NIS2 für Leitungsorgane
NIS2 Geschäftsleitungsschulung bedeutet: Geschäftsführer und Vorstände betroffener Einrichtungen müssen gemäß Art. 20 NIS2 und § 38 BSIG selbst geschult sein. Diese Seite zeigt, warum die Pflicht haftungsrelevant ist, welche Inhalte wirklich zählen und wie Sie den Nachweis kompakt aufbauen.
Letzte Aktualisierung: 25. März 2026
NIS2 Geschäftsleitungsschulung ist für betroffene Unternehmen keine freiwillige Awareness-Maßnahme, sondern ein Organpflicht-Thema. Seit Geltung der deutschen NIS2-Umsetzung mit § 38 BSIG müssen Geschäftsleiter die Sicherheitsmaßnahmen billigen, überwachen und selbst regelmäßig Schulungen absolvieren; unionsrechtlich ist die Grundlage Art. 20 Abs. 2 der Richtlinie (EU) 2022/2555. Wenn Sie zuerst den breiteren Schulungsrahmen einordnen möchten, sind unsere Seiten zur NIS2 Online-Schulung, zum NIS2 Schulung Vergleich und zur geförderten NIS2-Schulung die passenden Anschlussseiten.
Rechtsgrundlage
§ 38 BSIG
Geschäftsleitung muss Maßnahmen überwachen und Schulungen absolvieren
EU-Basis
Art. 20 NIS2
Leitungsorgane betroffener Einrichtungen müssen Schulungen erhalten
Sanktionsrahmen
bis 10 Mio. EUR
oder 2 % Jahresumsatz bei besonders wichtigen Einrichtungen
Format
Online mit Zertifikat
nachweisbar, kompakt und für die Geschäftsleitung anschlussfähig
§ 38 BSIG verpflichtet die Geschäftsleitung betroffener Einrichtungen, Risikomanagement-Maßnahmen nicht nur freizugeben, sondern deren Umsetzung zu überwachen und regelmäßig Schulungen zu absolvieren. Delegation an IT oder CISO ersetzt diese Organpflicht nicht.
Art. 20 Abs. 1 und 2 der Richtlinie (EU) 2022/2555 verlagern Cybersecurity in die Governance. Vorstand und Geschäftsführung müssen verstehen, welche Risiken erheblich sind, wie Vorfallmeldungen eskaliert werden und welche Kontrollfragen in Beschluss- und Aufsichtsgremien gestellt werden müssen.
Wenn ein erheblicher Cybervorfall auf fehlende Aufsicht, unklare Priorisierung oder mangelnde Schulung zurückgeführt werden kann, wird aus einem Security-Vorfall schnell ein Organisationsverschulden. Genau deshalb ist die dokumentierte Geschäftsleitungsschulung ein belastbarer Teil der Verteidigungsposition.
§ 38 BSIG übersetzt Art. 20 NIS2 in deutsches Aufsichtsrecht: Geschäftsleiter müssen die Umsetzung der Sicherheitsmaßnahmen billigen, ihre Durchführung überwachen und an Schulungen teilnehmen. Entscheidend ist nicht nur Kenntnisnahme, sondern aktive Steuerung.
Art. 20 Abs. 2 NIS2 verlangt, dass Mitglieder der Leitungsorgane Schulungen absolvieren und die Teilnahme der Mitarbeitenden an Schulungen fördern. Für Geschäftsführer bedeutet das einen eigenen Pflichtenkreis, der nicht in allgemeinen Awareness-Maßnahmen aufgehen darf.
Art. 21 Abs. 2 Buchst. g NIS2 nennt grundlegende Cyberhygiene und Cybersicherheitsschulungen ausdrücklich als Risikomanagement-Maßnahme. Die Geschäftsleitung muss deshalb nicht nur selbst geschult sein, sondern auch einen belastbaren Schulungsstandard für Schlüsselrollen durchsetzen.
Nicht jedes Unternehmen fällt unter NIS2. Wer jedoch als besonders wichtige oder wichtige Einrichtung nach BSIG erfasst ist, muss Schulung, Meldewege, Lieferkettenkontrolle und Krisenorganisation dokumentierbar steuern. Für diese Unternehmen ist die Geschäftsleitungsschulung kein Optionalthema mehr.
Die Kernaussage für Geschäftsführer lautet: NIS2 verlangt keine tieftechnische Admin-Ausbildung, aber eine belastbare Management-Kompetenz. Wer Beschlüsse zu Budget, Personal, Prioritäten, Lieferanten oder Krisenreaktion fasst, muss die regulatorische Tragweite dieser Entscheidungen verstehen. Genau deshalb nennt Art. 20 NIS2 das Leitungsorgan ausdrücklich und genau deshalb verankert § 38 BSIG die Schulungspflicht im deutschen Gesetzesrahmen.
Rechtspraktisch relevant sind dabei vor allem vier Fragen. Erstens: Ist das eigene Unternehmen als besonders wichtige oder wichtige Einrichtung einzustufen? Zweitens: Welche Risiken und Dienste sind für die Betriebsfortführung kritisch? Drittens: Wie wird bei einem erheblichen Vorfall intern und extern eskaliert? Viertens: Wie weist die Geschäftsleitung nach, dass sie ihrer Aufsichts- und Schulungspflicht tatsächlich nachgekommen ist?
Diese Seite stützt sich auf Art. 20 und Art. 21 NIS2, auf § 38 BSIG sowie auf den Maßnahmenrahmen des § 30 BSIG. Für die operative Vertiefung helfen ergänzend unser Vergleich NIS2-Schulung Vergleich und der Überblick zur NIS2 Online-Schulung.
Für die Geschäftsleitung ist besonders wichtig, die richtige Abgrenzung zu ziehen. Die eigene Aufgabe besteht nicht darin, technische Schutzmaßnahmen selbst umzusetzen, sondern darin, die Sicherheitsorganisation so zu steuern, dass Risiken systematisch erkannt, priorisiert, finanziert und überwacht werden. Praktisch heißt das: Das Management muss verstehen, ob die Risikoanalyse vollständig ist, ob die Meldewege funktionieren, ob kritische Drittparteien angemessen kontrolliert werden und ob das Unternehmen im Krisenfall entscheidungsfähig bleibt.
Genau an dieser Stelle scheitern viele NIS2-Projekte. Die operative Ebene erstellt Maßnahmenlisten, aber auf Leitungsebene fehlen eindeutige Beschlüsse, klare Verantwortlichkeiten und eine regelmäßige Berichtslinie. Eine gute Geschäftsleitungsschulung schließt diese Lücke, weil sie aus Paragraphen konkrete Management-Fragen macht: Welche Risiken sind für unser Geschäftsmodell wesentlich? Welche Investitionen sind nicht länger aufschiebbar? Welche Dienstleister müssen auf Board-Ebene überwacht werden? Und welche Informationen will die Geschäftsführung in jeder Lage innerhalb weniger Minuten sehen können?
Gleichzeitig schafft die Schulung einen wichtigen gemeinsamen Sprachstandard zwischen Vorstand, Geschäftsführung, CISO, IT-Leitung, Compliance, Datenschutz, BCM und Einkauf. Gerade bei NIS2 entstehen Reibungsverluste oft nicht durch fehlende Technik, sondern durch unterschiedliche Begriffe, Prioritäten und Eskalationslogiken. Wenn die Geschäftsleitung dieselbe Grundlogik versteht wie die Schlüsselrollen, werden Vorfallmeldung, Lieferkettenprüfung und Budgetsteuerung deutlich belastbarer.
Der Kurs verdichtet NIS2 auf die Entscheidungen, die Geschäftsführung und Vorstand tatsächlich treffen: Risikoappetit, Ressourcenzuteilung, Priorisierung von Maßnahmen, Eskalation bei Vorfällen und Überwachung kritischer Drittparteien.
Die Inhalte ordnen § 38 BSIG, Art. 20 NIS2 und Art. 21 Abs. 2 NIS2 mit exakten Normbezügen ein. Gleichzeitig wird übersetzt, welche Fragen die Geschäftsleitung im Monatsreporting, im Audit oder im Krisenstab konkret stellen sollte.
Nach Abschluss erhalten Teilnehmer ein Zertifikat. Für Unternehmen schafft das eine nachvollziehbare Dokumentation, dass Organmitglieder den Schulungsbaustein ihrer Governance-Pflichten tatsächlich absolviert haben.
Das Format ist online und kompakt. Gerade für Geschäftsführungen, Beiräte und Bereichsleitungen ist das praktischer als Inhouse-Termine mit langer Vorlaufzeit, ohne auf Nachweis und inhaltliche Tiefe zu verzichten.
Geschäftsführer lernen in der NIS2 Geschäftsleitungsschulung genau die Inhalte, die für Organpflicht, Krisensteuerung und Nachweis relevant sind. Im Fokus stehen nicht technische Spezialthemen, sondern die Management-Fragen, die bei Audit, Aufsicht, Kundenprüfung oder Vorfallreaktion tatsächlich auf Vorstandsebene landen.
Besonders wichtig ist die Übersetzung in Entscheidungssituationen. Eine gute Geschäftsleitungsschulung beantwortet nicht nur, welche Norm gilt, sondern wann das Management eingreifen muss, wann der Krisenstab aktiviert werden sollte, welche Dienstleister aus Board-Perspektive kritisch sind und wie aus einem Sicherheitsreport eine echte Steuerungsgrundlage wird.
Für viele Unternehmen ist genau das der Unterschied zwischen formaler Pflichterfüllung und wirksamer Governance. Die Geschäftsleitung muss keine Firewalls konfigurieren, aber sie muss verstehen, welche Konsequenzen fehlende Priorisierung, schwaches Lieferantenmanagement oder unterlassene Eskalation im eigenen Unternehmen auslösen können. Wenn Sie die Schulung breiter im Unternehmen verankern wollen, ist die geförderte NIS2-Schulung eine sinnvolle Anschlussoption.
Inhaltlich sollte die Geschäftsleitung vor allem drei Ebenen sicher beherrschen. Erstens die rechtliche Ebene: Welche Pflichten folgen aus Art. 20 NIS2, § 38 BSIG und dem Maßnahmenkatalog des § 30 BSIG? Zweitens die organisatorische Ebene: Wie werden Risikoanalyse, Lieferkette, Incident Response, Notfallmanagement und Nachweisführung im Unternehmen tatsächlich abgebildet? Drittens die ökonomische Ebene: Welche Auswirkungen haben Sicherheitsdefizite auf Betriebsunterbrechung, Vertragsbeziehungen, Versicherbarkeit, Finanzierung und persönliche Organhaftung?
Genau deshalb ist die Schulung für Geschäftsführer keine isolierte Einzelmaßnahme. Sie wirkt nur dann voll, wenn sie in ein Management-System aus Reporting, Beschluss- dokumentation, Verantwortungszuweisung und regelmäßigen Reviews eingebettet wird. Unternehmen, die diese Verknüpfung sauber aufbauen, können gegenüber Aufsicht, Auditoren, Versicherern und Großkunden deutlich glaubwürdiger nachweisen, dass NIS2 nicht nur auf dem Papier bearbeitet wird.
Für stark regulierte Umfelder ist außerdem die Anschlussfähigkeit entscheidend. Finanzunternehmen müssen NIS2 oft gemeinsam mit DORA, Industrieunternehmen mit Lieferketten- und Produktionsrisiken, Gesundheitsorganisationen mit Verfügbarkeits- und Datenschutzanforderungen betrachten. Die Schulung hilft der Geschäftsleitung dabei, diese Überschneidungen einzuordnen, ohne in Spezialdetails zu versinken. Das spart gerade auf Leitungsebene Zeit und schafft trotzdem belastbare Entscheidungsfähigkeit.
Persönliche Haftung entsteht bei NIS2-Verstößen typischerweise nicht allein wegen eines Cyberangriffs, sondern wegen unzureichender Organisation. Wenn die Geschäftsleitung bekannte Risiken ignoriert, keine Schulung absolviert, kritische Berichte nicht einfordert oder Eskalationsstrukturen offenlässt, wird aus einem Vorfall schnell ein Aufsichts-, Regress- und Dokumentationsproblem.
Wenn die Geschäftsleitung keine belastbare Vorfall-Governance vorgegeben hat, wird aus einem technischen Schaden ein Organisationsproblem. In der Prüfung stellt sich dann die Frage, ob Aufsicht, Ressourcen und Management-Schulung ausreichend waren.
Lieferkettenrisiken nach § 30 Abs. 2 Nr. 4 BSIG sind kein reines Einkaufsthema. Wenn Geschäftsführung und Vorstand Drittparteirisiken nicht in Reporting und Freigabeprozesse eingebettet haben, kann die Überwachungspflicht verletzt sein.
Management haftet nicht für jeden Vorfall, aber für evident unzureichende Organisation kann Regress drohen. Wer bekannte Prioritäten ignoriert, kein Monitoring einfordert und keine Schulung absolviert, verschlechtert seine Position erheblich.
Art. 20 NIS2 verlangt gerade, dass Leitungsorgane die Maßnahmen billigen und überwachen. Ein bloßes Vertrauen auf Fachabteilungen ohne eigene Mindestkompetenz widerspricht der Grundlogik der Richtlinie und § 38 BSIG.
Haftungsrelevant ist dabei vor allem die Dokumentationslage. Wer als Geschäftsleitung belastbar zeigen kann, dass Risiken priorisiert, Maßnahmen freigegeben, Reportings eingefordert und Schulungen absolviert wurden, steht im Ernstfall deutlich besser da als ein Organ, das sich ausschließlich auf informelle Zurufe der IT verlassen hat.
Deshalb ist die NIS2 Geschäftsleitungsschulung kein kosmetischer Kurs, sondern Teil einer rationalen Haftungsprävention. Sie ersetzt keine Rechtsberatung im Einzelfall, schafft aber einen dokumentierbaren Mindeststandard, der zu Audit, Krisenstab und Aufsichtsanforderungen passt.
In der Praxis zeigt sich Haftung häufig nicht sofort in einer einzelnen Sanktion, sondern in einer Kette von Problemen. Nach einem Vorfall folgen typischerweise forensische Aufarbeitung, Kundenkommunikation, Versicherungsfragen, interne Sonderprüfungen, Fragen des Aufsichtsrats oder Beirats und im Extremfall persönliche Regressüberlegungen gegen Organmitglieder. Je klarer die Geschäftsleitung ihre Schulungs-, Steuerungs- und Überwachungsleistungen dokumentiert hat, desto belastbarer ist die eigene Position in dieser Phase.
Hinzu kommt die Erwartungshaltung großer Kunden und kritischer Partner. Viele Unternehmen müssen heute nicht nur einer Behörde, sondern auch im Due-Diligence- oder Audit-Prozess zeigen, dass Management und Schlüsselrollen NIS2-relevante Pflichten verstanden haben. Eine strukturierte Geschäftsleitungsschulung ist deshalb nicht nur ein Rechts-, sondern auch ein Vertriebs- und Governance-Thema: Sie verbessert die Anschlussfähigkeit in Ausschreibungen, Security-Fragebögen und Vertragsverhandlungen.
Für Geschäftsführer lautet die nüchterne Management-Frage deshalb nicht: "Kann ich diese Schulung delegieren?" Sondern: "Welcher dokumentierte Mindeststandard schützt unsere Organisation und meine Organrolle am zuverlässigsten?" Genau darauf zielt diese Landingpage und genau darauf ist der Kurs in Inhalt, Nachweis und Format zugeschnitten.
Für die NIS2 Geschäftsleitungsschulung können Sie mit denselben klaren Paketen starten, die auch für andere Compliance-Rollouts genutzt werden. Der Vorteil für Leitungsorgane liegt nicht in komplizierter Preislogik, sondern in schneller Buchbarkeit, Zertifikat pro Teilnehmer und einer sauberen Nachweisbasis für Geschäftsleitung und Schlüsselrollen.
1 Teilnehmer
49 EUR einmalig
Für einzelne Geschäftsführer, Vorstände oder Beiratsmitglieder, die sofort einen persönlichen Nachweis benötigen.
Bis 20 Teilnehmer
299 EUR einmalig
Für Geschäftsleitung plus CISO, IT-Leitung, Compliance und weitere Schlüsselrollen im ersten Rollout.
Größere Teams und Rollout
899 EUR einmalig
Für NIS2-betroffene Unternehmen mit mehreren Leitungs- und Schlüsselrollen, Standorten oder Audit-Vorbereitung.
Die richtige Paketwahl hängt davon ab, ob nur die Geschäftsleitung oder zusätzlich CISO, IT-Leitung, Compliance, Einkauf und Krisenrollen mitgeschult werden sollen. Für größere Rollouts, Board-Strukturen oder mehrere Gesellschaften ist das Erstgespräch über iClosed der schnellste Weg zur passenden Einordnung.
Preislich ist für viele Unternehmen nicht der einzelne Kursslot entscheidend, sondern die Frage, wie schnell ein belastbarer Nachweis für Leitungsorgane und Schlüsselrollen aufgebaut werden kann. Ein Präsenzformat mit mehreren Terminen, Reisezeiten und interner Abstimmung wirkt auf den ersten Blick oft hochwertig, ist für die Geschäftsleitung aber organisatorisch häufig teurer als eine kompakte, klar dokumentierbare Online-Lösung.
Gerade in NIS2-Projekten zählt außerdem die Wiederholbarkeit. Management-Wechsel, neue Gesellschaften, zusätzliche Standorte oder nachträglich eingebundene Schlüsselrollen machen eine skalierbare Schulungslogik wertvoller als ein einmaliger Event. Die Paketstruktur ist deshalb bewusst so gewählt, dass Unternehmen klein starten und später ohne Formatbruch erweitern können.
Für die Geschäftsleitung ist das ein relevanter Governance-Vorteil: Statt bei jeder personellen Änderung erneut ein Inhouse-Format aufzusetzen, lässt sich die Schulungspflicht über einen standardisierten, dokumentierten Prozess abbilden. Genau diese Prozessstabilität ist bei Audits und in internen Kontrollsystemen meist mehr wert als ein isolierter Schulungstermin ohne Anschlussstruktur.
Die häufigsten Fragen auf Leitungsebene drehen sich nicht um technische Details, sondern um Scope, Haftung, Intervall und Nachweis. Genau diese Punkte beantwortet die folgende Übersicht kompakt und mit Blick auf Art. 20 NIS2 sowie § 38 BSIG.
Wenn Sie intern diskutieren, ob die Geschäftsleitung jetzt schon geschult werden sollte, obwohl die operative Umsetzung noch läuft, ist die Antwort in der Regel ja. Gerade weil Budget, Priorisierung, Lieferantensteuerung und Vorfalleskalation auf Leitungsebene entschieden werden, sollte das Management nicht erst am Ende eines NIS2-Projekts inhaltlich aufgeschaltet werden.
Der bessere Weg ist fast immer umgekehrt: zuerst die Leitungsorgane auf einen belastbaren Mindeststandard bringen, dann die operative Vertiefung in Schlüsselrollen sauber ausrollen. So entstehen frühere Beschlussfähigkeit, bessere Priorisierung und eine deutlich plausiblere Nachweislogik gegenüber internen und externen Prüfern.
Die pragmatische Schlussfolgerung lautet: Wenn Ihr Unternehmen unter NIS2 fällt, sollte die Geschäftsleitung ihre Schulungspflicht nicht auf später verschieben. § 38 BSIG macht Management-Schulung zum Teil der Überwachungs- und Organisationspflicht; Art. 20 NIS2 liefert die unionsrechtliche Grundlage.
Nutzen Sie die NIS2 Geschäftsleitungsschulung, um Vorstand, Geschäftsführung und Schlüsselrollen schnell auf einen gemeinsamen Mindeststandard zu bringen. Für Einordnung, Paketwahl und Rollout ist das iClosed-Erstgespräch der direkteste nächste Schritt.
Wenn Sie zuerst die Betroffenheit oder die geeignete Rollout-Reihenfolge klären möchten, ist genau dafür das Gespräch gedacht. Wir ordnen ein, ob Ihre Geschäftsleitung sofort priorisiert geschult werden sollte, welche Schlüsselrollen parallel mitzunehmen sind und welches Paket für Ihren aktuellen NIS2-Reifegrad sinnvoll ist.