NIS2 - Schulungspflicht für Geschäftsleitungen

Die NIS-2-Richtlinie bringt einen erheblichen Kulturwandel in Unternehmen und Organisationen mit sich – zumindest für alle, die bisher dachten, Cybersicherheit sei allein Aufgabe der IT-Abteilung. Mit der Umsetzung der Richtlinie in deutsches Recht wird klar: Cybersicherheit ist künftig Chefsache. Nicht „kann", nicht „sollte" – sondern muss.

Diese Verpflichtung ist nicht nur theoretischer Natur. Geschäftsleitungen sind persönlich in der Verantwortung, für angemessene Sicherheitsmaßnahmen zu sorgen. Und damit sie diese Verantwortung auch kompetent wahrnehmen können, schreibt die Richtlinie verpflichtende Schulungen für Mitglieder der Geschäftsführung oder vergleichbarer Leitungsorgane vor.

Die Logik dahinter ist einfach: Wer Risiken steuern soll, muss sie verstehen. Wer Haftung trägt, muss wissen, wofür. Deshalb reicht es nicht mehr, Cybersicherheit als rein technisches Thema an den IT-Leiter zu delegieren. Management und Vorstand müssen selbst in der Lage sein, Bedrohungen einzuordnen, Maßnahmen freizugeben, Prioritäten festzulegen und im Ernstfall angemessen zu reagieren.

Warum eine Schulungspflicht eingeführt wurde

Viele Sicherheitsvorfälle der vergangenen Jahre hatten weniger mit fehlender Technik zu tun – sondern mit mangelndem Verständnis auf Leitungsebene. Häufig wurden Budgets zu spät freigegeben, Risiken unterschätzt oder Meldefristen nicht eingehalten. Genau hier setzt der Gesetzgeber an: Wissen schafft Handlungsfähigkeit.

Die Schulungspflicht verfolgt daher drei konkrete Ziele:

  1. Sensibilisierung – Geschäftsleitungen sollen ein Bewusstsein für reale Bedrohungen entwickeln.
  2. Kompetenzaufbau – Sie sollen grundlegende Cyber-Risiken und Schutzmaßnahmen verstehen.
  3. Verantwortungsbefähigung – Sie sollen fundierte Entscheidungen treffen und im Krisenfall handlungsfähig bleiben.

Damit wird erstmals klargestellt: „Ich wusste davon nichts" ist künftig keine zulässige Ausrede mehr.

Für wen gilt die Pflicht?

Die Schulungspflicht betrifft alle leitenden Organe von Unternehmen und Einrichtungen, die unter die NIS-2-Regulierung fallen. Dazu zählen beispielsweise:

  • Geschäftsführerinnen und Geschäftsführer (GmbH, UG)
  • Vorstände (AG, eG, Stiftung)
  • Behördenleitungen oder Amtsleiter
  • Personen mit Prokura oder Gesamtvertretungsbefugnissen – je nach Organisationsstruktur

Auch wenn operative Aufgaben weiterhin delegiert werden dürfen: Die Verantwortung bleibt oben. Das Gesetz spricht ausdrücklich von einer „unveräußerlichen Leitungsverantwortung". Wer also glaubt, er könne sich durch Beauftragung eines IT-Dienstleisters aus der Pflicht ziehen, irrt.

Was umfasst eine solche Schulung?

Eine NIS-2-Schulung für Geschäftsleitungen ist kein Technikseminar. Es geht nicht darum, selbst Firewalls zu konfigurieren oder Malware zu analysieren. Stattdessen stehen strategische und organisatorische Themen im Vordergrund:

  • Welche Bedrohungen betreffen unser Geschäftsmodell?
  • Welche gesetzlichen Pflichten gelten für uns?
  • Welche Sicherheitsmaßnahmen sind Mindeststandard – und welche optional?
  • Wie funktioniert eine rechtssichere Meldung bei Vorfällen?
  • Wie prüfe ich, ob IT und Dienstleister ihren Job machen?

Die Schulung vermittelt also Orientierung, Entscheidungsfähigkeit und Verantwortungsbewusstsein – nicht Programmiersprachen oder Serverarchitektur.

Was passiert, wenn man sich nicht schulen lässt?

Die NIS-2-Richtlinie sieht deutliche Sanktionen vor, wenn Geschäftsleitungen ihren Pflichten nicht nachkommen. Diese reichen von Bußgeldern in Millionenhöhe bis hin zu temporären Berufsverboten in besonders schweren Fällen. Noch bedeutsamer ist jedoch der persönliche Haftungsaspekt: Mitglieder der Geschäftsleitung haften privat, wenn sie nachweislich nicht ausreichend für Sicherheit gesorgt haben – und dazu gehört ausdrücklich auch unterlassene oder unzureichende Schulung.

Mit anderen Worten: Sich nicht zu schulen ist schlicht zu riskant – rechtlich, finanziell und reputativ.

Schulungspflicht nicht als Last sehen – sondern als Chance

Viele Geschäftsleitungen empfinden neue Pflichten anfangs als zusätzliche Belastung. Doch die NIS-2-Schulung ist in Wahrheit eine Versicherung gegen Kontrollverlust. Wer das Thema versteht, trifft bessere Entscheidungen, kommuniziert klarer mit Fachbereichen und kann auch gegenüber Aufsichtsräten, Gesellschaftern oder Behörden souverän auftreten.

Statt also nur „das Gesetz zu erfüllen", lohnt es sich, die Schulung als strategisches Führungsinstrument zu betrachten. Denn eines ist sicher: Cybersicherheit ist gekommen, um zu bleiben. Die Frage ist nur – reagiert man, oder führt man?

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Social Media für Praxen – Risiken, Pflichten und g...
Wenige manipulierte Dokumente reichen – wenn große...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.