Anforderungen an Cybersicherheitsschulungen: Was Geschäftsleitung und Mitarbeiter wissen müssen

Verstehen Sie die Schulungspflichten gemäß NIS2 Artikel 20. Erfahren Sie, welches Cybersicherheitswissen die Geschäftsleitung und die Mitarbeiter erwerben müssen, um die NIS2-Anforderungen zu erfüllen.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 3 Jun 2026 · 8 Min. Lesezeit
NIS2
Anforderungen an Cybersicherheitsschulungen: Was Geschäftsleitung und Mitarbeiter wissen müssen

Wer sollte das lesen: Verantwortliche für Lernen und Entwicklung, Risikomanager, Vorstandsmitglieder, Personalleiter und Chief Information Security Officers.

Schulungen zur Cybersicherheit sind nicht neu. Seit Jahren führen Organisationen Phishing-Simulationsübungen durch, stellen Mitarbeitern Sensibilisierungsmodule bereit und entsenden gelegentlich eine Führungskraft zu einer Cybersicherheitskonferenz. Was unter NIS2 neu ist, ist die ausdrückliche Anforderung der Richtlinie, dass Leitungsorgane und ihre Mitglieder an Schulungen teilnehmen müssen, um „ausreichende Kenntnisse und Fähigkeiten zu erwerben, die es ihnen ermöglichen, Risiken zu erkennen und Praktiken des Cybersicherheitsrisikomanagements sowie deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu bewerten”. Dies ist keine unverbindliche Orientierung, sondern eine gesetzliche Verpflichtung mit konkreten Kompetenzzielen und Folgen für die Unternehmensführung.

Artikel 20 Absatz 2 schreibt Schulungen für Leitungsorgane vor und empfiehlt sie für Mitarbeiter. Dieser zweistufige Ansatz spiegelt eine praktische Realität wider: Vorstände müssen Cybersicherheit gut genug verstehen, um sie wirksam zu steuern, während die breitere Belegschaft eine Sensibilisierung benötigt, die ausreicht, um grundlegende Hygiene und Vorfallmeldungen umzusetzen. Die Unterscheidung ist wichtig, da die Schulung für jede Gruppe unterschiedliche Ziele, unterschiedliche Inhalte und unterschiedliche Erfolgskriterien hat.

Schulung der Geschäftsleitung: über Sensibilisierung hinaus

Die Schulungsanforderung für Leitungsorgane unterscheidet sich grundlegend von herkömmlichen Sensibilisierungsschulungen für Cybersicherheit. Vorstandsmitglieder und Führungskräfte verfügen in der Regel über keinen technischen Hintergrund im Bereich Cybersicherheit. Es kann nicht erwartet werden, dass sie Protokollstapel oder kryptografische Algorithmen verstehen. Ihre Schulung muss vielmehr Kompetenzen in einem engeren, strategischer ausgerichteten Bereich entwickeln: die Fähigkeit, Risiken zu erkennen und Praktiken des Cybersicherheitsrisikomanagements zu bewerten.

Diese Kompetenz erfordert das Verständnis mehrerer Dinge. Erstens müssen Vorstände die spezifische Risikolandschaft verstehen, mit der ihre Organisation konfrontiert ist. Was sind die wichtigsten Bedrohungen für die Dienste der Einrichtung? Welche Bedrohungsakteure zielen auf den Sektor? Was sind die typischen Angriffsvektoren? Welche Folgen hätte ein erfolgreicher Angriff? Vorstände müssen in der Lage sein, fundierte Fragen zu stellen, ob die Risikobewertung des Managements realistisch und ob die vorgeschlagenen Risikomanagementmaßnahmen angemessen sind.

Zweitens müssen Vorstände verstehen, was „angemessene und verhältnismäßige” Cybersicherheitsmaßnahmen bedeuten. Dies ist für die Unternehmensführung gemäß Artikel 20 von entscheidender Bedeutung, da Vorstände die Maßnahmen genehmigen müssen, die ihre Organisation umsetzt. Maßnahmen ohne Verständnis der Verhältnismäßigkeit zu genehmigen bedeutet, dass Vorstände ihre Führungsverantwortung abdanken. Die Schulung muss daher die Grundsätze der Verhältnismäßigkeit gemäß Artikel 21 abdecken: wie Größe, Bedrohungsexposition, Wahrscheinlichkeit und Schwere von Vorfällen sowie gesellschaftliche Auswirkungen Ihre Cybersicherheitsinvestitionen prägen sollten.

Drittens müssen Vorstände das regulatorische Umfeld verstehen. Vorstandsmitglieder müssen wissen, was NIS2 verlangt, welche Strafen bei Nichteinhaltung bestehen und welche Meldepflichten für Vorfälle gelten. Sie müssen außerdem den breiteren regulatorischen Kontext verstehen, einschließlich sektorspezifischer Vorschriften, Datenschutzverpflichtungen und für ihre Branche relevanter Standards.

Viertens müssen Vorstände die Beziehung zwischen Cybersicherheit und Unternehmensstrategie verstehen. Cybersicherheit ist keine Kostenstelle, sondern ein Wegbereiter der Strategie. Ein Fertigungsunternehmen, das eine digitale Transformation anstrebt, kann dies ohne angemessene Cybersicherheitsmaßnahmen nicht sicher tun. Ein Finanzdienstleister, der neue digitale Dienste anbietet, kann dies nicht tun, ohne Cybersicherheitsrisiken anzugehen. Vorstände müssen verstehen, wie Cybersicherheitsentscheidungen strategische Initiativen beeinflussen und umgekehrt.

Fünftens müssen Vorstände die Governance-Strukturen und die Rechenschaftspflicht verstehen. Artikel 20 Absatz 1 macht Leitungsorgane ausdrücklich für Verstöße haftbar. Vorstände müssen daher verstehen, wie sie ihre Aufsicht ausüben, welche Berichtsstrukturen und Informationsflüsse sie über Cybersicherheitsrisiken auf dem Laufenden halten und wie sie für die Cybersicherheitsentscheidungen ihrer Organisation zur Rechenschaft gezogen werden können.

Gestaltung von Cybersicherheitsschulungsprogrammen für Vorstände

Schulungen für Vorstände müssen praxisorientiert und auf Ihre Organisation zugeschnitten sein. Eine eintägige Konferenzsitzung über Cybersicherheitstrends reicht nicht aus. Ein jährliches obligatorisches Schulungsmodul, das Vorstandsmitglieder oberflächlich durchklicken, reicht ebenfalls nicht aus.

Eine wirksame Cybersicherheitsschulung für Vorstände umfasst in der Regel mehrere Komponenten. Erstens eine erste Grundlagenschulung, die häufig bei Aufnahme eines Vorstandsmitglieds in den Vorstand durchgeführt wird und die Grundlagen von NIS2, das Risikoprofil der Einrichtung, die derzeit umgesetzten Maßnahmen und die Steuerungsrolle des Vorstands abdeckt. Dies kann 4 bis 6 Stunden intensiver Inhalte umfassen, die von einer Kombination aus internen Cybersicherheitsverantwortlichen und externen Experten vermittelt werden.

Zweitens eine kontinuierliche Weiterbildung im Laufe des Jahres. Dies kann regelmäßige Cybersicherheitsaktualisierungen bei Vorstandssitzungen umfassen, die neu auftretende Bedrohungen für den Sektor, bedeutende Vorfälle bei vergleichbaren Organisationen, regulatorische Änderungen und Aktualisierungen des organisationseigenen Risikomanagementprogramms abdecken. Diese Aktualisierungen müssen nicht lang sein (20 bis 30 Minuten in jeder Vorstandssitzung), aber sie müssen regelmäßig und substanziell sein.

Drittens spezialisierte Schulungen für Vorstandsausschüsse mit besonderer Verantwortung für die Cybersicherheit. Die meisten Vorstände richten einen Prüfungsausschuss oder einen Risikoausschuss mit Aufsicht über die Cybersicherheit ein. Diese Ausschüsse benötigen eine tiefer gehende Schulung als der gesamte Vorstand, die Themen wie Methoden der Risikobewertung, Praktiken des Lieferantenmanagements, Prozesse zur Reaktion auf Vorfälle und regulatorische Meldepflichten abdeckt.

Viertens Schulungen zu aufkommenden Themen. Wenn neue Bedrohungen auftreten oder sich Vorschriften ändern, müssen die Vorstandsschulungen aktualisiert werden. Wenn Ihr Sektor mit einem neuartigen Angriffsvektor konfrontiert ist, müssen die Vorstandsmitglieder ihn verstehen und wissen, wie er Ihr Risikoprofil beeinflusst. Wenn die Aufsichtsbehörden neue Leitlinien zur Verhältnismäßigkeit herausgeben, müssen die Vorstandsmitglieder verstehen, wie sich dies auf Ihren Compliance-Ansatz auswirkt.

Der Inhalt der Vorstandsschulung sollte spezifisch für Ihre Organisation und Ihren Sektor sein. Der Vorstand eines Gesundheitsdienstleisters benötigt eine Schulung, die auf Cybersicherheitsrisiken im Gesundheitswesen, regulatorische Anforderungen und das Geschäftsmodell der Gesundheitsversorgung zugeschnitten ist. Der Vorstand eines Betreibers kritischer Infrastrukturen benötigt eine Schulung, die für die Verteidigung kritischer Infrastrukturen geeignet ist. Eine allgemeine Cybersicherheitsschulung für Vorstände ist weniger wirksam als eine gezielte Schulung, die auf Ihre spezifische Risikoumgebung eingeht.

Fachwissen der Vorstandsmitglieder und Personalbeschaffung

Artikel 20 Absatz 2 schreibt eine Schulung für Vorstandsmitglieder vor, was impliziert, dass Vorstände durch Schulungen ausreichende Cybersicherheitsexpertise entwickeln sollten. Einige Organisationen entscheiden sich jedoch, diesen Prozess zu beschleunigen, indem sie Vorstandsmitglieder mit Cybersicherheitsexpertise einstellen oder einen Vorstandsberater mit fundierten Cybersicherheitskenntnissen halten.

Die Einstellung eines Vorstandsmitglieds mit Cybersicherheitsqualifikationen (etwa eines CISO einer anderen großen Organisation, eines Cybersicherheitsberaters oder einer Technologie-Führungskraft mit ausgeprägtem Cybersicherheitshintergrund) kann den Vorstandsdiskussionen Fachwissen einbringen, das andernfalls durch Schulungen aufgebaut werden müsste. Dies ist kein Ersatz für die Schulung anderer Vorstandsmitglieder, kann aber die Qualität der Vorstandssteuerung verbessern, indem sichergestellt wird, dass mindestens ein Vorstandsmitglied fundierte technische Fragen stellen und Annahmen des Managements infrage stellen kann.

Alternativ ernennen einige Vorstände einen unabhängigen Cybersicherheitsberater, der an relevanten Vorstandssitzungen teilnimmt und fachkundige Beratung zu Cybersicherheitsfragen bietet. Dieser Berater ist möglicherweise kein Vorstandsmitglied, kann aber Fachwissen in die Diskussion einbringen und dem Vorstand helfen, bessere Fragen an das Management zu stellen.

Schulung von Mitarbeitern und Personal

Artikel 20 Absatz 2 ermutigt wesentliche und wichtige Einrichtungen, ihren Mitarbeitern regelmäßig Schulungen zur Cybersicherheit anzubieten. Die Anforderung ist weniger präskriptiv als der Schulungsauftrag für den Vorstand, aber das Prinzip ist dasselbe: Mitarbeiter müssen ausreichende Kenntnisse und Fähigkeiten erwerben, um ihre Tätigkeit sicher auszuüben und zur Cybersicherheitslage der Organisation beizutragen.

