Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
cybersecurity schulung pflichtNIS2 schulungspflichtIT-Sicherheit Schulung PflichtCybersecurity Training PflichtSecurity Awareness Pflicht

Cybersecurity Schulung Pflicht — Wer muss was schulen?

NIS2, AI Act und DSGVO verpflichten viele Unternehmen 2026 zu Cybersecurity-Schulungen. Wer betroffen ist und wie Sie Nachweise führen.

Veröffentlicht: 18. Februar 2026Letzte Aktualisierung: 20. März 202611 Min. Lesezeit

Cybersecurity Schulung Pflicht — Wer muss was schulen?

Die Cybersecurity-Schulung ist 2026 für viele deutsche Unternehmen Pflicht: NIS2 und das deutsche BSIG verpflichten betroffene Geschäftsleitungen zu Schulungen und überwachten Risikomaßnahmen, der AI Act verlangt seit dem 2. Februar 2025 KI-Kompetenz, und die DSGVO macht dokumentierte Sensibilisierung bei personenbezogenen Daten prüfungsrelevant. Für rund 29.000 bis 30.000 NIS2-betroffene Unternehmen in Deutschland ist das kein Soft-Thema mehr, sondern Teil der Compliance-Architektur mit Bußgeldern bis 10 Mio. EUR oder 2 % Weltumsatz im BSIG-Rahmen.

Letzte Aktualisierung: 20. März 2026

Die kurze Antwort lautet: Geschult werden müssen 2026 nicht nur Mitarbeitende, sondern je nach Regelwerk auch Geschäftsführung, Schlüsselrollen, externe Dienstleister und Teams mit KI- oder Datenbezug. Wenn Sie die praktische Grundlinie zuerst operativ sortieren möchten, lesen Sie ergänzend unseren Beitrag zum BSI IT-Grundschutz, die Einordnung zur Geschäftsführer-Haftung bei Cyberangriffen, das Glossar zu KI-Kompetenz, den Beitrag zur KI-Schulungspflicht nach Artikel 4 und die EU-AI-Act-Schulung.

Wer 2026 tatsächlich unter eine Cybersecurity-Schulungspflicht fällt

Pflichtig sind 2026 vor allem drei Gruppen von Unternehmen: erstens NIS2-betroffene besonders wichtige und wichtige Einrichtungen, zweitens alle Organisationen, die KI-Systeme beruflich einsetzen, und drittens Unternehmen, die personenbezogene Daten verarbeiten und deshalb nach der DSGVO geeignete technische und organisatorische Maßnahmen nachweisen müssen. Die Pflicht entsteht also nicht aus einem einzelnen Gesetz, sondern häufig aus einer Überlagerung mehrerer Regime.

Für die Geschäftsleitung ist diese Einordnung besonders wichtig. Schulungspflichten treffen nicht nur „die Belegschaft“, sondern häufig ausdrücklich das Leitungsorgan. Genau das ist der wesentliche Unterschied zwischen klassischer Awareness und echter Compliance-Schulung: Management, Fachbereiche und operative Teams brauchen unterschiedliche Inhalte, aber alle brauchen einen nachvollziehbaren Mindeststandard.

Für mittelständische Unternehmen ist die häufigste Fehlannahme, dass nur KRITIS-Unternehmen betroffen seien. Das ist zu kurz gedacht. NIS2 und das BSIG erfassen deutlich mehr Einrichtungen als die frühere KRITIS-Logik, der AI Act greift schon bei normaler beruflicher KI-Nutzung, und die DSGVO kennt keine Ausnahme für Unternehmen, die Sicherheitswissen nur informell vermitteln.

Die folgende Übersicht zeigt, wie die Pflichten typischerweise zusammenlaufen:

RegelwerkWer ist betroffen?Was muss geschult werden?Sanktions- oder HaftungslogikTypischer Nachweis
§ 38 BSIG und § 30 BSIGBesonders wichtige und wichtige EinrichtungenGeschäftsleitung, dazu organisatorisch auch betroffene Rollen im RisikomanagementBis 10 Mio. EUR oder 2 % Weltumsatz bei bestimmten BSIG-Verstößen; zusätzlich OrganhaftungTeilnehmerliste, Agenda, Rollenmatrix, Protokolle
Art. 4 EU-VO 2024/1689Alle Unternehmen, die KI beruflich einsetzen oder bereitstellenKI-Kompetenz für alle relevanten PersonenKein eigener Art.-4-Bußgeldtatbestand, aber Governance-, Haftungs- und AufsichtsrisikoSchulungsplan, Inhalte, Test, Schulungszertifikat
Art. 32 und 39 DSGVOAlle Verantwortlichen und Auftragsverarbeiter mit PersonenbezugSicherheit, zulässige Nutzung, Meldewege, DatenschutzrollenBußgelder nach Art. 83 DSGVO und RechenschaftspflichtTOM-Doku, Schulungsregister, DSB-Konzept
BSI IT-Grundschutz ORP.3Unternehmen mit Grundschutz- oder Audit-AnsatzSensibilisierung, wiederkehrende Schulungen, rollenbezogene VertiefungAudit- und Organisationsstandard, kein eigener BußgeldkatalogAwareness-Plan, Wiederholungslogik, Auswertungen
DORA / MaRiskFinanzunternehmenIKT-Sicherheit, Resilienz, Leitungsorgan, SchlüsselrollenAufsichtsmaßnahmen, Prüfungs- und SanktionsrisikoLMS-Reports, Agenda, Governance-Doku
GesundheitswesenKrankenhäuser und sicherheitskritische GesundheitsorganisationenInformationssicherheit, Ausfall- und Meldeprozesse, DatenschutzPrüf- und Aufsichtsrisiko, Haftung bei OrganisationsmängelnSchulungsplan, Klinikroutinen, Vorfallnachweise

NIS2-Schulungspflicht nach § 38 BSIG

§ 38 BSIG verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen seit dem geltenden deutschen NIS2-Rahmen ausdrücklich zu drei Dingen: Sie müssen die Risikomanagementmaßnahmen ihrer Einrichtung umsetzen, deren Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Der Gesetzgeber behandelt Cybersecurity damit nicht mehr als delegierbare IT-Randaufgabe, sondern als Leitungsaufgabe.

Für die Praxis ist vor allem Absatz 3 entscheidend. Dort verlangt § 38 BSIG regelmäßige Schulungen, damit die Geschäftsleitung Risiken der Sicherheit in der Informationstechnik erkennen, bewerten und in ihren Auswirkungen auf die angebotenen Dienste beurteilen kann. Gemeint ist also keine beliebige Awareness-Folie, sondern ein Management-Training zu Risiko, Steuerung, Priorisierung, Notfalllogik und Überwachung.

Ebenso wichtig ist Absatz 2: Wenn Geschäftsleitungen ihre Pflichten verletzen, haften sie ihrer Einrichtung für schuldhaft verursachte Schäden nach den gesellschaftsrechtlichen Regeln. Das ist der eigentliche Haftungsdurchgriff. Die Bußgelder nach § 65 BSIG richten sich zwar primär gegen die Einrichtung, aber fehlende Management-Schulung kann zugleich das interne Regress- und Organhaftungsrisiko erhöhen.

Bei den Bußgeldern sollte man präzise bleiben. § 65 BSIG nennt für bestimmte Verstöße gegen die Risikomanagementpflichten der betroffenen Einrichtungen Geldbußen bis zu 10 Mio. EUR bei besonders wichtigen Einrichtungen und bis zu 7 Mio. EUR bei wichtigen Einrichtungen; bei sehr großen Unternehmen sind zusätzlich Umsatzsanktionen bis 2 % beziehungsweise 1,4 % des weltweiten Gesamtumsatzes möglich. Nicht jede einzelne Schulungslücke führt automatisch zu diesem Höchstbetrag, aber eine fehlende oder unzureichend dokumentierte Schulungs- und Governance-Struktur kann in den sanktionsrelevanten Pflichtverstoß hineinlaufen.

Für die Geschäftsleitung bedeutet das operativ vier Pflichtfragen:

  1. Versteht das Leitungsorgan die aktuellen Cyber-Risiken des Unternehmens?
  2. Gibt es einen dokumentierten Schulungsplan für Management und Schlüsselrollen?
  3. Werden Umsetzung und Wirksamkeit der Risikomaßnahmen überwacht?
  4. Kann das Unternehmen diese Punkte im Audit oder Verfahren sofort belegen?

Wenn Sie diese Management-Perspektive vertiefen möchten, ist unser Beitrag zu Geschäftsführer-Haftung bei Cyberangriffen die passende Anschlussseite.

AI Act Art. 4 KI-Kompetenz seit dem 2. Februar 2025

Art. 4 der EU-Verordnung 2024/1689 verpflichtet seit dem 2. Februar 2025 Anbieter und Betreiber von KI-Systemen, nach bestem Bemühen ein ausreichendes Maß an KI-Kompetenz bei ihrem Personal und anderen in ihrem Auftrag tätigen Personen sicherzustellen. Für die Frage der Cybersecurity-Schulungspflicht ist das deshalb relevant, weil KI-Nutzung heute häufig direkt in Sicherheits-, Daten- und Freigabeprozesse eingreift.

Betroffen sind nicht nur Tech-Unternehmen. Wer ChatGPT, Copilot, interne Assistenten, Dokumentenanalyse, Bewerbervorauswahl, Support-Bots oder fachspezifische KI-Tools nutzt, fällt bereits in eine Schulungslogik hinein. Art. 4 unterscheidet nicht danach, ob ein Unternehmen „eigentlich nur Anwender“ ist. Maßgeblich ist, dass Personen im Unternehmen KI-Systeme informiert, sicher und mit Blick auf Chancen, Risiken und mögliche Schäden nutzen können.

Für Cybersecurity bedeutet das: Beschäftigte müssen wissen, welche Daten sie in KI-Systeme eingeben dürfen, wann Ergebnisse geprüft werden müssen, welche Freigaben gelten, wie Halluzinationen oder manipulative Ausgaben erkannt werden und wann ein Vorfall eskaliert werden muss. KI-Kompetenz ist deshalb kein separates Innovationsthema, sondern Teil Ihrer Sicherheits- und Compliance-Organisation.

Wichtig ist die Sanktionseinordnung. Art. 4 hat keinen eigenen, unionsweit harmonisierten Bußgeldtatbestand. Daraus folgt aber gerade nicht, dass die Norm folgenlos wäre. In der Praxis verstärkt fehlende KI-Kompetenz andere Defizite: unsichere Dateneingaben, mangelhafte Aufsicht, fehlerhafte Entscheidungen, schwache Nachweisführung und eine schlechte Verteidigungsposition gegenüber Aufsicht, Kunden oder Gerichten. Die Pflicht ist also organisationsrechtlich scharf, auch wenn sie nicht mit einer isolierten Art.-4-Geldbuße arbeitet.

Für den operativen Aufbau hilft unser Glossar zu KI-Kompetenz, und den Gesamtzuschnitt erläutert der Leitfaden zur KI-Schulungspflicht nach Artikel 4.

DSGVO Art. 32 und Art. 39: Sicherheit, Sensibilisierung und Rechenschaft

Die DSGVO nennt keine pauschale allgemeine „Cybersecurity-Schulungspflicht“ mit festem Stundenumfang, verlangt aber über Art. 32 geeignete technische und organisatorische Maßnahmen und über Art. 39 Abs. 1 Buchst. b ausdrücklich die Sensibilisierung und Schulung des an den Verarbeitungsvorgängen beteiligten Personals als Aufgabe des Datenschutzbeauftragten. Für Unternehmen mit personenbezogenen Daten ist Schulung damit ein Bestandteil der Sicherheitsorganisation und nicht bloß freiwillige Personalentwicklung.

Art. 32 DSGVO ist der technische Kern. Unternehmen müssen ein dem Risiko angemessenes Sicherheitsniveau gewährleisten. Dieses Ziel wird in der Praxis regelmäßig verfehlt, wenn Mitarbeitende Phishing nicht erkennen, Zugangsdaten unsicher handhaben, sensible Daten in unfreigegebene KI-Tools eingeben oder Meldewege nach einem Sicherheitsvorfall nicht kennen. Sicherheitsmaßnahmen ohne geschulte Menschen bleiben deshalb unvollständig.

Art. 39 DSGVO ist der organisatorische Kern. Der Datenschutzbeauftragte soll nicht nur beraten und überwachen, sondern auch Sensibilisierung und Schulung des Personals begleiten. Daraus folgt keine automatische Exklusivzuständigkeit des DSB für jede Schulung, wohl aber die Erwartung, dass Datenschutz- und Security-Themen im Unternehmen strukturiert und wiederholbar vermittelt werden.

Gerade in Unternehmen mit Microsoft 365, Cloud-Tools, CRM, HR-Systemen und generativer KI überschneiden sich Datenschutz und Cybersecurity unmittelbar. Wer etwa personenbezogene Daten in Copilots, Chatbots oder automatische Dokumentenprozesse einspeist, braucht gleichzeitig Regeln zu Vertraulichkeit, Zugriff, Zweckbindung, Freigabe und Eskalation. Eine rein technische TOM-Dokumentation ohne Personal-Sensibilisierung reicht dafür nicht aus.

Wenn Sie diese Nachweisfrage vertiefen möchten, hilft unser Beitrag zum Schulungsnachweis als Haftungsschutz als praktische Ergänzung.

BSI IT-Grundschutz: ORP.3 Sensibilisierung und Schulung

Der BSI-IT-Grundschutz macht mit dem Baustein ORP.3 klar, dass Sensibilisierung und Schulung als organisatorische Grundanforderungen zu behandeln sind. Der Grundgedanke ist einfach: Informationssicherheit scheitert in vielen Unternehmen nicht an fehlenden Policies, sondern daran, dass Menschen Regeln, Risiken und Meldewege nicht kennen oder nicht anwenden.

ORP.3 ist für die Praxis deshalb so wertvoll, weil er keine abstrakte Rechtsnorm ersetzt, sondern ein belastbares Umsetzungsmodell liefert. Unternehmen sollen Zielgruppen unterscheiden, Inhalte rollenbezogen planen, Awareness nicht als Einmalaktion behandeln und Wirksamkeit regelmäßig überprüfen. Damit passt der Baustein sehr gut als operative Brücke zwischen BSIG, DSGVO, DORA und AI Act.

Typischerweise umfasst ein ORP.3-naher Schulungsansatz:

  1. Basissensibilisierung für alle Mitarbeitenden.
  2. Vertiefung für Management, IT, HR, Einkauf, Datenschutz und Krisenrollen.
  3. Wiederkehrende Kurzimpulse über das Jahr.
  4. Anlassbezogene Updates bei Vorfällen, neuen Tools oder neuen Bedrohungen.
  5. Dokumentation von Teilnahme, Inhalt, Version und Lernerfolg.

Gerade für Mittelständler ist das praktikabler als der Versuch, jedes Gesetz einzeln in ein separates Training zu gießen. Wer Cyberhygiene, Datenschutz und KI-Kompetenz in einer Rollenmatrix bündelt, reduziert Doppelaufwand und verbessert zugleich die Nachweisfähigkeit.

Branchen mit verschärften Pflichten

Besonders scharf ist die Schulungspflicht in regulierten Branchen, in denen Cybervorfälle nicht nur ein IT-Problem, sondern ein Versorgungs-, Finanz- oder Haftungsrisiko auslösen. Dort reicht eine allgemeine Awareness-Schulung fast nie aus.

Für NIS2-relevante und KRITIS-nahe Sektoren gilt: Geschäftsleitung, Schlüsselrollen und betroffene Teams müssen regelmäßig und nachweisbar geschult werden. Das betrifft etwa Energie, Verkehr, digitale Infrastruktur, Gesundheitsversorgung, Trinkwasser, Abfallwirtschaft, öffentliche Verwaltung und weitere NIS2-Sektoren.

Im Finanzsektor verschärfen DORA und MaRisk die Lage. DORA verlangt für Finanzunternehmen fortlaufende Programme zur Sensibilisierung für digitale operationelle Resilienz. MaRisk und aufsichtliche Erwartungen der BaFin verstärken zusätzlich die Governance-, Kontroll- und Dokumentationsperspektive. Banken, Versicherer, Zahlungsdienstleister und andere Institute sollten deshalb Management, Fachbereiche, Security, Einkauf und Auslagerungssteuerung in getrennten Rollenclustern schulen. Für den Deep Dive ist unser Beitrag zur DORA-Schulung relevant.

Im Gesundheitswesen lohnt eine Präzisierung zum Rechtsstand: Die frühere Diskussion verwies oft auf § 75c SGB V. Im aktuellen Rechtsstand 2026 sind die Sicherheitsanforderungen im Krankenhausbereich weiterentwickelt; für die Praxis zählt vor allem, dass Krankenhäuser und sicherheitskritische Gesundheitsorganisationen ihre Informationssicherheit organisatorisch und personell belastbar aufsetzen müssen. Dort sind Ausfallroutinen, Datenschutz, medizinische Kritikalität und Cyberangriffe eng miteinander verknüpft, weshalb Schulungen besonders nachweispflichtig werden.

Schulungsintervalle und Nachweispflicht

Die meisten Unternehmen fragen zuerst nach dem Intervall. Die belastbare Antwort lautet: Ein einziges Jahreswebinar genügt regelmäßig nicht. Rechtlich wird zwar selten ein starres „alle zwölf Monate“ ausdrücklich vorgeschrieben, praktisch erwartet die Aufsicht aber einen fortlaufenden, risikoorientierten Schulungsansatz.

Ein sinnvolles Mindestmodell besteht aus vier Bausteinen:

  1. Onboarding-Schulung für neue Mitarbeitende und externe Personen mit relevantem Zugriff.
  2. Jährliche Basisschulung für alle betroffenen Beschäftigten.
  3. Zusätzliche Management- oder Spezialschulungen für Leitungsorgan, IT, HR, Einkauf, Datenschutz und Krisenrollen.
  4. Anlassbezogene Updates bei Vorfällen, neuen Bedrohungen, neuen KI-Tools, Systemwechseln oder regulatorischen Änderungen.

Für die Nachweispflicht gilt dieselbe Logik wie für die Schulung selbst: Nicht nur Teilnahme zählt, sondern Kontext. Ein belastbarer Nachweis sollte mindestens Zielgruppe, Datum, Dauer, Inhalte, Version, verantwortliche Stelle, Rollenbezug und Abschlussstatus enthalten. Besonders stark wird die Dokumentation, wenn zusätzlich Lernkontrollen, Phishing-Simulationen, Kurztests oder Management-Protokolle vorliegen.

Die folgende Minimalstruktur hat sich in Audits und internen Prüfungen bewährt:

NachweispunktWas dokumentiert werden sollteWarum das wichtig ist
TeilnehmerName, Rolle, Bereich, StatusBelegt die tatsächliche Reichweite
InhaltAgenda, Module, Version, LernzieleMacht den regulatorischen Bezug sichtbar
ZeitpunktDatum, Dauer, Intervall, AnlassZeigt Aktualität und Wiederholung
WirksamkeitTest, Quiz, Simulation, FeedbackBelegt mehr als bloße Teilnahme
GovernanceVerantwortliche Stelle, Freigabe, Follow-upVerbindet Schulung mit Organisation

Für die praktische Ausgestaltung hilft zusätzlich unser Glossarbegriff Schulungsnachweis.

Typische Fehler bei der Cybersecurity-Schulungspflicht

Der häufigste Fehler ist die Annahme, dass irgendeine Awareness-Maßnahme schon ausreiche. Das ist zu kurz. Rechtlich relevant ist nicht bloß, ob einmal Folien gezeigt wurden, sondern ob das Unternehmen Rollen, Inhalte, Wiederholung und Nachweis belastbar aufgebaut hat.

Der zweite Fehler ist die Ausklammerung der Geschäftsleitung. Gerade § 38 BSIG macht deutlich, dass die Leitungsebene nicht bloß Sponsor, sondern selbst Zielgruppe ist. Wer Management-Schulung weglässt, lässt die haftungssensibelste Gruppe ungeschützt.

Der dritte Fehler ist die Trennung von Cybersecurity, Datenschutz und KI-Kompetenz in drei isolierte Programme. Inhaltlich überschneiden sich diese Felder in der Praxis stark. Besser ist eine gemeinsame Grundlinie mit rollenspezifischen Vertiefungen.

Der vierte Fehler ist schwache Dokumentation. Eine lose Teilnehmerliste oder ein unversioniertes PDF ist für Audits, Versicherer oder Regressfragen oft zu wenig. Entscheidend ist, ob Sie im Ernstfall sofort zeigen können, wen Sie wann mit welchen Inhalten geschult haben.

Fazit: Wer jetzt schulen muss und was der nächste sinnvolle Schritt ist

Cybersecurity-Schulungen sind 2026 für viele Unternehmen verpflichtend, weil § 38 BSIG, Art. 4 der EU-VO 2024/1689, Art. 32 und Art. 39 DSGVO sowie sektorspezifische Standards wie DORA und BSI IT-Grundschutz dieselbe Grundlogik verlangen: Risiken müssen nicht nur technisch kontrolliert, sondern personell verstanden, gesteuert und dokumentiert werden. Geschult werden müssen deshalb nicht nur Mitarbeitende, sondern je nach Rechtsrahmen ausdrücklich auch Geschäftsleitung, Schlüsselrollen und externe Mitwirkende.

Der pragmatische nächste Schritt ist keine weitere Grundsatzdiskussion, sondern eine Rollenmatrix mit Schulungsplan, jährlicher Basisschulung, Management-Modul und zentralem Nachweisregister. Wenn Sie Cybersecurity, KI-Kompetenz und Dokumentation in einem auditierbaren Format aufbauen möchten, ist unsere EU-AI-Act-Schulung der passende Einstieg: 90 Minuten, Abschlusstest, Schulungszertifikat und eine Struktur, die sich in Ihr Compliance-Programm integrieren lässt.

Häufig gestellte Fragen zur Cybersecurity-Schulungspflicht

Ist Cybersecurity Schulung gesetzlich vorgeschrieben?

Ja. Für viele Unternehmen ergibt sich die Pflicht 2026 aus mehreren Regelwerken parallel. Besonders klar ist sie im NIS2-/BSIG-Rahmen, im AI Act für KI-Kompetenz und in der DSGVO über Sicherheits- und Sensibilisierungspflichten.

Welche Gesetze fordern IT-Sicherheitsschulungen?

Die wichtigsten Rechtsquellen sind § 38 BSIG und § 30 BSIG, Art. 4 der EU-VO 2024/1689, Art. 32 und Art. 39 DSGVO, der BSI-Baustein ORP.3 sowie sektorspezifisch DORA, MaRisk und Gesundheitsvorgaben.

Wie oft müssen Mitarbeiter geschult werden?

Mindestens eine jährliche Basisschulung ist für viele Unternehmen der praktikable Mindeststandard. Hinzu kommen Onboarding, anlassbezogene Updates und zusätzliche Vertiefungen für besonders sensible Rollen.

Wer haftet bei fehlender Cybersecurity-Schulung?

Primär trifft das Risiko das Unternehmen. Bei NIS2-betroffenen Einrichtungen verschärft § 38 BSIG aber ausdrücklich die Verantwortung der Geschäftsleitung, sodass fehlende Schulung auch ein Organhaftungs- und Regressproblem werden kann.

Was muss dokumentiert werden?

Dokumentiert werden sollten mindestens Zielgruppe, Datum, Inhalte, Rollenbezug, Version, Teilnahme, Abschlussstatus und idealerweise eine Lernkontrolle oder Simulation. Ohne diese Angaben ist die Nachweisqualität oft zu schwach.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →