Von allen NIS2-Pflichten ist eine besonders leicht zu übersehen — und besonders unangenehm, wenn sie im Ernstfall fehlt: die Schulungspflicht für die Leitungsorgane.
Sie steht in Artikel 20 der NIS2-Richtlinie und ist bemerkenswert direkt: Mitglieder der Leitungsorgane müssen Schulungen wahrnehmen, um ausreichende Kenntnisse und Fähigkeiten zu erlangen, mit denen sie Cyber-Risiken identifizieren und bewerten können. Kein „sollten", kein „können". Eine Pflicht.
Das ist mehr als eine Formalie. Es ist die logische Voraussetzung für alles andere: Wer Risikomaßnahmen billigen und überwachen soll, muss sie beurteilen können. Genau dafür ist die Schulung da.
Die Schulungspflicht ist kein Compliance-Häkchen. Sie ist der Hebel, der aus „Wir haben das an die IT gegeben" ein „Wir verstehen, was wir verantworten" macht.
Was Artikel 20 wirklich verlangt
Die Richtlinie schreibt kein bestimmtes Format, keine Stundenzahl und kein Zertifikat vor. Sie beschreibt ein Ergebnis: Die Leitungsorgane sollen Cyber-Risiken identifizieren und bewerten können — und die Maßnahmen beurteilen, die diesen Risiken begegnen. Das ist bewusst kompetenzorientiert formuliert.
Daraus folgt eine klare Abgrenzung: Es geht nicht darum, Geschäftsführer zu Sicherheitsadministratoren zu machen. Es geht darum, dass sie als Entscheider sprachfähig und urteilsfähig werden. Der Unterschied ist entscheidend:
Firewalls konfigurieren, Logs lesen, Forensik betreiben. Das bleibt Aufgabe der Fachleute.
Risiken einordnen, Maßnahmen beurteilen, im Vorfall entscheiden, Verantwortung dokumentieren.
Wer geschult werden muss
Die Pflicht richtet sich an die Mitglieder der Leitungsorgane — also Geschäftsführer und Vorstände. In der Praxis ist es sinnvoll, den Kreis bewusst etwas weiter zu ziehen, weil eine Cyberkrise sofort unternehmensweit wird:
Geschäftsführung und Vorstand — der Kern der gesetzlichen Pflicht.
Aufsichtsrat / Beirat — um die Überwachungsfunktion qualifiziert ausüben zu können.
Führungskräfte kritischer Funktionen — Kommunikation, Recht, HR, Betrieb, die im Krisenstab mitentscheiden.
Die NIS2-Schulung für die Geschäftsleitung ist deshalb am wirksamsten, wenn nicht eine Einzelperson, sondern das relevante Führungsteam gemeinsam geschult wird — weil die Entscheidungen im Ernstfall auch gemeinsam fallen.
Welche fünf Kompetenzen Leitungsorgane brauchen
Aus der Praxis lassen sich die Kompetenzen, die eine NIS2-Schulung für Entscheider vermitteln sollte, auf fünf Felder verdichten:
Haftung & Governance verstehen. Welche Pflichten aus Art. 20 und 21 folgen — und wie man eine belastbare Beschluss- und Nachweis-Spur erzeugt.
Risiken einordnen. Cyber-Risiken in Geschäftsauswirkungen übersetzen, statt sich von technischen Details lähmen zu lassen.
Meldepflichten kennen. Die gestuften NIS2-Meldefristen (24h / 72h / 1 Monat) und die Frage, wer wann entscheidet, ob gemeldet wird.
Im Vorfall entscheiden. Unter Zeitdruck und mit unvollständigem Lagebild priorisieren — die Kernkompetenz, die sich nur durch Üben entwickelt.
Berichten und steuern. Cyber-Risiken so an Vorstand und Aufsichtsrat berichten, dass Entscheidungen möglich werden.
Warum Üben schlägt Zuhören. Kompetenz 4 lässt sich nicht durch Folien vermitteln. Deshalb ist eine Schulung, die eine Live-Cyberkrise simulieren lässt, dem klassischen Compliance-Webinar deutlich überlegen — die Teilnehmer erleben, was die Pflichten in der Krise wirklich bedeuten. Mehr dazu: Was eine Cyberkrisensimulation mit einem Führungsteam macht.
Wie man die Schulungspflicht nachweist
Da die Richtlinie das Ergebnis, nicht das Format vorschreibt, kommt es auf die Nachweisbarkeit an. Im Zweifel muss die Geschäftsführung zeigen, dass sie ihrer Schulungs- und Sorgfaltspflicht nachgekommen ist. Drei Dinge gehören deshalb dokumentiert:
Teilnahme. Wer wurde wann geschult? Ein Zertifikat oder Teilnahmenachweis pro Mitglied der Leitungsorgane.
Inhalt. Welche Kompetenzen wurden vermittelt? Eine Agenda, die zeigt, dass Haftung, Meldepflichten und Krisenmanagement abgedeckt waren.
Wiederholung. Schulung ist kein Einmal-Ereignis. Ein Turnus (z. B. jährlich, plus anlassbezogen bei großen Veränderungen) zeigt fortlaufende Sorgfalt.
Das NIS-2-FAQ des BSI ist ein guter Ausgangspunkt, um den eigenen Reifegrad einzuordnen — ersetzt aber keine auf Entscheider zugeschnittene Schulung.
Warum das klassische Compliance-Webinar an der Realität vorbeigeht
Der naheliegende Reflex bei einer neuen Schulungspflicht ist, ein einstündiges Webinar zu buchen, die Teilnahme abzuhaken und das Thema als erledigt zu betrachten. Formal mag das einen Nachweis erzeugen. Wirksam ist es kaum — aus einem einfachen Grund: Eine Cyberkrise ist kein Wissensquiz.
In der realen Krise hilft es wenig, die Definition von „erheblicher Vorfall" auswendig zu können, wenn niemand entscheidet, ob jetzt gemeldet wird. Es hilft wenig, die Meldefristen zu kennen, wenn die Anrufkette am Sonntagabend nicht funktioniert. Und es hilft wenig, Governance-Pflichten zu zitieren, wenn unter Druck unklar ist, wer die externe Kommunikation freigibt.
Wissen ohne Anwendung. Ein Webinar vermittelt Begriffe. Eine Krise verlangt Entscheidungen. Zwischen beidem liegt eine Lücke, die nur Übung schließt.
Kein Erleben von Zeitdruck. Die eigentliche Schwierigkeit einer Cyberkrise ist nicht das Faktenwissen, sondern das Entscheiden unter Unsicherheit und Zeitdruck. Das lässt sich nicht erklären, nur erfahren.
Keine Sichtbarkeit der Schnittstellen. Erst wenn ein Führungsteam gemeinsam eine Krise durchspielt, wird sichtbar, wo Rollen kollidieren, wo Eskalationswege haken und wo Entscheidungsrechte unklar sind.
Deshalb ist eine Schulung, die eine Live-Cyberkrise simulieren lässt, einem reinen Vortrag deutlich überlegen. Die Teilnehmer lernen NIS2 nicht auswendig — sie erleben, was die Pflichten in einer echten Krise bedeuten. Genau diesen Effekt beschreibt der Beitrag Was eine Cyberkrisensimulation mit einem Führungsteam macht.
Die unterschätzte Rolle des Aufsichtsrats
Ein blinder Fleck vieler NIS2-Umsetzungen ist der Aufsichtsrat. Seine Funktion ist die Überwachung der Geschäftsführung — auch in Cyber-Fragen. Diese Überwachung lässt sich aber nur qualifiziert ausüben, wenn die Aufsichtsmitglieder selbst genug verstehen, um die richtigen Fragen zu stellen.
Ein Aufsichtsrat, der ein Cyber-Risiko-Reporting nur entgegennimmt, ohne es einordnen zu können, erfüllt seine Kontrollfunktion nur auf dem Papier. Deshalb gehört auch die Aufsichtsebene in den Kreis derer, die von einer NIS2-Schulung profitieren — nicht in der gleichen Tiefe wie die operativ Verantwortlichen, aber genug, um Reifegrad, Restrisiko und Wirksamkeit beurteilen zu können. Wer Cyber-Risiken sauber an dieses Gremium berichten will, braucht ohnehin eine gemeinsame Sprache — und die entsteht am schnellsten, wenn Vorstand und Aufsichtsrat dieselbe Krise einmal gemeinsam durchgespielt haben.
Welches Format passt?
Je nach Ausgangslage führen unterschiedliche Wege zur erfüllten Schulungspflicht. Eine kurze Orientierung:
Woran Sie eine gute NIS2-Schulung erkennen
Weil die Richtlinie das Format offenlässt, ist der Markt unübersichtlich — vom 60-Minuten-Pflicht-Webinar bis zum mehrtägigen Programm. Fünf Merkmale trennen eine wirksame Schulung für Leitungsorgane von einer reinen Abhak-Übung:
Auf Entscheider zugeschnitten. Sie behandelt Haftung, Meldepflichten und Krisenführung — nicht Firewall-Konfiguration. Die Sprache ist die des Boardrooms, nicht die des SOC.
Übung statt Vortrag. Im Zentrum steht eine Simulation oder ein durchgespieltes Szenario, in dem die Teilnehmer selbst entscheiden — nicht zuhören.
Nachweisbar. Sie liefert ein Zertifikat oder einen Teilnahmenachweis und eine Agenda, die zeigt, welche Kompetenzen vermittelt wurden.
Anschlussfähig. Sie endet nicht mit einem guten Gefühl, sondern mit konkreten nächsten Schritten — etwa einer 90-Tage-Agenda für das eigene Unternehmen.
Wiederholbar. Sie ist Teil eines Turnus, nicht ein Einmal-Ereignis — damit die Sorgfaltspflicht fortlaufend dokumentiert ist.
Wer diese fünf Merkmale als Auswahlkriterien nutzt, vermeidet die häufigste Enttäuschung: eine formal erfüllte Pflicht, die im Ernstfall trotzdem nichts trägt. Die Schulung soll nicht nur den Prüfer zufriedenstellen, sondern das Führungsteam handlungsfähig machen.
Häufige Fragen
Ist die NIS2-Schulungspflicht für die Geschäftsführung wirklich verpflichtend?
Ja. Artikel 20 der NIS2-Richtlinie verpflichtet die Mitglieder der Leitungsorgane ausdrücklich, Schulungen wahrzunehmen, um Cyber-Risiken identifizieren und bewerten zu können. Die Richtlinie schreibt das Ergebnis vor, nicht das konkrete Format.
Wie oft muss geschult werden?
Die Richtlinie nennt keinen festen Turnus. In der Praxis bewährt sich eine regelmäßige Wiederholung — etwa jährlich — ergänzt um anlassbezogene Schulungen bei größeren Veränderungen wie neuen Geschäftsmodellen, M&A oder nach einem Vorfall.
Genügt ein Online-Webinar?
Formal kann ein Webinar einen Nachweis erzeugen. Wirksam ist es jedoch nur begrenzt: Die wichtigste Kompetenz — unter Druck und mit unvollständigem Lagebild zu entscheiden — lässt sich nur in einer Übung oder Simulation entwickeln, nicht durch Zuhören.
Fazit: Schulung ist die Voraussetzung, nicht die Kür
Die Schulungspflicht nach Artikel 20 ist kein Nebenschauplatz. Sie ist die Bedingung dafür, dass die Leitungsorgane ihre übrigen Pflichten — billigen, überwachen, haften — überhaupt qualifiziert erfüllen können.
Wer die Schulung als praxisnahes Üben begreift statt als Pflichtprogramm, gewinnt doppelt: erfüllte Pflicht und ein Führungsteam, das im Ernstfall wirklich handlungsfähig ist. Diese Doppelwirkung ist der eigentliche Grund, die Schulungspflicht nicht als Last, sondern als Gelegenheit zu behandeln: Sie zwingt ohnehin dazu, die eigene Cyber-Führung einmal ernsthaft zu durchdenken — ein Schritt, den viele Leitungsteams sonst Quartal für Quartal verschieben.
Man kann nicht verantworten, was man nicht beurteilen kann.