Für die allgemeine Belegschaft umfasst diese Schulung die grundlegende Cyberhygiene. Was sind häufige Phishing-Techniken und wie erkennt man sie? Wie geht man sicher mit Passwörtern um? Was sollten Sie tun, wenn Sie einen Verstoß vermuten? Wie melden Sie Sicherheitsbedenken? Wann und wie sollten Sie sensible Informationen weitergeben? Die allgemeine Mitarbeiterschulung deckt außerdem die spezifischen Werkzeuge und Systeme ab, die Mitarbeiter in ihrer Rolle verwenden, sowie die für diese Werkzeuge relevanten Sicherheitsaspekte.

Für Mitarbeiter mit spezifischen Cybersicherheitsverantwortungen, etwa Sicherheitsteams, Vorfallreaktionspersonal, Entwicklungsteams und Infrastrukturteams, muss die Schulung tiefer gehen und rollenspezifisch sein. Entwicklungsteams benötigen Schulungen zu sicheren Programmierpraktiken. Infrastrukturteams benötigen Schulungen zur Systemhärtung und zum Schwachstellenmanagement. Vorfallreaktionsteams benötigen Schulungen zu Untersuchungsmethoden und Forensik. Sicherheitsteams benötigen Schulungen zur Risikobewertung, zum Schwachstellenmanagement und zur Bedrohungsaufklärung.

Artikel 21 Absatz 2 Buchstabe g fordert ausdrücklich „grundlegende Praktiken der Cyberhygiene und Schulungen zur Cybersicherheit” als Teil der verpflichtenden Maßnahmen zum Cybersicherheitsrisikomanagement. Dies legt nahe, dass die Schulung dokumentiert, formell und für das betreffende Personal verfügbar sein sollte. Informelle Ansätze nach dem Motto „Jeder bekommt einen Phishing-Test” erfüllen den Buchstaben der Anforderung, aber nicht unbedingt den Geist. Organisationen sollten ihre Schulungsprogramme dokumentieren, die Teilnahme verfolgen, die Wirksamkeit wo möglich messen und nachweisen, dass die Schulung regelmäßig aktualisiert wird.

Nachweis der Einhaltung der Schulungspflichten

Aufsichtsbehörden werden fragen, wie Ihre Organisation die Einhaltung der Schulungsanforderungen nachweist. Dies erfordert Dokumentation. Mindestens sollten Sie Folgendes pflegen:

  • Eine Beschreibung Ihres Cybersicherheitsschulungsprogramms für den Vorstand, einschließlich der behandelten Themen, der Häufigkeit der Schulung und der Art und Weise, wie die Schulung auf die spezifische Rolle der Vorstandsmitglieder bei der Genehmigung und Überwachung von Cybersicherheitsmaßnahmen zugeschnitten ist.

  • Schulungsunterlagen oder, bei Einsatz externer Trainer, Nachweise darüber, dass die Schulung durchgeführt wurde. Sie müssen keine vollständigen Aufzeichnungen aller Schulungen aufbewahren, sollten aber über eine ausreichende Dokumentation verfügen, mit der Sie einer Aufsichtsbehörde nachweisen können, dass die Schulung stattgefunden hat und welche Inhalte sie abdeckte.

  • Anwesenheitsaufzeichnungen. Wer wurde geschult? Wann? Sie müssen keine detaillierten Aufzeichnungen führen, wenn die Schulung obligatorisch ist, aber Sie sollten nachweisen können, dass die Schulung angeboten wurde und dass das relevante Personal die Möglichkeit hatte, daran teilzunehmen.

  • Schulungsevaluation. Haben die Teilnehmer etwas gelernt? Hat sich ihr Wissen verbessert? Einige Organisationen verlangen von den Teilnehmern, dass sie eine kurze Bewertung oder ein Feedback-Formular ausfüllen. Dies dient sowohl als Nachweis, dass die Schulung stattgefunden hat, als auch als Gelegenheit, Lücken zu identifizieren, in denen zusätzliche Schulung oder Vertiefung erforderlich ist.

  • Nachweise über laufende Aktualisierungen. Schulung ist keine einmalige Aktivität. Dokumentieren Sie, wie Ihr Schulungsprogramm überprüft und aktualisiert wird. Wenn neue Bedrohungen auftreten oder sich Vorschriften ändern, wie wirkt sich das auf Ihre Schulung aus? Die Dokumentation der Aktualisierungen zeigt, dass die Schulung aktuell und relevant bleibt.

Integration in den Risikomanagementrahmen

Schulung ist nicht vom Rest Ihres Risikomanagementprogramms isoliert. Artikel 21 erfordert einen umfassenden Ansatz, der Risikoanalyse, Vorfallbehandlung, Geschäftskontinuität und weitere Maßnahmen umfasst. Schulung unterstützt all diese. Mitarbeiter, die verstehen, warum Geschäftskontinuitätspläne existieren, befolgen sie eher. Mitarbeiter, die Verfahren zur Vorfallreaktion verstehen, melden vermutete Sicherheitsverstöße eher. Vorstände, die ihre Cybersicherheitspflichten verstehen, weisen den Cybersicherheitsmaßnahmen eher angemessene Ressourcen zu.

Wirksame Organisationen integrieren die Schulung in ihre breitere Cybersicherheits-Governance. Nach einer Risikobewertung kann die Schulung aktualisiert werden, um die identifizierten Risiken anzugehen. Nach einem Vorfall kann die Schulung aktualisiert werden, um ähnliche Vorfälle zu verhindern. Bei der Einführung neuer Technologien oder Prozesse bereitet die Schulung die Mitarbeiter auf die Veränderungen vor. Diese Integration macht die Schulung relevanter und erhöht die Wahrscheinlichkeit, dass sie das Verhalten beeinflusst.

Wichtige Erkenntnisse

  • Artikel 20 Absatz 2 schreibt Schulungen für Leitungsorgane und ihre Mitglieder vor, nicht nur Sensibilisierungsschulungen. Vorstandsmitglieder müssen Kenntnisse und Fähigkeiten entwickeln, um Risiken zu erkennen und Praktiken des Cybersicherheitsrisikomanagements zu bewerten.

  • Die Vorstandsschulung sollte die spezifische Risikolandschaft der Organisation, die Grundsätze der Verhältnismäßigkeit, regulatorische Pflichten, die Beziehung zwischen Cybersicherheit und Unternehmensstrategie sowie Steuerungs- und Verantwortungsstrukturen abdecken. Die Schulung muss kontinuierlich erfolgen, nicht einmalig.

  • Die Mitarbeiterschulung sollte grundlegende Cyberhygiene für alle Mitarbeiter und rollenspezifische Schulungen für Personal mit Cybersicherheitsverantwortung umfassen. Die Schulung sollte dokumentiert, regelmäßig aktualisiert und nachverfolgt werden.

  • Einige Organisationen beschleunigen den Aufbau von Vorstandsexpertise, indem sie Vorstandsmitglieder mit Cybersicherheitsqualifikationen rekrutieren oder unabhängige Cybersicherheitsberater ernennen. Dies ergänzt formelle Schulungen (ersetzt sie jedoch nicht).

  • Weisen Sie die Einhaltung nach, indem Sie Dokumentationen zu Schulungsprogrammen, Materialien, Teilnahme, Bewertung und Nachweisen über laufende Aktualisierungen pflegen. Schulungsunterlagen sind ein zentraler Nachweis dafür, dass Sie die Verpflichtungen aus Artikel 20 erfüllen.

Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.