NIS2 Geschäftsleitungsschulung — Pflicht alle 3 Jahre (§38 BSIG)
Letzte Aktualisierung: 23. März 2026
Die NIS2 Geschäftsleitungsschulung ist eine gesetzliche Pflicht nach Art. 20 Abs. 2 der Richtlinie (EU) 2022/2555 und der deutschen Umsetzung in § 38 BSIG. Für Geschäftsführer, Vorstände und andere Leitungsorgane bedeutet das seit dem 6. Dezember 2025: persönliche Teilnahme, ausreichende Kenntnisse, dokumentierter Nachweis und Wiederholung mindestens alle 3 Jahre. Bei Verstößen drohen dem Unternehmen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, zusätzlich verschärft sich das persönliche Haftungsrisiko der Leitungsebene.
Die kurze Antwort lautet daher: Ja, die NIS2 Geschäftsleitungsschulung ist Pflicht und nicht an IT, Compliance oder externe Berater delegierbar. Wer zuerst die Rollenverteilung verstehen möchte, findet ergänzende Einordnungen in unserem Beitrag zu NIS2 für Geschäftsführer, zur NIS2-Haftung von Geschäftsführern und zu den NIS2-Anforderungen nach Artikel 21. Für den Gesamtüberblick über das Regime eignet sich außerdem die Einführung Was ist die NIS2-Richtlinie? sowie die operative NIS2-Checkliste.
NIS2 Geschäftsleitungsschulung — Pflicht alle 3 Jahre
Die NIS2 Geschäftsleitungsschulung ist keine freiwillige Awareness-Maßnahme, sondern eine konkrete Governance-Pflicht für das Leitungsorgan. Art. 20 Abs. 2 NIS2 verlangt, dass Mitglieder der Geschäftsleitung ausreichende Kenntnisse und Fähigkeiten besitzen, um Cybersicherheitsrisiken zu erkennen, zu bewerten und die Umsetzung von Risikomanagementmaßnahmen zu überwachen. Deutschland hat diese Anforderung im nationalen Recht in § 38 BSIG konkretisiert; in früheren Entwürfen wurde die Norm als § 38 BSIG-E bezeichnet. Seit dem 6. Dezember 2025 ist die Pflicht ohne Übergangsfrist Teil der geltenden Aufsichtsarchitektur.
Für die Praxis ist vor allem eines entscheidend: Die Pflicht betrifft nicht nur abstrakte Verantwortung, sondern echte Teilnahme an Schulungen. Die Geschäftsleitung darf sich nicht darauf beschränken, ein Reporting aus der IT entgegenzunehmen. Sie muss selbst verstehen, welche Risiken für Verfügbarkeit, Integrität und Vertraulichkeit der Systeme bestehen, welche Meldepflichten laufen und welche Entscheidungen auf Leitungsebene zwingend sind. Genau deshalb spricht die Vorschrift von „ausreichenden Kenntnissen und Fähigkeiten“ und nicht nur von allgemeinem Interesse an IT-Sicherheit.
Ebenso wichtig ist der Turnus. Nach der deutschen Konkretisierung ist die Schulung mindestens alle drei Jahre zu wiederholen. Das ist das gesetzliche Minimum, kein Best-Practice-Maximum. Bei gravierenden Vorfällen, veränderten Bedrohungslagen, neuen Lieferkettenrisiken oder wesentlichen Änderungen der Regulierung sind zusätzliche Auffrischungen sachgerecht. Die Leitungsorgane sollen nicht nur irgendwann geschult worden sein, sondern auf dem Stand bleiben, der für ihre Organpflichten erforderlich ist.
Was Art. 20 Abs. 2 und §38 BSIG-E konkret fordern
Art. 20 Abs. 2 der Richtlinie (EU) 2022/2555 verlangt, dass Leitungsorgane ausreichende Kenntnisse und Fähigkeiten erwerben, um Cybersicherheitsrisiken und deren Auswirkungen auf die Dienste der Einrichtung beurteilen zu können. Der Kern der Norm ist daher Kompetenz auf Entscheiderebene. Die Geschäftsleitung soll nicht selbst technische Forensik betreiben, aber sie muss Managemententscheidungen zu Risikoakzeptanz, Budget, Priorisierung, Vorfallreaktion und Wiederanlauf verantwortlich treffen können. Der deutsche Gesetzgeber hat diese Pflicht im BSIG konkretisiert; die in Entwurfsfassungen verwendete Bezeichnung § 38 BSIG-E entspricht heute dem geltenden § 38 BSIG.
„Ausreichende Kenntnisse und Fähigkeiten“ bedeutet in diesem Kontext keine beliebige Teilnahme an einem allgemeinen IT-Seminar. Ausreichend ist nur, was das Leitungsorgan in die Lage versetzt, seine gesetzlichen Überwachungs- und Billigungspflichten zu erfüllen. Dazu gehört insbesondere, Risiken in den eigenen Geschäftsprozessen zu verstehen, die Angemessenheit von Schutzmaßnahmen einzuschätzen und die Auswirkungen eines Sicherheitsvorfalls auf den Betrieb, die Kunden und die Lieferkette zu bewerten. Ohne diesen Wissensstand kann die Geschäftsleitung ihre Pflicht aus Art. 20 Abs. 1 und Art. 21 NIS2 nicht sachgerecht erfüllen.
Ein zweiter wichtiger Punkt ist der Nachweis gegenüber dem BSI. Die Aufsicht interessiert nicht nur, ob eine Schulung formal stattgefunden hat, sondern ob die Leitungsebene ihre Kompetenzpflicht belastbar erfüllt. Unternehmen sollten deshalb nicht allein mit einer knappen Teilnehmerliste arbeiten. Besser sind Unterlagen, die Thema, Agenda, Dauer, Referent, Datum, Teilnehmerkreis und gegebenenfalls Lernkontrolle dokumentieren. Gerade bei Prüfungen oder Vorfällen wird relevant, ob die Schulung inhaltlich zu den gesetzlichen Pflichten passte und rechtzeitig wiederholt wurde.
Die Geschäftsleitungsschulung unterscheidet sich außerdem deutlich von der allgemeinen Mitarbeiterschulung. Mitarbeitende benötigen vor allem Cyberhygiene, Phishing-Erkennung, sichere Passworthygiene, Meldewege und rollenspezifische Arbeitsanweisungen. Die Geschäftsleitung braucht dagegen Governance-Wissen: Welche Risiken sind geschäftskritisch? Wann ist ein Vorfall meldepflichtig? Welche Beschlüsse müssen dokumentiert werden? Wann entstehen persönliche Haftungsrisiken? Diese Differenz ist zentral, weil die Norm eine Schulung für Entscheider fordert und kein reines Awareness-Training für die Gesamtbelegschaft.
Die gesetzlichen Anforderungen lassen sich in einer kompakten Matrix darstellen:
| Anforderung | Rechtsgrundlage | Details |
|---|---|---|
| Eigene Kenntnisse der Leitungsebene | Art. 20 Abs. 2 NIS2 | Leitungsorgane müssen Risiken erkennen und bewerten können |
| Billigung und Überwachung von Maßnahmen | Art. 20 Abs. 1 NIS2 | Verantwortung bleibt beim Management, auch wenn operativ delegiert wird |
| Regelmäßige Schulung | § 38 BSIG | Mindestintervall: alle 3 Jahre |
| Dokumentierbarer Nachweis | § 38 BSIG i. V. m. Aufsichtspraxis | Teilnahme, Inhalte, Datum, Dauer und Nachweisunterlagen geordnet ablegen |
| Abgrenzung zur Mitarbeiterschulung | Art. 21 Abs. 2 Buchst. g NIS2 | Mitarbeiterschulung ersetzt keine Management-Schulung |
Mindestinhalte einer NIS2-Geschäftsleitungsschulung
Eine NIS2-Geschäftsleitungsschulung muss vor allem entscheidungsrelevante Inhalte abdecken. Leitungsorgane brauchen keinen technischen Tiefenkurs, sondern ein strukturiertes Verständnis der Pflichten, Risiken und Handlungsoptionen. In der Praxis haben sich sechs Pflichtblöcke etabliert, die direkt aus Art. 20 und Art. 21 NIS2 sowie aus § 38 BSIG ableitbar sind.
| Pflichtinhalt | Warum er für die Geschäftsleitung zwingend ist |
|---|---|
| Risikoanalyse | Die Geschäftsleitung muss verstehen, welche Cyberrisiken geschäftskritische Dienste, Standorte und Systeme bedrohen |
| Rechtliche Pflichten | Ohne Kenntnis von Art. 20, Art. 21, Meldepflichten und nationaler BSIG-Umsetzung ist keine rechtssichere Steuerung möglich |
| Vorfallmanagement | Leitungsorgane müssen Eskalationswege, 24h/72h-Meldezeiten und Entscheidungsrollen kennen |
| Business Continuity | Geschäftsleitung trägt Verantwortung für Wiederanlauf, Krisenstab, Notbetrieb und Resilienzentscheidungen |
| Lieferkette | NIS2 verlangt ein Management von Drittparteien, Dienstleistern und sicherheitskritischen Abhängigkeiten |
| Haftungsrisiken | Organpflichten, Bußgeldrisiken und persönlicher Regress müssen der Leitungsebene klar sein |
Erstens gehört die Risikoanalyse zwingend in jede Schulung. Die Geschäftsleitung muss nachvollziehen können, wie Bedrohungen identifiziert, bewertet und priorisiert werden. Dazu zählen klassische Angriffsszenarien wie Ransomware, aber auch Lieferkettenvorfälle, Ausfälle kritischer Dienstleister und Schwächen in der Segmentierung, im Backup oder in der Zugriffskontrolle. Ohne Verständnis für die Risikolage fehlt die Grundlage für jede Budget- und Prioritätsentscheidung.
Zweitens müssen die rechtlichen Pflichten sauber erklärt werden. Dazu gehören die Grundpflichten aus Art. 20 NIS2, der Maßnahmenkatalog aus Art. 21 NIS2, die nationale Umsetzung im BSIG sowie die Schnittstellen zu DSGVO, DORA oder sektorspezifischer Aufsicht. Entscheidend ist nicht die reine Normkenntnis, sondern die Übersetzung in Managementhandlungen: billigen, überwachen, dokumentieren, melden und bei Mängeln nachsteuern.
Drittens ist Vorfallmanagement ein Pflichtinhalt. Die Geschäftsleitung muss wissen, wann ein Sicherheitsvorfall erheblich ist, welche Informationen in der Erstbewertung entscheidend sind und wie die interne Eskalation zum Krisenstab oder zum BSI funktioniert. Das ist besonders wichtig, weil Zeitverluste in den ersten Stunden regelmäßig nicht an der Technik, sondern an unklaren Zuständigkeiten auf Leitungsebene entstehen.
Viertens gehört Business Continuity in die Schulung. NIS2 zielt nicht nur auf Prävention, sondern auf die Fähigkeit, kritische Dienste trotz Vorfällen aufrechtzuerhalten oder rasch wiederherzustellen. Leitungsorgane müssen daher verstehen, wie Notfallkonzepte, Wiederanlaufpläne, Kommunikationswege und Krisenentscheidungen zusammenhängen. Wer hier nur auf die IT verweist, unterschätzt die eigene Verantwortung für den Fortbestand des Betriebs.
Fünftens ist Lieferkettensicherheit unverzichtbar. Viele erhebliche Vorfälle entstehen über externe IT-Dienstleister, Cloud-Anbieter, Softwarelieferanten oder Wartungspartner. Die Geschäftsleitung muss wissen, welche Drittparteien kritisch sind, wie Verträge und Sicherheitsanforderungen ausgestaltet sein sollten und welche Abhängigkeiten im Ernstfall den eigenen Dienst gefährden.
Sechstens gehören Haftungsrisiken in jede belastbare Geschäftsleitungsschulung. Gerade weil die Organverantwortung unter NIS2 ausdrücklich verschärft wird, muss die Leitungsebene die Konsequenzen eines Organisationsversagens kennen. Das betrifft nicht nur Unternehmensbußgelder, sondern auch Fragen des internen Regresses, der D&O-Deckung und der dokumentierten Sorgfalt.
Persönliche Teilnahme — Warum Delegation nicht reicht
Die persönliche Teilnahme ist Pflicht, weil die gesetzliche Verantwortung selbst auf der Ebene des Leitungsorgans angesiedelt ist. Art. 20 NIS2 verpflichtet gerade nicht „das Unternehmen irgendwie“, sondern die Mitglieder des Leitungsorgans zur Billigung, Überwachung und Wissensaneignung. Daraus folgt zwangsläufig: Ein IT-Leiter, CISO, externer Berater oder Compliance Officer kann die Schulung organisatorisch vorbereiten oder fachlich begleiten, aber die Teilnahme der Geschäftsführung nicht ersetzen.
Diese Nicht-Delegierbarkeit ist mehr als eine Formalie. Das NIS2-Regime will vermeiden, dass Cybersecurity zwar operativ bearbeitet, auf Leitungsebene aber nicht verstanden wird. Genau diese Lücke hat in vielen Unternehmen dazu geführt, dass Budgetentscheidungen, Risikofreigaben oder Meldeentscheidungen zu spät oder auf unzureichender Informationsbasis getroffen wurden. Eine Schulung nur für die zweite Managementebene würde diesen Zweck verfehlen.
Für Geschäftsführer und Vorstände hat die Nicht-Teilnahme deshalb eine unmittelbare haftungsrechtliche Wirkung. Wenn ein schwerer Vorfall eintritt und sich später zeigt, dass das Leitungsorgan weder geschult war noch seine Überwachungspflichten verstanden hat, verschlechtert das die Verteidigungsposition erheblich. Die Aufsicht sieht dann nicht nur einen isolierten technischen Mangel, sondern ein Governance-Defizit auf Leitungsebene. Genau das erhöht das Risiko von Bußgeldern gegen das Unternehmen und von internem Regress gegen Organmitglieder.
Die praktische Leitlinie ist klar: Aufgaben dürfen delegiert werden, Verantwortung nicht. Die IT darf Maßnahmen umsetzen, externe Experten dürfen schulen und Berichte aufbereiten, aber die Geschäftsleitung muss selbst teilnehmen, Fragen stellen, die wesentlichen Risiken verstehen und dokumentierbar nachweisen können, dass sie ihre Kenntnisse aktuell hält.
Der 3-Jahres-Zyklus — Nachweispflicht und Dokumentation
Der 3-Jahres-Zyklus ist das gesetzliche Mindestintervall für die Wiederholung der Geschäftsleitungsschulung. Unternehmen sollten daher zunächst die Erstschulung aller betroffenen Organmitglieder dokumentieren und unmittelbar danach ein Wiedervorlagesystem für die nächste Fälligkeit aufsetzen. Ein rein informeller Kalendereintrag genügt dafür nicht. Prüffest ist eine zentrale Dokumentation, aus der hervorgeht, wann welche Person welche Schulung mit welchem Inhalt absolviert hat.
Für den Nachweis gegenüber Aufsicht, Revision oder Versicherern sollten mindestens drei Dokumenttypen vorliegen. Erstens eine Teilnahmebestätigung mit Name, Rolle, Datum und Dauer. Zweitens eine Inhaltsdokumentation mit Agenda, Lernzielen und Rechtsbezug, also insbesondere Art. 20 Abs. 2 NIS2, Art. 21 NIS2 und § 38 BSIG. Drittens ein Ergebnis- oder Abschlussnachweis, etwa ein Schulungszertifikat, eine Lernkontrolle oder ein protokollierter Abschlusstest. Damit lässt sich belegen, dass nicht nur Anwesenheit, sondern tatsächliche Auseinandersetzung mit den Pflichten stattgefunden hat.
Für die Dokumentation empfiehlt sich eine feste Checkliste:
| Nachweispunkt | Was dokumentiert werden sollte |
|---|---|
| Teilnehmer | Name, Organfunktion, Gesellschaft oder Bereich |
| Datum | Schulungstag und Datum der nächsten Fälligkeit |
| Inhalte | Agenda, Rechtsgrundlagen, Version der Unterlagen |
| Format | Online, Präsenz oder Blended; Dauer und Referent |
| Nachweis | Teilnahmebestätigung, Schulungszertifikat, Test oder Protokoll |
Neben dem Mindestzyklus sollten Unternehmen anlassbezogene Auffrischungen einplanen. Das gilt besonders nach größeren Vorfällen, nach wesentlichen Änderungen der Gesetzeslage, bei Akquisitionen, bei kritischen Lieferkettenänderungen oder wenn neue digitale Kernprozesse eingeführt werden. Die Drei-Jahres-Frist ist also der gesetzliche Boden, nicht die Grenze sinnvoller Governance. Wer die Dokumentation sauber führt, kann gegenüber dem BSI deutlich leichter nachweisen, dass die Leitungsebene ihre Pflichten ernst nimmt.
Unsere NIS2-Schulung für Geschäftsleitung
Unsere NIS2-Schulung für Geschäftsleitung ist auf genau diese Organpflichten ausgerichtet: online, kompakt und auf die Anforderungen aus Art. 20 Abs. 2 NIS2 sowie § 38 BSIG zugeschnitten. In 90 Minuten erhalten Geschäftsführer, Vorstände und andere Leitungsorgane einen strukturierten Überblick über Risikoanalyse, rechtliche Pflichten, Vorfallmanagement, Business Continuity, Lieferkette und Haftungsrisiken. Das Format eignet sich besonders für Unternehmen, die schnell einen belastbaren Einstieg suchen und die Schulungspflicht nachvollziehbar dokumentieren wollen.
Der Vorteil eines fokussierten Online-Formats liegt in der Umsetzbarkeit. Leitungsorgane müssen nicht erst einen halben Workshoptag im Kalender blockieren, sondern können die Pflicht zeitnah erfüllen und dennoch alle relevanten Entscheidungsfragen behandeln. Gleichzeitig lässt sich die Schulung gut in bestehende Governance- und Compliance-Prozesse integrieren, etwa in Jahresreviews, Management-Meetings oder NIS2-Projektpläne. Für viele Unternehmen ist das der schnellste Weg, um von einer abstrakten Gesetzespflicht zu einer dokumentierten Maßnahme zu kommen.
Die Formate lassen sich sinnvoll vergleichen:
| Schulungsformat | Vorteile | Grenzen |
|---|---|---|
| Präsenz | Direkter Austausch, gute Diskussion, hoher Verbindlichkeitsgrad | Termin- und Reiseaufwand |
| E-Learning live online | Schnell planbar, standortübergreifend, gut dokumentierbar | Erfordert disziplinierte Teilnahme |
| Blended | Flexibel und dennoch interaktiv | Höherer Organisationsaufwand |
Wichtig ist, dass das Format nicht nur bequem, sondern nachweisbar wirksam ist. Deshalb sollte jede Geschäftsleitungsschulung mit klarer Agenda, dokumentierter Teilnahme und einem belastbaren Abschlussnachweis verbunden sein. Genau dafür stellen wir ein Schulungszertifikat als Nachweis bereit, das sich in Ihre interne Dokumentation aufnehmen lässt.
Wenn Sie die Pflicht jetzt pragmatisch umsetzen möchten, ist der nächste Schritt klar: Jetzt NIS2-Schulung starten. Wer zunächst die rechtliche Einordnung vertiefen will, kann vorher auch noch die Beiträge zu NIS2 für Geschäftsführer, zur NIS2-Haftung von Geschäftsführern und zur NIS2-Checkliste lesen.
FAQ (Schema-relevant)
Wie oft müssen Geschäftsführer die NIS2-Schulung absolvieren?
Geschäftsführer und andere Leitungsorgane müssen die NIS2-Geschäftsleitungsschulung mindestens alle drei Jahre absolvieren. Dieses Intervall ist das gesetzliche Minimum. Bei größeren Sicherheitsvorfällen, veränderten Bedrohungslagen oder wesentlichen Gesetzesänderungen sind zusätzliche Auffrischungen sinnvoll und oft auch aus Haftungssicht geboten.
Welche Inhalte muss die NIS2-Geschäftsleitungsschulung abdecken?
Die Schulung muss mindestens Risikoanalyse, rechtliche Pflichten, Vorfallmanagement, Business Continuity, Lieferkettenrisiken und Haftungsrisiken abdecken. Entscheidend ist, dass die Geschäftsleitung anschließend Cyberrisiken nicht nur abstrakt kennt, sondern ihre eigenen Billigungs-, Überwachungs- und Eskalationspflichten praktisch einordnen kann.
Kann der IT-Leiter die NIS2-Schulung stellvertretend absolvieren?
Nein. Die Schulungspflicht ist an das Leitungsorgan selbst adressiert und daher nicht delegierbar. Ein IT-Leiter oder CISO kann beraten, Unterlagen vorbereiten und operative Maßnahmen steuern, aber er kann die persönliche Teilnahme von Geschäftsführer, Vorstand oder anderer Geschäftsleitung nicht ersetzen.
Wie weise ich die NIS2-Schulung gegenüber dem BSI nach?
Am besten mit einer Kombination aus Teilnahmebestätigung, Agenda oder Inhaltsübersicht, Datum, Dauer, Referent und einem Schulungszertifikat oder Lernnachweis. Wichtig ist, dass die Unterlagen zentral abgelegt, versioniert und einer konkreten Organfunktion zugeordnet sind. So lässt sich bei Prüfung oder Vorfall schnell zeigen, dass die Pflicht ordnungsgemäß erfüllt wurde.
Gilt die NIS2-Schulungspflicht auch für Vorstände einer AG?
Ja. Die Pflicht richtet sich nicht nur an Geschäftsführer einer GmbH, sondern an alle Leitungsorgane mit strategischer Entscheidungsverantwortung. Dazu gehören insbesondere Vorstände und weitere Personen, die auf Organebene über Cyberrisiken, Budgets, Maßnahmen und Überwachung entscheiden.
Kann ich die NIS2-Schulung online machen?
Ja. Ein Online-Format ist grundsätzlich ausreichend, wenn die Inhalte auf die Organpflichten zugeschnitten sind, die Teilnahme nachweisbar dokumentiert wird und ein belastbarer Abschlussnachweis vorliegt. Entscheidend ist nicht Präsenz um ihrer selbst willen, sondern Wirksamkeit und Dokumentation.