Die NIS-2-Richtlinie verpflichtet nicht einfach „Unternehmen", sondern ganz gezielt Personen in Leitungsverantwortung. Damit ist klar: Die Schulungspflicht richtet sich nicht an die IT-Abteilung, nicht an Datenschutzbeauftragte, nicht an Informationssicherheitsbeauftragte – sondern an die Geschäftsleitung selbst.
Um Missverständnisse zu vermeiden, lohnt sich eine klare Definition: Wer gilt offiziell als Adressat der Schulungspflicht?
Wer muss an NIS-2-Schulungen teilnehmen?Die Schulungspflicht gilt für alle Mitglieder des obersten Leitungsorgans, unabhängig davon, ob sie intern oder extern tätig sind. Dazu gehören insbesondere:
- Geschäftsführerinnen und Geschäftsführer von GmbH, UG oder gGmbH
- Vorstandsmitglieder von Aktiengesellschaften, Genossenschaften oder Stiftungen
- Behördenleitungen bzw. Leiterin / Leiter einer öffentlichen Einrichtung
- Generalbevollmächtigte oder Prokurist:innen, sofern sie faktisch Leitungsfunktion ausüben
- In manchen Fällen auch Chief Operating Officers (COO) oder Managing Directors, wenn sie unternehmensweit entscheiden
Wichtig ist: Die Funktion zählt – nicht der Titel. Wer Entscheidungen über Budget, Risikomanagement, strategische Maßnahmen oder Compliance trifft, gilt als Teil der Geschäftsleitung und ist damit schulungspflichtig.
Was ist mit Aufsichtsräten oder Beiräten?Die NIS-2-Richtlinie spricht in erster Linie von Verantwortungsträgern im operativen Management. Allerdings kann es sinnvoll oder sogar notwendig sein, auch Mitglieder eines Aufsichtsgremiums zu schulen, insbesondere wenn diese:
- Informationssicherheitsstrategien genehmigen,
- Kontrollfunktionen wahrnehmen,
- oder haftungsrechtlich mitverantwortlich gemacht werden können.
Zwar besteht keine explizite gesetzliche Schulungspflicht für Aufsichtsräte – aber eine klare Erwartungshaltung, dass sie in der Lage sein müssen, IT-Sicherheitsrisiken zu verstehen und zu überwachen.
Müssen Stellvertreter oder zweite Führungsebenen auch geschult werden?Offiziell gilt die Pflicht nur für das höchste Leitungsorgan. Doch in der Praxis ist es oft sinnvoll, den Teilnehmerkreis zu erweitern, z. B.:
| Funktion | Empfehlung zur Schulung |
|---|---|
| Chief Information Security Officer (CISO) | Sinnvoll, aber nicht gesetzlich vorgeschrieben – oft eher Trainer statt Teilnehmer |
| IT-Leitung / CIO | Optional, kann helfen, Kommunikationsbarrieren zu reduzieren |
| Compliance- oder Risikomanagement-Leitung | Empfohlen, sofern sie Verantwortung für Prozesse tragen |
| Betriebsleiter oder Standortleiter | Nur, wenn sie eigenständig über Sicherheitsmaßnahmen entscheiden |
Die zentrale Regel lautet: „Wer Verantwortung trägt, muss wissen, wofür."
Die NIS-2-Richtlinie gilt grundsätzlich für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz, sofern sie zu den kritischen Sektoren gehören (z. B. Energie, Verkehr, Gesundheit, Abfallwirtschaft, digitale Dienste, Lebensmittelproduktion, Postdienste usw.).
Doch es gibt auch Fälle, in denen kleinere Unternehmen freiwillig oder auf Basis besonderer Bedeutung eingestuft werden können, z. B. wenn sie Teil einer kritischen Lieferkette sind.
Sobald ein Unternehmen „NIS-2-pflichtig" ist, gilt automatisch auch die Schulungspflicht für dessen Geschäftsleitung – unabhängig von Größe oder Branche.
Was ist mit Verbänden, Vereinen oder Kommunen?Viele Einrichtungen außerhalb der klassischen Wirtschaft fragen sich: „Sind wir überhaupt betroffen?"
- Öffentliche Einrichtungen und Kommunen fallen unter NIS-2, wenn sie Dienstleistungen erbringen, die für die öffentliche Versorgung relevant sind (z. B. Wasser, Abfall, Verkehr, Gesundheit).
- Verbände oder Vereine können ebenfalls betroffen sein, wenn sie kritische Infrastruktur steuern oder zentrale Plattformfunktionen bereitstellen.
- Kirchliche Einrichtungen, insbesondere im Gesundheits- oder Sozialbereich, sind häufig implizit eingeschlossen.
Auch hier gilt: Nicht die Rechtsform entscheidet – sondern die Relevanz für die Versorgungssicherheit.
Die Schulungspflicht ist nicht delegierbarEiner der wichtigsten Grundsätze der NIS-2-Richtlinie lautet:
„Die Verantwortung der Geschäftsleitung für das Risikomanagement der Cybersicherheit ist unübertragbar."
Das bedeutet:
- Man kann die Umsetzung delegieren,
- man kann technische Aufgaben outsourcen,
- aber Verantwortung und Wissen müssen in der Geschäftsführung selbst vorhanden sein.
Deshalb ist die Schulungspflicht kein lästiges Detail, sondern Kernbestandteil des europäischen Sicherheitsverständnisses. Wer führt, muss verstehen – so einfach ist die Idee dahinter.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz