In Kraft seit 17. Okt. 2024·Tag 601·

Governance22. März 20255 Min.

Die Cybersecurity-Schulung, die jedes NIS2-Aufsichtsorgan seinen Aktionären schuldet

Artikel 20 Absatz 2 verpflichtet Leitungsorgane zur Schulung. Wie eine gute Schulung aussieht — und was Aufsichtsbehörden als Nachweis akzeptieren.

Die Cybersecurity-Schulung, die jedes NIS2-Aufsichtsorgan seinen Aktionären schuldetGovernance

Artikel 20 Absatz 2 der Richtlinie (EU) 2022/2555 ist für eine europäische Richtlinie ungewöhnlich klar. Er sagt nicht sollen, erwägen oder berücksichtigen. Er sagt, in operativer Form: Die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen werden verpflichtet, an Schulungen teilzunehmen.

Derselbe Absatz zieht die Pflicht einen halben Schritt weiter. Die Mitgliedstaaten fordern wesentliche und wichtige Einrichtungen auf, ihren Beschäftigten regelmäßig vergleichbare Schulungen anzubieten. Das Verb wird weicher — auffordern statt verpflichten — doch der Verweis auf Artikel 21 Absatz 2 Buchstabe g, der „grundlegende Verfahren der Cyberhygiene und Schulungen im Bereich der Cybersicherheit" zu den Kategorien zählt, die Einrichtungen ergreifen müssen, härtet sie wieder aus. Im Saldo macht die NIS2 die Schulung des Leitungsorgans verpflichtend und die Mitarbeiterschulung erwartet.

Das ist der Artikel, den Leitungsorgane konsequent unterschätzen. Nicht weil sie sich weigern zu schulen — sondern weil sie nicht wissen, was die Aufsicht als Nachweis dafür akzeptieren wird, dass sie es getan haben.

Was die Richtlinie tatsächlich verlangt

Liest man Artikel 20 Absatz 2 und Erwägungsgrund 81 zusammen, sind die rechtlichen Pflichtelemente vier:

  1. Die Schulung wird von den Mitgliedern des Leitungsorgans selbst absolviert. Nicht der CISO. Nicht das Rechtsteam. Die Mitglieder.
  2. Die Schulung versetzt sie in die Lage, Risiken zu erkennen. Allgemeines Awareness-Training reicht nicht — der Inhalt muss an die Bedrohungslage der Einrichtung anschließen.
  3. Die Schulung versetzt sie in die Lage, Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die erbrachten Dienste zu beurteilen. Die Mitglieder müssen das Risikoregister lesen, herausfordernde Fragen stellen und beurteilen können, ob die vorgeschlagenen Maßnahmen verhältnismäßig sind.
  4. Vergleichbare Schulungen werden den Beschäftigten regelmäßig angeboten. Wiederkehrend, mit messbarer Kadenz, an einen Nachweis rückführbar.

Das ist die Untergrenze. Alles darunter ist ein Befund. Alles darüber ist die Wahl der Einrichtung, wie weit über das gesetzliche Ziel hinaus zu engineeren.

Die Stundenzahl: was Aufsichten akzeptieren

Die Richtlinie schreibt keine Stunden vor. Die zuständigen nationalen Behörden widersprechen sich bei der vertretbaren Schwelle nicht. Aus ihren veröffentlichten Leitlinien wiederholen sich drei Zahlen:

  • Onboarding für neue Mitglieder: 6 bis 12 Stunden. Abdeckung der Richtlinie selbst, der Bedrohungslage der Einrichtung, des Risikoregisters und des Vorfallreaktionsverfahrens.
  • Jährliche Auffrischung amtierender Mitglieder: 2 bis 4 Stunden. Wesentliche Veränderungen seit der letzten Sitzung — neue Bedrohungen, neue Maßnahmen, neue aufsichtsrechtliche Leitlinien, im Berichtsjahr eingetretene Vorfälle.
  • Mitarbeiterprogramm: 30 bis 60 Minuten je Beschäftigtem und Jahr, mit rollenspezifischen Modulen für hochriskante Rollen (Finance, IT-Betrieb, Vorstandsassistenz).

Deutlich unter diesen Zahlen lässt sich die Ausgestaltung gegenüber einer Inspektion schwer verteidigen. Deutlich darüber ist in regulierten Sektoren mit ohnehin höheren aufsichtsrechtlichen Erwartungen üblich (Finanzdienstleistungen, Energie).

Welche Inhalte abgedeckt sein müssen

Drei Blöcke sind unverhandelbar, sektorunabhängig:

Block 1 — Die Richtlinie selbst und die Einstufung der Einrichtung. Fünf bis fünfzehn Minuten Inhalt. Was ist NIS2, für wen gilt sie, warum fällt diese Einrichtung in den Geltungsbereich, welche Folgen hat eine Nichtumsetzung. Erwägungsgrund 81 rahmt das als Untergrenze des Wissens des Leitungsorgans.

Block 2 — Das Bedrohungsmodell der Einrichtung in Klartext. Welche Angriffe haben vergleichbare Einrichtungen in den letzten zwei Jahren getroffen. Was ist das hochwertige Ziel der Einrichtung. Was ist das realistische Worst-Case-Szenario. Dieser Block trennt Schulung von Awareness — die Mitglieder gehen in der Lage hinaus, ihren CISO mit den richtigen Fragen herauszufordern, nicht nur zu nicken.

Block 3 — Die spezifischen Verantwortlichkeiten des Leitungsorgans. Die fünf Pflichten aus Artikel 20 (genehmigen, überwachen, persönliche Haftung anerkennen, Schulung absolvieren, einrichtungsweite Schulung sicherstellen), die 72-Stunden-Uhr, die das Leitungsorgan ggf. bedienen muss, der Dokumentenpfad, den die Aufsicht sucht. Der operative Block — was das Leitungsorgan tut, in welcher Kadenz.

Was als Nachweis gilt

In den veröffentlichten Inspektionsnotizen der zuständigen nationalen Behörden in Europa erfüllen drei Artefakte konsistent:

  • Ein datiertes Schulungslogbuch, das den Namen jedes Mitglieds, die besuchten Einheiten, das Datum und die Dauer aufführt. Vom Generalsekretariat oder einer entsprechenden Funktion abgezeichnet, ist dieses Dokument der wichtigste Nachweis.
  • Die Schulungsmaterialien aufbewahrt — Foliensatz, Fallstudien, Test, falls vorhanden. Aufseher verlangen keine Vollständigkeit; sie verlangen Auffindbarkeit und den Nachweis der drei obigen Blöcke.
  • Eine kurze Niederschrift des Leitungsorgans über den Abschluss des Zyklus, idealerweise mit ein bis zwei Maßnahmenpunkten, die die Mitglieder mitnehmen. Maßnahmenpunkte sind das stärkste Signal dafür, dass die Schulung substanziell war und nicht nur Häkchen.

Was nicht erfüllt:

  • Ein allgemeines Sicherheitsbewusstseinsvideo, per E-Mail verschickt, ohne Anwesenheitsliste.
  • Eine CISO-Präsentation in einer Sitzung, behandelt als Schulung. (Sie kann eine Schulung ergänzen, sie aber nicht ersetzen. Erwägungsgrund 81 ist explizit zur dedizierten Schulung des Leitungsorgans.)
  • Eine delegierte Zertifizierung — etwa, das Mitglied, das 2023 einen externen Governance-Kurs besucht hat und die Pflicht damit als erfüllt betrachtet.

Kadenz und Verantwortung

Das Schulungsprogramm braucht eine benannte Verantwortung. Das vertretbare Muster: Generalsekretariat oder entsprechende Funktion (Leitung Governance, Leitung Recht in kleineren Einrichtungen) führt das Schulungsregister, plant die Zyklen und meldet die Abschlussquoten an Audit- oder Risikoausschuss. Der CISO liefert den Inhalt; das Generalsekretariat verantwortet das Artefakt.

Diese Trennung zählt. Ein CISO, der die Schulung des Leitungsorgans gleichzeitig durchführt und zertifiziert, betreibt eine Selbstbewertung — ein Signal, das Aufsichten in ihren veröffentlichten Methodiken zunehmend vermerken.

Was „gut umgesetzt" aussieht

In den veröffentlichten Inspektionsnotizen der zuständigen nationalen Behörden in Europa kommen vier Signale vor:

  1. Das Schulungslogbuch zeigt 100 % Abschluss durch jedes Mitglied des Leitungsorgans, mit dem vorigen Zyklus datiert in den letzten zwölf Monaten.
  2. Der Inhalt war auf die Einrichtung zugeschnitten — kein generisches Video — und eine Stichprobe der Materialien ist auf Anfrage abrufbar.
  3. Das Onboarding findet vor der ersten Risiko- und Cyber-Sitzung des neuen Mitglieds statt, nicht danach.
  4. Die Mitarbeiterschulung hat eine messbare Abschlussquote, die das Leitungsorgan überprüft, mit rollenspezifischen Modulen für hochriskante Funktionen.

Das ist kein hoher Aufwand. Die Hürde ist nicht das Budget — eine 6- bis 12-stündige Vorstandsschulung kostet 5 000 bis 15 000 € pro Kohorte, sauber durchgeführt. Die Hürde ist, die Kadenz zu verantworten und die Dokumente zu produzieren. Beides ist Verwaltungsarbeit — und genau das misst die Aufsicht.

Quellen

  1. Richtlinie (EU) 2022/2555, Artikel 20 Absatz 2 (Schulung der Leitungsorgane und Aufforderung zur Mitarbeiterschulung).
  2. Richtlinie (EU) 2022/2555, Artikel 21 Absatz 2 Buchstabe g (grundlegende Verfahren der Cyberhygiene und Schulungen im Bereich der Cybersicherheit).
  3. Richtlinie (EU) 2022/2555, Erwägungsgrund 81 (Begründung der Pflichtschulung des Leitungsorgans).
  4. Richtlinie (EU) 2022/2555, Erwägungsgrund 89 (Förderung einer Cybersicherheitskultur und einer entsprechenden Schulung in den Einrichtungen).
  5. Veröffentlichte Leitlinien der zuständigen nationalen Behörden zu Schulungserwartungen: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE) sowie der ENISA.

Weitere Beiträge

NIS2: wesentliche und wichtige Einrichtungen — die 4 TestsAnwendungsbereich

NIS2: wesentliche und wichtige Einrichtungen — die 4 Tests

10. Juni 2026·Lesen · 7 Min.
NIS2-Mehrfaktor-Authentifizierung: 5 kritische ZugriffsklassenTechnische Maßnahmen

NIS2-Mehrfaktor-Authentifizierung: 5 kritische Zugriffsklassen

11. Mai 2026·Lesen · 7 Min.
NIS2-Umsetzungsgesetz: Wo die vier Märkte im Mai 2026 stehenNationale Umsetzung

NIS2-Umsetzungsgesetz: Wo die vier Märkte im Mai 2026 stehen

6. Mai 2026·Lesen · 7 Min.