NIS 2 - Adressaten der Schulungspflicht

Die Schulungspflicht gilt für alle Mitglieder des obersten Leitungsorgans, unabhängig davon, ob sie intern oder extern tätig sind. Dazu gehören insbesondere:

• Geschäftsführerinnen und Geschäftsführer von GmbH, UG oder gGmbH
• Vorstandsmitglieder von Aktiengesellschaften, Genossenschaften oder Stiftungen
• Behördenleitungen bzw. Leiterin / Leiter einer öffentlichen Einrichtung
• Generalbevollmächtigte oder Prokurist:innen, sofern sie faktisch Leitungsfunktion ausüben
• In manchen Fällen auch Chief Operating Officers (COO) oder Managing Directors, wenn sie unternehmensweit entscheiden

Wichtig ist: Die Funktion zählt – nicht der Titel. Wer Entscheidungen über Budget, Risikomanagement, strategische Maßnahmen oder Compliance trifft, gilt als Teil der Geschäftsleitung und ist damit schulungspflichtig.

Die NIS-2-Richtlinie spricht in erster Linie von Verantwortungsträgern im operativen Management. Allerdings kann es sinnvoll oder sogar notwendig sein, auch Mitglieder eines Aufsichtsgremiums zu schulen, insbesondere wenn diese:

• Informationssicherheitsstrategien genehmigen,
• Kontrollfunktionen wahrnehmen,
• oder haftungsrechtlich mitverantwortlich gemacht werden können.

Zwar besteht keine explizite gesetzliche Schulungspflicht für Aufsichtsräte – aber eine klare Erwartungshaltung, dass sie in der Lage sein müssen, IT-Sicherheitsrisiken zu verstehen und zu überwachen.

Offiziell gilt die Pflicht nur für das höchste Leitungsorgan. Doch in der Praxis ist es oft sinnvoll, den Teilnehmerkreis zu erweitern, z. B.:

Die zentrale Regel lautet: „Wer Verantwortung trägt, muss wissen, wofür."

Die NIS-2-Richtlinie gilt grundsätzlich für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz, sofern sie zu den kritischen Sektoren gehören (z. B. Energie, Verkehr, Gesundheit, Abfallwirtschaft, digitale Dienste, Lebensmittelproduktion, Postdienste usw.).

Doch es gibt auch Fälle, in denen kleinere Unternehmen freiwillig oder auf Basis besonderer Bedeutung eingestuft werden können, z. B. wenn sie Teil einer kritischen Lieferkette sind.

Sobald ein Unternehmen „NIS-2-pflichtig" ist, gilt automatisch auch die Schulungspflicht für dessen Geschäftsleitung – unabhängig von Größe oder Branche.

Viele Einrichtungen außerhalb der klassischen Wirtschaft fragen sich: „Sind wir überhaupt betroffen?"

• Öffentliche Einrichtungen und Kommunen fallen unter NIS-2, wenn sie Dienstleistungen erbringen, die für die öffentliche Versorgung relevant sind (z. B. Wasser, Abfall, Verkehr, Gesundheit).
• Verbände oder Vereine können ebenfalls betroffen sein, wenn sie kritische Infrastruktur steuern oder zentrale Plattformfunktionen bereitstellen.
• Kirchliche Einrichtungen, insbesondere im Gesundheits- oder Sozialbereich, sind häufig implizit eingeschlossen.

Auch hier gilt: Nicht die Rechtsform entscheidet – sondern die Relevanz für die Versorgungssicherheit.

Einer der wichtigsten Grundsätze der NIS-2-Richtlinie lautet:

„Die Verantwortung der Geschäftsleitung für das Risikomanagement der Cybersicherheit ist unübertragbar."

Das bedeutet:

• Man kann die Umsetzung delegieren,
• man kann technische Aufgaben outsourcen,
• aber Verantwortung und Wissen müssen in der Geschäftsführung selbst vorhanden sein.

Deshalb ist die Schulungspflicht kein lästiges Detail, sondern Kernbestandteil des europäischen Sicherheitsverständnisses. Wer führt, muss verstehen – so einfach ist die Idee dahinter.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz