Und Sache aller anderen auch.
Das NIS2-Umsetzungsgesetz kennt zwei separate Schulungspflichten, die zusammengelesen erst ihr volles Gewicht entfalten:
Wichtige und besonders wichtige Einrichtungen sind verpflichtet, grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik durchzuführen. Adressat sind alle Mitarbeitenden — interne wie externe — die innerhalb der Einrichtung mit IT-Systemen und Anwendungen arbeiten. Ziel ist ein angemessenes Sicherheitsbewusstsein und die Einhaltung sicherheitsrelevanter Vorgaben.
Auch die Geschäftsleitungen der wichtigen und besonders wichtigen Einrichtungen sind zur regelmäßigen Teilnahme an Schulungen verpflichtet. Die Geschäftsleitung muss gewährleisten, dass Cybersicherheit integraler Bestandteil der Geschäfte des Unternehmens und des Risikomanagements ist. Informationssicherheit liegt in der Gesamtverantwortung der Unternehmensleitung.
Beide Pflichten sind getrennt zu betrachten — aber gemeinsam zu denken. Die Geschäftsführung trägt die Gesamtverantwortung. Aufgaben können delegiert werden, die Verantwortung für Governance und Aufsicht nicht.
Die BSI-Handreichung zur Geschäftsleitungsschulung (Version 1.0, April 2026) beantwortet konkret: wer geschult werden muss, wie oft, in welchen Formaten und durch wen. Die Handreichung ist nicht rechtsverbindlich — wird aber die Aufsichtspraxis des BSI prägen und gilt faktisch als Prüfungsmaßstab.
Die BSI-Handreichung empfiehlt einen Schulungsturnus von höchstens drei Jahren sowie einen zeitlichen Umfang von rund vier Stunden — beides sind Empfehlungen, keine starren gesetzlichen Vorgaben.
Die drei Kompetenzfelder (BSI-Handreichung, April 2026):
Welche Bedrohungen und Schwachstellen existieren — und wie bewerte ich ihre Relevanz für mein Unternehmen?
Welche der zehn Pflichtmaßnahmen nach § 30 BSIG sind in meinem Unternehmen umgesetzt und wirksam?
Was bedeutet ein Sicherheitsvorfall konkret für den Geschäftsbetrieb, die Haftung und die Meldepflicht?
BSI: Handreichung NIS-2-Geschäftsleitungsschulung, Version 1.0, April 2026 — bsi.bund.de/dok/nis-2-schulung-geschaeftsleitung
In einem Unternehmen sind neben technischen Maßnahmen auch die Mitarbeitenden ein entscheidender Faktor für Informationssicherheit. Eine Kombination aus Technik, gezielten Schulungen, Sensibilisierung und einer gelebten Sicherheitskultur ist der Schlüssel zu einer robusten Strategie — kein Element davon kann die anderen ersetzen.
Das BSI benennt typische Verhaltensweisen wie Phishing und Social Engineering, schwache Passwörter, das Ignorieren von Sicherheitsrichtlinien und fehlendes Gefahrenbewusstsein als zentrale Risikofaktoren.
Awareness-Schulungen regelmäßig durchführen — beginnend mit der Ersteinweisung, ergänzt durch jährliche Aktualisierungen. Awareness-Programm nach dem 8-stufigen ENISA-Rahmen entwickeln. Klare und verständliche Sicherheitsrichtlinien vermitteln. Sicherheitskultur im Unternehmen etablieren. Gezielte Schulungen im Umgang mit den eingesetzten Systemen durchführen.
Neben der Durchführung ist auch die Dokumentation eine notwendige Bedingung zur Erfüllung der Anforderungen des BSI-Gesetzes. Die Nachweise müssen nachvollziehbar dokumentiert und im Bedarfsfall gegenüber Aufsichtsbehörden vorlegbar sein. Die Geschäftsleitung ist verpflichtet, die Umsetzung und Wirksamkeit zu überwachen.
Eine Analyse von 142 relevanten Studien zu Cybersicherheitsschulungsmethoden kommt zu einem eindeutigen Ergebnis: Die große Mehrheit der Studien berichtet positive Effekte — unabhängig davon, welche Methode eingesetzt wurde.
Eine starke Sicherheitskultur sollte nicht als rein technisches Problem betrachtet werden, sondern als Managementaufgabe. Sie erfordert die Einbindung und Vorbildfunktion des Top-Managements — deckungsgleich mit der BSI-Anforderung aus § 38 BSIG.
Unternehmen, die maßgeschneiderte Schulungsprogramme einführten, verzeichneten eine Reduktion sicherheitsbezogener Vorfälle durch Mitarbeiterfehler um 45 bis 65 Prozent.
Cybersicherheit wurde traditionell als technische Herausforderung betrachtet — zunehmende Evidenz belegt jedoch die zentrale Rolle menschlicher Faktoren. Ein wirksamer Ansatz muss technische und menschenzentrierte Ansätze integrieren.
Plasch, Zeisler et al. (2026): CySeReS-KMU Best Practice Guide, Kap. 3.2.1, S. 52 — Führungskräfte haben großen Einfluss darauf, wie ernst Cybersicherheit im Unternehmen genommen wird.
| 🇩🇪 Deutschland | 🇦🇹 Österreich | |
|---|---|---|
| Gesetz | NIS2UmsuCG | NISG 2026 |
| In Kraft | 6. Dezember 2025 | 1. Oktober 2026 |
| GF-Schulungspflicht | § 38 BSIG — sofort gültig | Vergleichbare Regelung ab Okt. 2026 |
| Mitarbeiterschulung | § 30 BSIG — sofort Pflicht | Ab Oktober 2026 verpflichtend |
| Orientierungsrahmen | BSI-Handreichung April 2026 | Bundesamt für Cybersicherheit AT |
| Dokumentation | Sofort Pflicht | Ab Registrierung |
Die Zeit bis Oktober 2026 ist keine Schonfrist, sondern die letzte Gelegenheit zur Vorbereitung. Unternehmen, die Schulungs-, Nachweis- und Risikomanagementprozesse bereits jetzt etablieren, starten mit einem deutlichen Compliance-Vorsprung in das NISG-2026-Regime.
Welche Schulungen existieren bereits? Wer hat wann teilgenommen? Ist das nachvollziehbar dokumentiert und gegenüber Aufsichtsbehörden nachweisbar?
BSI empfiehlt höchstens alle drei Jahre, rund vier Stunden, alle drei Kompetenzfelder als integriertes Konzept. Teilnahme dokumentieren.
Nicht einmalig, nicht als Pflichtklick. Ersteinweisung plus jährliche Aktualisierung plus anlassbezogene Kampagnen. Rollenspezifisch, praxisnah, messbar.
8-stufiger ENISA-Rahmen: Ziele ermitteln, Mittel sichern, Zielgruppen identifizieren, Methoden wählen, Zeitplan erstellen, durchführen, evaluieren, überarbeiten.
Eine offene Fehlerkultur, in der Mitarbeitende Verdächtiges melden dürfen, ohne Konsequenzen zu fürchten, ist eine der wirksamsten organisatorischen Schutzmaßnahmen — weil sie das einzige Sicherheitsinstrument ist, das Angreifer nicht technisch umgehen können.
NIS2 hat eine Frage endgültig beantwortet: Wer ist für Cybersicherheit verantwortlich? Die Antwort lautet: alle — aber mit unterschiedlichen Pflichten.
Geschäftsführung: Trägt die strategische und haftungsrechtliche Gesamtverantwortung. Aufgaben können delegiert werden, die Verantwortung für Governance und Aufsicht nicht.
Mitarbeitende: Tragen im Arbeitsalltag Verantwortung für die Einhaltung von Sicherheitsvorgaben und bilden die erste Verteidigungslinie gegen Phishing, Social Engineering und Fehlverhalten.
IT-Abteilung: Ist Enabler und Umsetzungspartner — aber nicht mehr alleiniger Verantwortlicher.
Wer das versteht, hat nicht nur eine Compliance-Anforderung erfüllt. Er hat ein zentrales Unternehmensrisiko adressiert.
OMNI Inform Pro begleitet Unternehmen bei der Umsetzung der NIS2-Schulungspflichten — von der Geschäftsführungsschulung nach BSI-Handreichung bis zum strukturierten Awareness-Programm für alle Mitarbeitenden. In einem gemeinsamen Workshop analysieren wir den Status quo und entwickeln einen konkreten Umsetzungsplan.