Die Pflicht zur Teilnahme an NIS-2-Schulungen ist eindeutig geregelt. Doch in der Praxis zählt nicht nur die Teilnahme selbst, sondern auch der Nachweis darüber. Denn: Wenn es zu einer Prüfung, einem Vorfall oder gar einer Haftungsfrage kommt, gilt der Grundsatz:
„Was nicht dokumentiert ist, hat nicht stattgefunden."
Deshalb gehört eine saubere, nachvollziehbare Dokumentation der Schulung zu den wichtigsten Compliance-Aufgaben für Geschäftsleitungen – und sie ist zugleich ein entscheidender Baustein der Haftungsabsicherung.
Warum der Nachweis so wichtig istDie NIS-2-Richtlinie und das deutsche Umsetzungsgesetz legen ausdrücklich fest, dass Leitungsorgane für die Einhaltung der Sicherheitsvorgaben verantwortlich sind. Das bedeutet:
- Wenn ein Sicherheitsvorfall auftritt,
- und sich herausstellt, dass die Geschäftsleitung nicht ausreichend geschult war,
- kann das als Organisationsverschulden oder Pflichtverletzung gewertet werden.
Im schlimmsten Fall drohen persönliche Haftung, Bußgelder oder sogar Ausschluss von Leitungsfunktionen.
Ein dokumentierter Schulungsnachweis zeigt dagegen:
Die Geschäftsleitung hat ihre Pflicht erfüllt und aktiv für Compliance gesorgt.
Damit ein Schulungsnachweis anerkannt wird, sollte er bestimmte Mindestinformationen enthalten. Diese orientieren sich an den Empfehlungen des BSI und gängigen Auditstandards:
- Titel und Thema der Schulung – z. B. „NIS-2-Pflichten für Geschäftsleitungen"
- Datum und Dauer – Beginn und Ende, ggf. mit Zeiterfassung bei Onlineformaten
- Teilnehmende – Namen, Funktionen und Unterschrift bzw. digitale Bestätigung
- Name des Schulungsanbieters oder Trainers
- Agenda oder Inhaltsübersicht – damit erkennbar ist, dass NIS-2-relevante Themen behandelt wurden
- Zertifikat oder Teilnahmebescheinigung (falls extern)
- Version / Jahrgang der Schulungsunterlagen – wichtig bei späteren Nachweisen
- Ablageort – idealerweise im ISMS oder zentralen Compliance-Management-System
Diese Angaben ermöglichen eine nachvollziehbare Prüfung, ob und wann die Schulung stattgefunden hat – und ob sie inhaltlich den Anforderungen genügte.
Wo und wie wird der Nachweis abgelegt?Der Nachweis kann in unterschiedlichen Formaten gespeichert werden, solange er nachvollziehbar und langfristig abrufbar ist:
- Digital (z. B. PDF, signiertes Formular, elektronisches Zertifikat)
- Physisch (z. B. Originaldokumente mit Unterschrift in der Personalakte oder im Compliance-Ordner)
- Im ISMS-Tool (z. B. unter „Awareness & Training")
- In der internen Managementdokumentation (z. B. Sitzungsprotokoll, Vorstandsbeschluss)
Wichtig:
Die Aufbewahrungsfrist sollte mindestens fünf Jahre betragen, da Prüfungen und Audits auch rückwirkend erfolgen können.
Der Nachweis wird in der Regel bei folgenden Gelegenheiten angefordert oder überprüft:
- Im Rahmen von Audits (z. B. ISO 27001, BSI-Grundschutz, KRITIS-Prüfungen)
- Durch Aufsichtsbehörden oder das BSI, falls ein Sicherheitsvorfall gemeldet wird
- Von Versicherern, insbesondere bei Cyber-Versicherungspolicen
- Von Gesellschaftern oder Aufsichtsräten, um Pflichterfüllung zu belegen
Tipp:
Eine regelmäßige interne Überprüfung (z. B. jährlich durch Compliance oder Datenschutzkoordination) stellt sicher, dass keine Nachweise fehlen und alles vollständig archiviert ist.
Gerade in größeren Organisationen lohnt es sich, den Prozess zu standardisieren. Das kann z. B. so aussehen:
- Einheitliches Formular für alle Schulungen erstellen (mit Feldern für Datum, Inhalt, Teilnehmer etc.)
- Digitale Signatur oder Bestätigungslink verwenden (z. B. bei Online-Schulungen)
- Schulungszertifikate zentral ablegen – am besten in einem Compliance- oder DMS-System
- Verantwortung benennen (z. B. Compliance-Beauftragter führt Liste)
- Erinnerungsfunktion einbauen, um jährliche Schulungen nicht zu vergessen
Viele Unternehmen integrieren den Schulungsnachweis inzwischen in ihr internes ISMS (Informationssicherheits-Management-System) oder nutzen Tools, die automatisch Berichte für Audits generieren.
Was gilt bei Online-Schulungen?Online-Formate sind längst akzeptiert – sie müssen aber nachvollziehbar sein. Das heißt:
- Die Teilnahme muss individuell nachgewiesen werden (z. B. über Login oder Anwesenheitsprotokoll).
- Zugesandte Präsentationen oder Videos allein reichen nicht aus.
- Bei E-Learnings sollten Abschlussbestätigungen oder kurze Wissenstests dokumentiert werden.
Tipp: Wenn möglich, sollte die Online-Schulung kurz mit einer digitalen Signatur bestätigt werden – das ist rechtssicher und spart Papier.
Dokumentation ist Teil der FührungsverantwortungDer Nachweis über eine NIS-2-Schulung ist mehr als eine Formalität. Er beweist, dass die Geschäftsleitung ihre Pflichten ernst nimmt, Wissen aufgebaut hat und rechtzeitig gehandelt hat.
Er ist damit nicht nur Schutz vor Bußgeldern, sondern auch ein Zeichen guter Unternehmensführung.
Wer die Schulungspflicht erfüllt, aber den Nachweis vergisst, riskiert dieselben Folgen wie jemand, der gar nicht teilgenommen hat.
Deshalb sollte der Nachweis fester Bestandteil jedes Compliance-Workflows sein – so selbstverständlich wie ein Finanzbericht oder ein Datenschutzprotokoll.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz