gibt Spielraum. Die Verantwortung bleibt zwar bei der Geschäftsleitung, doch bei der Wahl des Schulungsanbieters besteht Flexibilität – solange Qualität und Nachweisbarkeit gewährleistet sind.
Welche Arten von Schulungsanbietern kommen in Frage?Grundsätzlich lassen sich Anbieter in vier Kategorien einteilen:
| Typ | Beschreibung | Geeignet für |
|---|---|---|
| Interne Schulungen (z. B. durch CISO, IT-Leitung oder Compliance) | Wissen wird im eigenen Haus vermittelt | Unternehmen mit hoher interner Kompetenz |
| Externe IT-Sicherheitsdienstleister oder Beratungshäuser | Spezialisierte Anbieter mit Fokus auf Cybersecurity | Mittelständler und Konzerne |
| Kammern, Verbände oder Brancheninitiativen (z. B. IHK, Bitkom, BvD) | Neutraler Rahmen, oft rechtlich abgestimmt | Geschäftsleitungen mit wenig Vorwissen |
| Zertifizierte Schulungsträger / Akademien / Hochschulen | Offizielle Zertifikate, strukturierter Ablauf | Unternehmen mit Prüf- oder Audit-Anforderungen |
Wichtig: *Das Gesetz verlangt keine staatliche Zertifizierung des Anbieters – aber die Schulung muss „angemessen" und „nachweisbar" sein.
Interne Schulung vs. externer Anbieter – was ist besser?Beides kann funktionieren – der Unterschied liegt im Ziel und im Reifegrad des Unternehmens.
Vorteile interner Schulungen:- Praxisnäher, da Inhalte auf eigene Prozesse bezogen werden können
- Schneller und kostengünstiger, keine externe Organisation nötig
- Direkter Dialog, da sich die Leitungsebene mit eigenen Fachbereichen austauscht
Aber: Interne Schulungen werden oft zu informell durchgeführt und unzureichend dokumentiert. Außerdem fehlt manchmal Neutralität, was bei späteren Prüfungen problematisch sein kann.
Vorteile externer Schulungen:- Anerkennung nach außen (z. B. gegenüber Behörden, Versicherungen oder Gesellschaftern)
- Aktuelle Rechtslage garantiert, da Anbieter sich auf NIS-2 spezialisiert haben
- Bessere Akzeptanz auf Geschäftsleitungsebene, wenn ein externer Experte spricht
Nachteil: Externe Formate wirken manchmal zu generisch, wenn sie nicht auf die Branche abgestimmt sind.
Wie erkennt man einen geeigneten Schulungsanbieter?Folgende Kriterien sollten erfüllt sein – unabhängig davon, ob intern oder extern geschult wird:
- Kompetenz nachweisbar (z. B. Erfahrung in Cybersecurity-Compliance / IT-Forensik / KRITIS-Betreuung)
- Inhalte orientieren sich an NIS-2 und BSI-Standards
- Schulung richtet sich explizit an Geschäftsleitungen – keine Technikvorträge!
- Schwerpunkt auf Verantwortung, Haftung, Meldeprozessen und Entscheidungsfähigkeit
- Dokumentation erfolgt nachvollziehbar und auditfest
Tipp: Bei externen Anbietern immer Agenda und Musterzertifikat vorab einsehen, um sicherzustellen, dass Leitungsthemen im Vordergrund stehen.
Können auch hybride Modelle funktionieren?Ja – und das ist in vielen Organisationen sogar der effizienteste Weg. Häufig wird folgendes Modell gewählt:
- Externes Basistraining (z. B. 2-4 Stunden Webinar nur für Geschäftsleitung)
- Interner Follow-up-Workshop mit CISO oder IT, um konkrete Maßnahmen im eigenen Unternehmen abzuleiten
- Jährliche Kurzupdates intern, bei Gesetzesänderungen ggf. erneut externes Briefing
Dieses Modell vereint Neutralität und Praxisnähe – und erfüllt in der Regel auch die Anforderungen von Auditoren, Aufsichtsbehörden oder Versicherungen.
Der Anbieter ist nicht entscheidend – die Wirkung schonDas Gesetz will nicht „Zertifikate sammeln", sondern handlungsfähige und informierte Geschäftsleitungen schaffen. Deshalb gilt:
Wichtig ist nicht, wer schult – entscheidend ist, dass die Geschäftsleitung danach verstanden hat, was sie zu tun hat.
Wenn die Schulung:
- verständlich war,
- konkrete Risikoverantwortung vermittelt hat,
- und schriftlich dokumentiert wurde,
dann ist sie gesetzlich wirksam – egal ob intern oder extern durchgeführt.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz