Die NIS-2-Richtlinie schreibt nicht nur vor, dass Schulungen stattfinden müssen, sondern verlangt auch, dass sie regelmäßig wiederholt werden. Doch wie oft ist „regelmäßig"? Und wie lange muss so eine Schulung dauern, damit sie als ausreichend gilt?
In vielen Unternehmen herrscht hier Unsicherheit, weil das Gesetz keine exakten Stundenangaben macht. Trotzdem lässt sich aus den Vorgaben klare Praxis ableiten – und genau das schauen wir uns jetzt an.
Wie oft müssen NIS-2-Schulungen durchgeführt werden?Die offizielle Formulierung im Gesetz lautet:
„Mitglieder der Leitungsorgane müssen regelmäßig an Schulungen teilnehmen, um ein ausreichendes Verständnis der Risiken zu gewährleisten."
Das klingt vage – ist aber absichtlich so gehalten, weil Branchen und Unternehmensgrößen unterschiedlich sind. In der Praxis haben sich folgende Standards etabliert:
| Empfehlung | Intervall | Begründung |
|---|---|---|
| Mindestens einmal pro Jahr | 12 Monate | Entspricht gängigen Standards in Compliance, Datenschutz und Arbeitsschutz |
| Zusätzlich bei besonderen Anlässen | z. B. bei Gesetzesänderungen, größeren Sicherheitsvorfällen oder Managementwechsel | Stellt sicher, dass Wissen aktuell bleibt |
| Bei Neueintritt von Führungspersonen | Innerhalb von 3 Monaten | Verhindert Haftungslücken durch ungeschulte Leitungskräfte |
Kurz gesagt: Ein jährliches Schulungsintervall ist der Mindeststandard, alles darüber hinaus ist Bonus – aber für kritische Sektoren oft sinnvoll.
Muss jede Schulung gleich lang sein?Auch hier macht das Gesetz keine genauen Vorgaben, sondern verlangt „angemessene Tiefe". Was als „angemessen" gilt, hängt von zwei Faktoren ab:
- Vorwissen der Geschäftsleitung – Hat jemand bereits Erfahrung mit Informationssicherheit oder ist das Thema komplett neu?
- Risikoprofil des Unternehmens – Ein Krankenhaus oder Energieversorger braucht mehr Tiefe als ein kleiner logistischer Dienstleister.
Typische Zeitmodelle, die in Audit und Zertifizierung akzeptiert werden:
| Schulungsformat | Typische Dauer | Geeignet für |
|---|---|---|
| Kompakt-Webinar / Update-Briefing | 1–2 Stunden | Jährliche Auffrischung, Fokus auf aktuelle Entwicklungen |
| Basis-Schulung für neue Leitungskräfte | 3–4 Stunden | Erster Einstieg in NIS-2-Verantwortungen |
| Intensiv-Workshop inkl. Szenarien & Fallstudien | 1 ganzer Tag | Für Unternehmen mit hohem Risiko oder bestehender Unsicherheit |
| Fortgeschrittenen-Training mit Planspiel / Krisenübung | 1–2 Tage | Für kritische Infrastrukturen oder stark regulierte Sektoren |
Wichtig ist nicht die exakte Dauer, sondern die Nachweisbarkeit, dass das Management inhaltlich wirklich befähigt wurde.
Wie dokumentiert man Intervall und Dauer korrekt?Eines der größten Risiken besteht nicht im „Nicht-Schulen", sondern im Nicht-Nachweisen-Können. Deshalb sollte jede Schulung sauber dokumentiert werden. Typische Bausteine dafür:
- Teilnehmerliste mit Namen und Funktion (z. B. Geschäftsführer / Vorstand)
- Datum und Dauer (Start- und Endzeit)
- Schulungsformat (online / vor Ort / individuell / Gruppensitzung)
- Inhaltsübersicht oder Agenda
- Bestätigung oder Zertifikat per Unterschrift oder digitalem Empfangsprotokoll
Tipp für die Praxis:
Einheitliches Musterprotokoll verwenden und im Compliance- oder ISMS-Dokumentenordner ablegen. Bei Audits oder Behördenfragen ist das Gold wert.
Fehlende oder veraltete Schulungen gelten offiziell als Organisationsverschulden der Geschäftsleitung. Das kann bei Vorfällen oder Kontrollen zu:
- Bußgeldern (je nach Kategorie mehrere Millionen Euro)
- persönlicher Haftung von Geschäftsführern
- Reputationsschäden (wenn es publik wird, dass Pflichten ignoriert wurden)
- Versicherungsproblemen (Cyber-Versicherungen verweigern häufig Leistungen bei fehlender Schulung)
Aus diesem Grund gilt: Die Schulung ist nicht nur Pflicht – sie ist auch eine Haftungsabsicherung.
Regelmäßigkeit ist wichtiger als PerfektionViele Geschäftsleitungen fragen sich: „Investieren wir zu viel Zeit? Zu wenig? Können wir das mit einem 90-Minuten-Webinar abhaken?"
Die beste Antwort lautet:
„Regelmäßigkeit schlägt Einmal-Aktion."
Eine jährliche, gut dokumentierte Schulung, ergänzt durch kurze Update-Sessions bei Bedarf, ist rechtssicher, effizient und organisatorisch einfach planbar. Wer frühzeitig einen klaren Schulungsrhythmus etabliert, spart später Diskussionen mit Behörden, Aufsichtsrat oder Versicherungsträgern.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz