Die meisten NIS2-Diskussionen im Mittelstand drehen sich um Firewalls, Backups und Meldepflichten. Eine Pflicht wird dabei regelmäßig übersehen — und sie trifft ausgerechnet die Geschäftsführung persönlich: die Schulungspflicht. Das deutsche NIS2-Umsetzungsgesetz verankert sie im BSIG gleich an zwei Stellen, mit unterschiedlichen Adressaten, Inhalten und Intervallen.
Dieser Artikel ordnet ein, was § 30 Abs. 2 Nr. 7 BSIG (Mitarbeiterschulung) und § 38 Abs. 3 BSIG (Schulung der Geschäftsleitung) konkret verlangen, was eine konforme Schulung enthalten muss und wie Sie die Teilnahme so dokumentieren, dass sie einer BSI-Nachfrage standhält. Hinweis vorab: Dieser Beitrag ist keine Rechtsberatung. Ob Sie als „wichtige" oder „besonders wichtige Einrichtung" überhaupt unter NIS2 fallen, sollten Sie anwaltlich oder über Ihre Compliance-Funktion prüfen lassen.
Der wunde Punkt: In der Praxis wird die Geschäftsführer-Schulung nach § 38 BSIG am häufigsten vergessen. Anders als die Mitarbeiterschulung lässt sie sich nicht an die IT-Abteilung oder einen Dienstleister abgeben — sie ist Chefsache, im Wortsinn, und mit persönlicher Haftung bewehrt.
NIS2 im BSIG — wer überhaupt betroffen ist
NIS2 ist eine EU-Richtlinie, die in Deutschland über das BSI-Gesetz (BSIG) umgesetzt wird. Sie unterscheidet zwei Kategorien von Pflichtigen: besonders wichtige Einrichtungen und wichtige Einrichtungen. Maßgeblich sind in der Regel Sektorzugehörigkeit, Mitarbeiterzahl und Umsatz. Als grobe Orientierung gelten Unternehmen ab rund 50 Beschäftigten oder 10 Mio. Euro Jahresumsatz in den geregelten Sektoren als betroffen — die genaue Einstufung ist aber im Einzelfall zu prüfen.
Wichtig ist: Sobald ein Unternehmen unter NIS2 fällt, gelten die Risikomanagement-Pflichten aus § 30 BSIG und die Pflichten der Geschäftsleitung aus § 38 BSIG. Beide enthalten je einen Schulungsbaustein. Wer nur die technischen Maßnahmen umsetzt, erfüllt die Anforderungen nicht vollständig.
§ 30 Abs. 2 Nr. 7 BSIG — die Mitarbeiterschulung
§ 30 BSIG listet die Mindestmaßnahmen für das Risikomanagement auf. In Absatz 2 Nr. 7 werden ausdrücklich „Konzepte und Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit" verlangt. Schulung ist damit keine freiwillige Kür, sondern eine gesetzlich vorgeschriebene Risikomanagement-Maßnahme — auf einer Ebene mit Backup, Zugriffskontrolle und Incident-Handling.
Onboarding plus jährliche Wiederholung
Das Gesetz nennt kein starres Intervall, aber aus „Schulungen" im Plural und dem Stand-der-Technik-Gedanken leitet sich in der Praxis ein klares Regime ab: eine Erstschulung beim Onboarding neuer Mitarbeiter und eine jährliche Auffrischung für die gesamte Belegschaft. Ein einmaliges Video bei Eintritt reicht nicht — Awareness verfällt, und neue Angriffsmuster (etwa KI-generiertes Phishing) machen regelmäßige Wiederholung notwendig.
Adressat ist die gesamte Belegschaft, nicht nur die IT. Gerade Buchhaltung, Einkauf und Geschäftsführungs-Assistenz sind bevorzugte Ziele von Social Engineering und CEO-Fraud und gehören deshalb zwingend in das Programm.
§ 38 Abs. 3 BSIG — die Geschäftsführer-Schulung
§ 38 BSIG regelt die Pflichten der Geschäftsleitung. Absatz 1 verpflichtet sie, die Risikomanagement-Maßnahmen zu billigen und ihre Umsetzung zu überwachen — und stellt klar, dass sie für Verstöße haftet. Absatz 3 verlangt darüber hinaus, dass die Mitglieder der Geschäftsleitung selbst an Schulungen teilnehmen, um ausreichende Kenntnisse zur Beurteilung von Risikomanagement-Maßnahmen zu erwerben.
Nicht delegierbar — und persönliche Haftung
Das ist der entscheidende Unterschied zur Mitarbeiterschulung: Die Pflicht aus § 38 BSIG ist nicht delegierbar. Die Geschäftsführung kann die Umsetzung technischer Maßnahmen an die IT oder an einen Dienstleister wie HostSpezial übergeben — die eigene Schulung und die Überwachungsverantwortung aber nicht. § 38 verknüpft die Pflichtverletzung mit einer persönlichen Haftung der Geschäftsleiter. Bei Verstößen kann das Unternehmen die Geschäftsführung in Regress nehmen; ein Verzicht auf Ersatzansprüche ist nur eingeschränkt möglich.
Mindestens alle drei Jahre
Das BSIG nennt für die Geschäftsleitungs-Schulung kein gesetzliches Fixintervall. In der Praxis hat sich ein Turnus von mindestens alle drei Jahre als belastbare Orientierung etabliert — bei wesentlichen Änderungen der Bedrohungslage oder der eingesetzten Systeme entsprechend früher. Wichtiger als das exakte Intervall ist die nachweisbare Regelmäßigkeit.
| Rechtsgrundlage | Adressat | Inhalt | Intervall | Besonderheit |
|---|---|---|---|---|
| § 30 Abs. 2 Nr. 7 BSIG | Alle Mitarbeiter | Security-Awareness / Cyberhygiene | Onboarding + jährlich | Teil der Risikomanagement-Maßnahmen |
| § 38 Abs. 3 BSIG | Geschäftsleitung | Risikomanagement- / Cybersecurity-Grundlagen | i. d. R. mind. alle 3 Jahre | Nicht delegierbar, persönliche Haftung |
Was eine konforme Schulung inhaltlich enthalten muss
Das Gesetz schreibt keinen Lehrplan vor, doch aus dem Risikomanagement-Bezug ergibt sich, welche Themen eine Mitarbeiterschulung mindestens abdecken sollte. Die folgende Checkliste eignet sich als Kontrollraster für ein konformes Awareness-Programm:
| Pflichtbaustein | Warum relevant | Nachweisbar über |
|---|---|---|
| Phishing & Social Engineering | Häufigster initialer Angriffsvektor | Schulungsmodul + ggf. Simulation |
| Passwort- & MFA-Hygiene | Credential-Diebstahl, Account-Übernahme | Richtlinie + Schulungsquiz |
| Meldewege bei Vorfällen | NIS2-Meldepflichten, schnelle Reaktion | Dokumentierter Incident-Prozess |
| Datenklassifizierung | Schutz sensibler & personenbezogener Daten | Klassifizierungs-Richtlinie |
| Sicheres Verhalten mobil / Home-Office | Erweiterte Angriffsfläche | Endgeräte-Richtlinie |
| Verhalten im Ernstfall | Schadensbegrenzung bei Incident | Notfall-/Eskalationsplan |
Für die Geschäftsleitung verschiebt sich der Fokus von operativer Cyberhygiene hin zu Steuerungswissen: Risikomanagement-Grundlagen, rechtliche Pflichten aus NIS2, Bewertung von Maßnahmen und Budgets sowie die eigene Haftungssituation. Es geht nicht darum, dass die Geschäftsführung Firewalls konfigurieren kann, sondern dass sie Risiken und Maßnahmen fundiert beurteilen kann.
Phishing-Simulationen — Pflichtteil oder Kür?
Phishing-Simulationen sind im BSIG nicht explizit vorgeschrieben. Sie sind aber eines der wirksamsten und am besten dokumentierbaren Awareness-Instrumente: Sie liefern messbare Klickraten, zeigen Schulungserfolge über die Zeit und erzeugen genau die Nachweise, die bei einer Prüfung helfen. Der Hintergrund ist eindeutig — ein großer Teil erfolgreicher Angriffe beginnt mit Phishing (Branchenstudien wie der Verizon Data Breach Investigations Report nennen seit Jahren Werte im hohen Bereich; die oft zitierte Zahl „rund 90 % aller Angriffe starten mit Phishing" ist als Tendenzaussage zu verstehen, nicht als exakte Quote).
Realität im Mittelstand: Trotz dieser Wirksamkeit führen nur wenige KMU regelmäßige Phishing-Simulationen durch — nach Branchenschätzung liegt der Anteil im niedrigen einstelligen Prozentbereich (~3 %, Schätzung). Wer hier investiert, verschafft sich also nicht nur Sicherheit, sondern auch einen klaren Nachweisvorsprung.
Nachweis und Dokumentation gegenüber Behörden
NIS2 verlagert die Beweislast: Im Zweifel müssen Sie nachweisen können, dass Sie die Pflichten erfüllt haben. Für Schulungen heißt das, drei Dinge auditfest zu dokumentieren:
- Teilnahme: Wer wurde wann geschult? Namentliche Teilnahmenachweise, idealerweise mit Bestätigung.
- Inhalt: Welche Themen wurden vermittelt? Schulungsunterlagen, Agenda oder Modulübersicht aufbewahren.
- Intervall: Onboarding-Schulung, jährliche Auffrischung, Geschäftsleitungs-Schulung — lückenlose Historie.
Für die Geschäftsleitung empfiehlt sich ein eigener, klar abgelegter Nachweis, weil hier die persönliche Haftung im Raum steht. Eine zentrale Ablage im ISMS oder Awareness-Tool, die Teilnahme, Inhalt und Datum verbindet, ist die robusteste Lösung. Ein strukturiertes Security-Awareness-Programm nimmt Ihnen diese Dokumentation weitgehend ab.
Typische Umsetzungsfehler im Mittelstand
In Awareness-Projekten begegnen uns immer wieder dieselben Lücken — die meisten sind mit geringem Aufwand vermeidbar:
- Geschäftsführung vergisst sich selbst: Die Mitarbeiter werden geschult, die Geschäftsleitung nicht — genau der haftungskritische Teil bleibt offen.
- Einmal-Schulung statt Turnus: Eine Schulung bei Eintritt, danach nichts mehr. Ohne jährliche Auffrischung ist die Pflicht nicht erfüllt.
- Keine Dokumentation: Es wird geschult, aber nicht nachweisbar. Im Prüfungsfall zählt nur, was belegbar ist.
- IT-only-Fokus: Nur die technischen Rollen werden geschult, während Buchhaltung und Empfang — die eigentlichen Social-Engineering-Ziele — außen vor bleiben.
- Delegation der GF-Pflicht: Der Versuch, die Geschäftsleitungs-Schulung an einen Dienstleister „abzugeben" — rechtlich nicht möglich.
In der Praxis: Ein sauberes Schulungsregime besteht aus drei Bausteinen — Onboarding-Schulung für neue Mitarbeiter, jährliches Refresh für alle, und eine separate Geschäftsleitungs-Schulung mindestens alle drei Jahre. Wer diese drei Spuren dokumentiert nebeneinander führt, erfüllt § 30 und § 38 BSIG nachweisbar.
Fazit: Schulung ist kein Nebenschauplatz
NIS2 hebt Security Awareness von der freiwilligen Maßnahme zur gesetzlichen Pflicht — und macht die Geschäftsführung mit § 38 BSIG persönlich verantwortlich. Wer nur die Mitarbeiter schult, übersieht die haftungskritischste Pflicht. Der pragmatische Weg: ein dokumentiertes Drei-Spuren-Regime, sinnvoll mit Phishing-Simulationen ergänzt, das jederzeit gegenüber dem BSI nachweisbar ist.
Als ISO/IEC-27001:2022-zertifizierter MSP (Zertifikat Nr. 202787) leben wir diese Awareness-Prozesse selbst und richten sie für unsere Kunden auditfest ein. Ob Ihre konkrete Einrichtung unter NIS2 fällt und in welchem Umfang, gehört dennoch in eine fachliche Einzelfallprüfung — dieser Artikel ersetzt keine Rechtsberatung.
Häufige Fragen
Verpflichtet NIS2 zu Mitarbeiterschulungen?
Ja. § 30 Abs. 2 Nr. 7 BSIG verlangt Schulungen zur Cybersicherheit und Cyberhygiene als Teil der Risikomanagement-Maßnahmen. In der Praxis bedeutet das eine Erstschulung beim Onboarding und eine jährlich wiederkehrende Auffrischung für die gesamte Belegschaft.
Muss die Geschäftsführung selbst geschult werden?
Ja. § 38 Abs. 3 BSIG schreibt vor, dass die Mitglieder der Geschäftsleitung an Schulungen teilnehmen, um Risikomanagement-Maßnahmen beurteilen zu können. Als belastbarer Turnus gilt in der Praxis mindestens alle drei Jahre, bei wesentlichen Änderungen früher.
Kann die Geschäftsführung diese Pflicht delegieren?
Nein. Die Schulungspflicht der Geschäftsleitung nach § 38 BSIG ist nicht delegierbar und mit persönlicher Haftung verbunden. Die Umsetzung technischer Maßnahmen lässt sich an die IT oder einen Dienstleister übergeben — die eigene Schulung und die Überwachungsverantwortung nicht.
Sind Phishing-Simulationen vorgeschrieben?
Nicht explizit. Sie sind aber ein wirksamer und gut dokumentierbarer Nachweis und gelten als bewährte Awareness-Maßnahme. In der Praxis führen nur wenige KMU sie regelmäßig durch (Branchenschätzung im niedrigen einstelligen Prozentbereich, ~3 %).
Wie weise ich die Schulungen gegenüber dem BSI nach?
Über lückenlos dokumentierte Teilnahme, Schulungsinhalte und Intervalle — auditfest archiviert, idealerweise zentral im ISMS oder Awareness-Tool. Für die Geschäftsleitung empfiehlt sich ein separater Nachweis, weil hier die persönliche Haftung relevant ist.