Schulungspflicht für Top-Manager : Inhalte, Standards und Prüfmaßstäbe nach NIS 2 für die obligatorische Cyberkompetenz von Geschäftsleitungen
Die EU NIS-2-Richtlinie verschärft erheblich die Verantwortung des Top-Managements für Cybersicherheit. Geschäftsleitungen müssen Cybersicherheit als Teil der Unternehmensführung begreifen und sind regelmäßig zu schulen, um Risiken bewerten, Maßnahmen überwachen und gesetzliche Pflichten erfüllen zu können. Der vorliegende Beitrag beschreibt die inhaltlichen, organisatorischen und regulatorischen Anforderungen an solche Management-Schulungen und liefert eine praxisnahe Orientierung, um Cyberkompetenz systematisch zu verankern.
Die NIS-2-Richtlinie der EU [1] stellt neue Anforderungen an Unternehmen in Bezug auf Cybersicherheit. Erstmals rückt dabei die Verantwortung der Geschäftsleitung stark in den Fokus, weil Führungsgremien (Management-Bodies) Cybersicherheit als integralen Bestandteil der Unternehmensführung etablieren müssen. In Deutschland wird die Richtlinie durch das Mitte November verabschiedete „Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (vormals NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, NIS-2UmsuCG) umgesetzt.
Bis zum Redaktionsschluss dieser Ausgabe lag allerdings noch keine konsolidierte Fassung des Gesetzestexts vor – zuletzt hatte der Innenausschuss in seiner Beschlussempfehlung [2] noch Änderungen am Entwurf der Bundesregierung [3] vorgeschlagen, die vom Deutschen Bundestag angenommen wurden.
Das neue Gesetz sieht unter anderem in § 38 BSIG-E „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ vor, dass Geschäftsleitungen regelmäßig geschult werden, um ihren Pflichten bei der Umsetzung und Überwachung von Sicherheitsmaßnahmen gerecht zu werden. Verstöße können zu erheblichen Sanktionen und sogar persönlicher Haftung der leitenden Personen führen. Vor diesem Hintergrund steigt der Druck auf Vorstände* und Geschäftsführer, sich Cyberkompetenz anzueignen. Bereits am 30. September 2025 hat das BSI eine vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen [4] nach dem NIS-2-Umsetzungsgesetzentwurf publiziert.
Im Folgenden wird erläutert, welche Inhalte die entsprechenden Schulungen abdecken müssen, wer sie durchführen sollte, wie sich die Wissensvermittlung effektiv gestalten (siehe auch S. 56) und woran sich die Wirksamkeit messen lässt. Ziel ist es, einen strukturierten fachlichen Überblick zu geben, der sowohl Geschäftsführungen, CISOs als auch Aufsichtsbehörden Orientierung bietet.
Erforderliche Schulungsinhalte
NIS-2 verpflichtet das Top-Management, sich ausreichende Kenntnisse und Fähigkeiten in der IT-Sicherheit anzueignen. Der Kerninhalt solcher Schulungen ist das Risikomanagement (vgl. [5]): Führungskräfte sollen lernen, IT-Risiken zu erkennen, zu bewerten und angemessen zu steuern. Tatsächlich betont § 38 Abs. 3 BSIG-E, dass Geschäftsleitungen in die Lage versetzt werden müssen, Risiken und Risikomanagement-Praktiken im Bereich der Informationssicherheit zu identifizieren und zu beurteilen – diese methodische Kompetenz steht im Zentrum.
Darüber hinaus sollten Schulungen für die Geschäftsführung folgende Themenbereiche abdecken:
- Aktuelle Bedrohungslage: Vermittlung der neuesten Cyberbedrohungen und Angriffsarten, etwa Ransomware, Ausnutzung von Schwachstellen, SupplyChain-Angriffe et cetera sowie deren potenzielle Auswirkungen auf das eigene Unternehmen (vgl. [6]). Damit wird sichergestellt, dass die Leitung über aktuelle Entwicklungen und Bedrohungen informiert ist und ein Gefühl für die Dringlichkeit von Schutzmaßnahmen entwickelt.
- Grundlagen von Incident-Response und Notfallplanung/Business-Continuity-Management (BCM): Die Geschäftsleitung sollte wissen, welche Notfall- und Reaktionspläne sowie Krisenmaßnahmen bereitstehen und wie sie im Ernstfall zu aktivieren sind. Dazu gehören Meldewege bei IT-Sicherheitsvorfällen, Kommunikationspläne sowie Zuständigkeiten im Krisenstab. Empfohlen wird auch, das Krisenmanagement regelmäßig in Planspielen oder Simulationen zu üben, damit Entscheider die Abläufe verinnerlichen.
- Einführung in methodisches Risikomanagement – Aufbau eines Informationssicherheits-Risikoprozesses: Dies umfasst das Identifizieren von schutzwürdigen Gütern und Schwachstellen, Analysieren von Risiken (Bedrohung und Verwundbarkeit), Bewerten von Risiken (z.B. nach Eintrittswahrscheinlichkeit und Schadenshöhe) sowie deren Behandlung durch geeignete Sicherheitsmaßnahmen – die kontinuierliche Überwachung des Risikoprozesses gehört ebenfalls dazu. Ein strukturelles Verständnis versetzt das Management in die Lage, Sicherheitsrisiken angemessen einzuschätzen und priorisierte Entscheidungen zu treffen.
- Überblick über anerkannte Standards und Best Practices der Informationssicherheit, damit die Führungsebene die eigenen Sicherheitsmaßnahmen im Kontext verorten kann: Dazu zählen beispielsweise die ISO/IEC 27001 (Informationssicherheits-Managementsystem, ISMS) sowie darauf aufbauende Normen wie ISO 27002 (IS-Maßnahmen) und ISO 27005 (Risikomanagement, vgl. Kap. 5 in [7]) oder branchenspezifische Standards. Auch der BSI IT-Grundschutz (www.bsi.bund.de/grundschutz) sowie branchenspezifische Sicherheitsstandards (B3S, www.bsi. bund.de/dok/13099278) sollten erwähnt werden, sofern relevant. Durch diese Orientierung wird verdeutlicht, welche Mindestanforderungen üblich sind und wo das eigene Unternehmen steht. Zudem sollten grundlegende organisatorische und technische Maßnahmen auf „Management-Niveau“ (Strategie und Verantwortlichkeiten, keine technische Detailtiefe) besprochen werden – etwa Zugangskontrollen, Backup-Strategien, Patchmanagement, Netzwerksicherheit und Security-Monitoring
- Rechtliche Pflichten und Haftung: Die gesetzlichen Verpflichtungen für die Geschäftsleitung nach NIS-2 erfolgen in nationaler Umsetzung durch das eingangs erwähnte Gesetz. § 38 BSIG-E fordert die Billigung und Überwachung von Cyberrisikomanagement-Maßnahmen durch das Leitungsorgan. Den Führungskräften muss klar werden, welche Pflichten sie persönlich treffen – zum Beispiel Schulungspflicht, Pflicht zur Umsetzung angemessener Sicherheitsmaßnahmen oder Meldepflichten bei Incidents (§ 32 BSIG-E) – und welche Konsequenzen drohen, falls sie diese Pflichten vernachlässigen: beispielsweise Bußgelder bis zu 10 Mio. € beziehungsweise 2% vom Umsatz (§ 65 Abs. 5 BSIG-E) oder persönliche Haftungsansprüche bei grober Pflichtverletzung. Dieses Thema sensibilisiert für die Verantwortlichkeit und schafft Motivation, die zuvor genannten Inhalte ernst zu nehmen. Auch verwandte Rechtsgebiete – etwa der Datenschutz (sowie DSGVO-Bußgelder bei unzureichender Sicherheit, siehe etwa [8] zu Art. 33 DSGVO) – können kurz angesprochen werden, um ein ganzheitliches Verständnis der Compliance-Lage zu vermitteln.
Zur didaktischen Aufbereitung empfehlen Experten – und auch das BSI in seiner ersten Handreichung [4] – eine modulare Gliederung der Schulungsinhalte. Konkret lässt sich der Lehrstoff in Vorbereitungs-, Kern- und Ergänzungsmodule unterteilen: Vorbereitende Module liefern der Geschäftsleitung wichtiges Kontextwissen wie Grundbegriffe der IT-Sicherheit, Bedrohungslandschaft oder rechtliche Rahmenbedingungen, um ein gemeinsames Verständnis zu schaffen. Darauf bauen die Kern-Module auf, welche die oben genannten zentralen Inhalte vertiefen (Risikomanagement-Prozess, Notfallmanagement, Pflichten). Ergänzende Module können schließlich spezifische Themen behandeln, die je nach Unternehmensprofil relevant sind – etwa besondere Branchenrisiken, Fallstudien zu realen Cybervorfällen oder neue Entwicklungen (z.B. Cloud-Sicherheit, Supply-Chain-Risiken oder künstliche Intelligenz, KI).
Durch ein derart modulares Konzept lassen sich Schulungen flexibel an Vorkenntnisse und Bedürfnisse der Teilnehmer anpassen. Das BSI schlägt vor, externe Standard-Schulungen durch solche unternehmensspezifischen Module zu ergänzen, um Theorie und Praxis zu verzahnen. Die allgemeinen Grundlagen werden also gegebenenfalls von externen Experten vermittelt, während interne Fachleute die Umsetzung im eigenen Unternehmen illustrieren: beispielsweise die Vorstellung der eigenen Notfallprozesse, Richtlinien und bereits umgesetzten Maßnahmen.
Trainings: intern vs. extern
Grundsätzlich kommen für die Durchführung von Schulungen sowohl interne Experten als auch externe Anbieter infrage – oft ist eine Kombination sinnvoll.
Ein internes Schulungsteam könnte etwa der Chief-Information-Security-Officer (CISO) oder IT-Sicherheitsbeauftragte (IT-SiBE) leiten: Interne Experten kennen die spezifischen Geschäftsprozesse, die vorhandene IT-Landschaft und die Unternehmenskultur am besten. Sie können dadurch Schulungsinhalte passgenau auf die eigene Organisation zuschneiden und mit vertraulichen Details arbeiten (etwa interne Risikoberichte oder vergangene Sicherheitsvorfälle). Zudem signalisiert es Engagement, wenn der eigene CISO das Top-Management schult – es entsteht ein direkter Dialog zwischen Führung und Sicherheitsteam.
Allerdings sind nicht alle Unternehmen in der Lage, solche Schulungen eigenständig didaktisch hochwertig aufzusetzen. Hier kommen externe Schulungsanbieter ins Spiel, die auf Management-Schulungen im Bereich Cybersecurity spezialisiert sind. Externe Trainer bringen breitgefächertes Fachwissen und Erfahrung aus vielen Unternehmen mit. Sie können anhand von Best Practices und Branchenvergleichen aufzeigen, wo Handlungsbedarf besteht, und kennen aktuelle Bedrohungen oft aus erster Hand (z. B. aus der Incident-Response-Beratung).
Professionelle Anbieter, etwa von Schulungsakademien oder zertifizierte Trainer, verfügen zudem meist über erprobtes Schulungsmaterial und didaktische Konzepte, die speziell auf Führungskräfte zugeschnitten sind. Nicht zuletzt wird ein externer Nachweis von manchen Aufsichtsbehörden oder Kunden positiver wahrgenommen: Ein offizielles Zertifikat oder eine Teilnahmebescheinigung eines renommierten Schulungsinstituts kann reputationsfördernd sein und im Audit als Beleg dienen.
Die optimale Lösung liegt häufig in einer Mischstrategie: So könnte etwa ein externer Dienstleister ein Grundlagenseminar zu NIS-2-Anforderungen, Bedrohungslage und Risikomanagement-Methodik anbieten, während interne Verantwortliche firmenspezifische Aspekte ergänzen. Tatsächlich hält das BSI es für zweckmäßig, externe Schulungsangebote um unternehmensindividuelle Inhalte zu erweitern, die durch interne Experten vermittelt werden. Beispielsweise könnte nach einem allgemeinen Teil ein interner CISO erläutern, wie das Risikomanagement konkret im eigenen Haus umgesetzt wird, welche Notfallpläne existieren und wo die größten Risiken aus Sicht der Organisation liegen. Eine solche Zusammenarbeit stellt sicher, dass die Schulung sowohl dem allgemeinen Stand der Technik entspricht als auch die individuellenGegebenheiten berücksichtigt.
Qualifikation der Referenten
Ob intern oder extern, die Lehrenden sollten über umfassende Fachkenntnisse der Cybersecurity verfügen und didaktische Fähigkeiten besitzen. Führungskräfte lernen anders als Techniker, da es weniger um operative Details als um strategische Relevanz, Zusammenhänge und Entscheidungsfolgen geht. Daher sollten Trainer in der Lage sein, komplexe technische Sachverhalte in geschäftsrelevante Sprache zu übersetzen.
Zertifizierungen (z. B. CISM, CISSP, ISO-27001-Trainer) können ein Indikator für Kompetenz sein, sind aber nicht allein entscheidend. Wichtiger sind Erfahrungen in der Kommunikation mit dem Top-Management und idealerweise ein Verständnis der jeweiligen Branche. Im Falle interner Trainer sollte man prüfen, ob eine „Train-the-Trainer“-Weiterbildung sinnvoll ist, um Präsentationstechniken und pädagogische Methoden zu optimieren.
Effektive Wissensvermittlung
Ein zentrales Anliegen ist, dass die adressierten Führungskräfte die vermittelten Inhalte wirklich verstehen und in ihrem Handeln berücksichtigen. Dafür genügt es nicht, sie einmalig mit theoretischen Folien zu „beschallen“ – stattdessen sind didaktisch abwechslungsreiche Formate und regelmäßige Auffrischungen gefragt.
Didaktische Aufbereitung
Empfehlenswert sind interaktive Lehrmethoden, die das Top-Management aktiv einbinden: Klassische Frontalvorträge stoßen schnell an Grenzen und Manager schätzen eher praxisnahe und relevante Inhalte. Fallstudien etwa bieten die Möglichkeit, echte Cybervorfälle – möglichst aus ähnlichen Branchen – gemeinsam zu analysieren: Was ist passiert? Welche Entscheidungen hätte das Management treffen müssen? Welche Lehren ergeben sich? Solche Beispiele erhöhen die Aufmerksamkeit und zeigen konkret, warum ein Thema wichtig ist.
Ebenfalls bewährt haben sich Planspiele oder Tabletop-Exercises, in denen man ein simuliertes Szenario durchspielt. Beispielsweise könnte ein Ransomware-Angriff auf das eigene Unternehmen simuliert werden; Die Geschäftsleitung muss unter Zeitdruck entscheiden, ob Systeme abgeschaltet, externe Stellen informiert oder Lösegeldforderungen adressiert werden. Durch solche Übungen in geschützter Umgebung wird klar, wo noch Unsicherheiten bestehen, und die Führungskräfte lernen durch Erfahrung. NIS-2 fordert explizit, dass das Management Cybersicherheitsrisiken beurteilen kann – auch das gelingt am besten durch kontinuierliches Üben.
Format und Dauer
Die gesetzliche Mindestvorgabe laut Entwurf ist eine Schulung alle drei Jahre für etwa vier Stunden (§ 38 Abs. 3 BSIG-E bzw. Vorgabe 4.2.4 in [3]). Experten halten dieses Intervall für das absolute Minimum – sinnvoll ist es, häufiger und in kleineren Häppchen Wissen zu vermitteln. Beispielsweise könnte jährlich eine kürzere Fortbildung (1–2 Stunden) zu neuen Bedrohungen oder geänderten Compliance-Vorgaben stattfinden sowie alle 2–3 Jahre ein größerer Workshop inklusive Simulationstraining. Auf diese Weise bleibt das Thema präsent und die Inhalte veralten nicht.
Wichtig ist, die verfügbare Zeit der Top-Manager effizient zu nutzen: E-Learning-Module können etwa Grundwissen vorausliefern, sodass die Präsenzzeit für Diskussion und Praxis genutzt wird. Auch Blended Learning – also eine Mischung aus Online-Selbststudium und gemeinsamen Workshops – kann den Wissenstransfer verbessern.
Entscheidend ist, dass nach Abschluss einer Schulung Raum für Fragen bleibt – ein moderiertes Q&A oder Rundengespräch hilft, Unklarheiten auszuräumen und Feedback der Teilnehmer aufzunehmen. So spürt der Trainer, ob die Kernbotschaften angekommen sind – und die Führungskräfte haben Gelegenheit, die Relevanz für ihr Tagesgeschäft zu reflektieren.
Verständnis prüfen
Um sicherzugehen, dass vermitteltes Wissen wirklich verankert ist, bieten sich leichte Kontrollmechanismen an. Das muss kein Examen sein, aber etwa ein kurzes Quiz oder die gemeinsame Bewertung eines Beispielrisikos können Aufschluss über die Erfolge geben.
Manche Organisationen lassen die Teilnehmer am Ende anonym Feedback geben und ein Selbstassessment durchführen: „Wie sicher fühle ich mich nun beim Thema Cyberrisiken?“ Andere führen einige Wochen nach der Schulung einen Follow-up-Termin oder ein Memo mit Schlüsselfragen durch, um das Gelernte aufzufrischen. Solche Maßnahmen fördern die nachhaltige Verankerung.
Wichtig ist zu bedenken, dass Menschen die entscheidenden Faktoren in der Cyberabwehr bleiben (vgl. auch [6]). Schließlich lässt sich auch beobachten, ob und wie sich das Verhalten der Geschäftsführung ändert – etwa ob in Vorstandssitzungen nun regelmäßig Cyberrisiken erörtert werden oder Sicherheitsüberlegungen stärker in Entscheidungsprozesse einfließen. Solche Verhaltensindikatoren deuten darauf hin, dass echtes Verständnis gewachsen ist.
Dokumentation und Nachweis
Von großer Bedeutung – gerade im Hinblick auf Prüfbarkeit – ist die sorgfältige Dokumentation der Schulungen. Jede durchgeführte Maßnahme sollte protokolliert werden – inklusive Datum, Dauer, Teilnehmer, Dozenten und behandelten Inhalten. Empfehlenswert ist beispielsweise das Führen von Teilnahmebescheinigungen oder -listen, die von den Teilnehmern unterschrieben oder digital bestätigt werden (vgl. § 30 Abs. 1 BSIG-E inkl. Erläuterung in [3] sowie Ziff. 3.2 in [4]). Auch die Schulungsunterlagen (Präsentationen, Handouts) sollte man archivieren. All diese Nachweise dienen intern der Qualitätssicherung und gegenüber Aufsichtsbehörden als Beleg der Compliance.
Das BSI betont, dass Geschäftsleitungen durch regelmäßige Schulungen und Awareness-Maßnahmen ihr Sicherheitsbewusstsein schärfen und aktuelle Bedrohungen besser einschätzen können. Zugleich erwartet es eine entsprechende Nachweisführung – das heißt im Falle einer Prüfung muss das Unternehmen zeigen können, dass Führungskräfte tatsächlich wie gefordert geschult wurden. Daher ist es ratsam, die Dokumentation im Rahmen des ISMS vorzuhalten und zum Beispiel in Management-Reviews auf Vorstandsebene das Thema „Schulung der Leitung“ regelmäßig abzuhaken.
Prüfmaßstäbe und Wirksamkeitskontrolle
Die Wirksamkeit von Management-Schulungen lässt sich anhand mehrerer Maßstäbe messen. Zum einen gibt es formale Compliance-Kriterien: Wurden die gesetzlichen Vorgaben (Inhalt, Turnus, Dokumentation) erfüllt? Zum anderen stellt sich die Frage nach der tatsächlichen Wirkung auf das Sicherheitsniveau im Unternehmen. Nachfolgend einige Anhaltspunkte und Standards:
Erfüllung formaler Standards
Unternehmen sollten ihr Schulungsprogramm an etablierten Normen und Rahmenwerken ausrichten: ISO/ IEC 27001 fordert zum Beispiel, dass alle rollenbezogenen Kompetenzen entwickelt und erhalten werden – inklusive der obersten Leitung. Ein zertifiziertes ISMS nach ISO 27001 impliziert also, dass regelmäßige Schulungen und Awareness-Maßnahmen geplant und umgesetzt werden. Auch der ISO-Standard zum Risikomanagement lässt sich heranziehen (vgl. Kap. 5 Rn. 67 in [7]): Wenn die Geschäftsführung gemäß ISO 27005 die Schritte des Risikomanagements versteht, erfüllt sie zugleich eine NIS-2-Kernforderung.
Branchenspezifische Sicherheitsstandards (B3S), wie sie für KRITIS-Sektoren definiert sind, enthalten ebenfalls Schulungsanforderungen. So schreibt etwa der B3S für die Gesundheitsversorgung regelmäßige Schulungen und Übungen vor, um auf Notfälle vorbereitet zu sein. Solche branchenspezifischen Kataloge werden von Aufsichtsbehörden bei Prüfungen als Benchmark verwendet – sie konkretisieren gewissermaßen die allgemeineren NIS-2-Vorgaben für die jeweilige Branche. Ein Unternehmen, das die für seine Branche geltenden Standards einhält, wird also im Bereich „Management-Schulung“ die richtigen Themen abdecken und angemessene Intervalle einhalten.
Anforderungen der Aufsichtsbehörden
Die zuständigen Behörden – in Deutschland vor allem das BSI als zentrale Stelle für Cyber-Sicherheit – achten im Rahmen von Audits oder Nachweisanforderungen auf dieses Thema. Gemäß nationalem NIS-2-Umsetzungsgesetz müssen kritische Einrichtungen alle drei Jahre ein Audit vorlegen, während für wichtige Einrichtungen Stichprobenprüfungen vorgesehen sind (§§ 30 und 39 Abs. 1 BSIG-E).
Im Auditfall wird geprüft, ob das Top-Management seinen Pflichten nachkommt – hier wird das Vorhandensein eines Schulungskonzepts und der entsprechenden Teilnahmenachweise verlangt (§ 39 Abs. 1 Satz 3 BSIGE). Das BSI kann zum Beispiel anordnen, Nachweise über die Erfüllung aller Anforderungen vorzulegen – fehlende Schulungsnachweise würden dann als Compliance-Verstoß gewertet.
Entsprechend sollten Unternehmen darauf vorbereitet sein, einer Aufsichtsbehörde zum Beispiel ein Schulungskonzept oder eine Policy vorzulegen, aus denen Inhalte, Dozenten, Frequenz und Dokumentation hervorgehen. Auch Auditoren – etwa ISO-27001-Prüfer oder die interne Revision – werden gezielt fragen, wie die Geschäftsführung in das Sicherheitsmanagement eingebunden ist und ob sie geschult wurde. Ein positives Signal ist, wenn das Top-Management selbst in Audit-Interviews grundlegende Cybersecurity-Begriffe korrekt verwendet und die firmenspezifischen Top-Risiken benennen kann – dies deutet auf eine gelungene Sensibilisierung hin.
Interne Erfolgskontrolle
Auch über die reine Compliance hinaus sollte jedes Unternehmen selbst evaluieren, ob Schulungen den gewünschten Effekt haben. Hierfür bieten sich sowohl qualitative als auch quantitative Ansätze an.
Qualitativ lassen sich Feedback-Runden nutzen, in denen Führungsmitglieder anonym Rückmeldung geben, ob die Schulung für sie verständlich und relevant war, und wo sie noch Unsicherheiten sehen. Diese Rückmeldungen sollte man ernst nehmen und das Schulungskonzept kontinuierlich verbessern (Stichwort PDCA-Zyklus im ISMS).
Quantitativ könnte man bestimmte Kennzahlen verfolgen – dies ist jedoch schwieriger, da der Erfolg von Cybersicherheit nicht leicht messbar ist. Dennoch: Man könnte zum Beispiel tracken, ob sich die Anzahl kritischer Sicherheitsvorfälle im Zeitverlauf ändert (weniger erfolgreiche Angriffe nach intensiver Schulung der Leitung?) oder ob Investitionsentscheidungen zugunsten der IT-Sicherheit zunehmen – das würde zeigen, dass das Management deren Wichtigkeit erkannt hat. Auch Ergebnisse von Phishing-Tests in der Belegschaft könnten indirekt beeinflusst werden: Wenn die Geschäftsführung Cybersicherheit vorlebt, steigt oft die Sicherheitskultur insgesamt. Letztlich bleibt die Kulturveränderung ein weicher, aber wichtiger Indikator: Spricht das Management in StrategieMeetings nun aktiv Risiken an? Fordert es von Fachabteilungen Berichte zur Cyberlage ein? So etwas lässt sich zum Beispiel in Management-Protokollen oder Risiko-Workshops beobachten.
Audits und Reviews
Eine weitere sinnvolle Maßnahme sind interne Audits speziell zum Schulungsthema. Die interne Revision oder ein externer Auditor könnten prüfen, ob Schulungsmaterialien aktuell sind, die Führungskräfte (falls durchgeführt) die Tests bestanden haben und ob Folgemaßnahmen aus dem Feedback umgesetzt wurden. Zusätzlich könnten Simulationen (wie schon erwähnt) nicht nur als Training, sondern auch als Reifegrad-Check dienen: Wird ein Übungsszenario deutlich souveräner bewältigt als eine frühere Übung vor ein, zwei Jahren, spricht das für einen Lerneffekt. Diese Fortschritte sollte man dokumentieren.
Gegebenenfalls kann man auch Zertifizierungen in Betracht ziehen: Es gibt mittlerweile Trainingszertifikate für Manager im Bereich Cybersecurity (auch wenn die Qualität variiert). Solche Zertifikate, zum Beispiel Teilnahmebestätigungen von TÜV-Seminaren oder Ähnliches, können in die Personalakten der Geschäftsführer aufgenommen und gegenüber Gesellschaftern oder Aufsichtsräten kommuniziert werden, um Vertrauen zu schaffen.
Fazit
Die Schulung des Top-Managements in Sachen Cybersicherheit ist kein Nice-to-have, sondern eine Pflichtaufgabe nach NIS-2, die mit Augenmaß und Strategie angegangen werden muss.
Geschäftsführungen müssen in regelmäßigen Abständen – mindestens alle drei Jahre, eher häufiger – Trainings absolvieren, die ihnen helfen, die digitale Bedrohungslage zu verstehen und informierte Entscheidungen zu treffen. Inhaltlich stehen Risikomanagement und Notfallvorsorge im Mittelpunkt, eingebettet in einen Überblick über aktuelle Gefahren und Compliance-Anforderungen. Durch entsprechende Standards (ISO 27001 u. a.) sowie behördliche Vorgaben ist ein Rahmen abgesteckt, innerhalb dessen Organisationen ihre Lösungen finden können.
Ob Schulungen intern, extern oder gemischt durchgeführt werden, hängt von den Möglichkeiten des Unternehmens ab. Wichtig ist in jedem Fall, dass Praxisbezug und Interaktivität gegeben sind, damit der Lerntransfer gelingt. Die Wirksamkeit zeigt sich letztlich daran, dass das Management seiner Rolle gerecht wird, Cybersicherheit als Chefsache begreift und aktiv in die Unternehmensführung integriert.
Werden Schulungsmaßnahmen konsequent geplant, durchgeführt und nachverfolgt, lässt sich nicht nur der gesetzlichen Nachweispflicht genügen, sondern vor allem ein höheres Schutzniveau für die gesamte Organisation erreichen. Eine Investition in Cyberkompetenz im Vorstand zahlt sich aus: in Form informierter Entscheider, geringerer Risikoexposition und letztlich einer resilienten, vertrauenswürdigen Geschäftstätigkeit im digitalen Zeitalter.
Dr. iur. Dr. rer. pol. Fabian M. Teichmann, LL.M. (London), MBA (Oxford) ist Rechtsanwalt und Notar sowie Managing Partner der Teichmann International (Schweiz).
Literatur
[1] Europäische Union, Richtlinie (EU) 2022/2555 … vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, … (NIS-2-Richtlinie), konsolodierte Fassung, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022L2555-20221227
[2] Deutscher Bundestag – Innenausschuss, Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung – Drucksachen 21/1501, 21/2072, 21/2146 Nr. 1.11, BT Drucksache 21/2782, November 2025, https://dserver.bundestag.de/btd/21/027/2102782.pdf
[3] Deutscher Bundestag, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Gesetzentwurf der Bundesregierung, BT Drucksache 21/1501, September 2025, https://dserver.bundestag.de/btd/21/015/2101501.pdf
[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), NIS-2-Geschäftsleitungsschulung, Vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf, Version 0.9, September 2025, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-geschaeftsleitungsschulung.pdf
[5] Fabian M. Teichmann, NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – neue Pflichten für Länder- und Kommunalverwaltungen, LKV – Landes- und Kommunalverwaltung 2025/6, Juni 2025, S. 253, https://beck-online.beck.de/?vpath=bibdata%2Fzeits%2FLKV%2F2025%2Fcont%2FLKV%´2e2025%2eH06%2ehtm (kostenpflichtig)
[6] Fabian M. Teichmann, NIS-2 in der Energiewirtschaft: Pflichten und Haftungsregime für KRITIS-Betreiber, EnWZ – Zeitschrift für das gesamte Recht der Energiewirtschaft 2025/7, Juli 2025, S. https://beck-online.beck.de/?vpath=bibdata%2Fzeits%2FENWZ%2F2025%2Fcont%2FENWZ%2e2025%2eH07%2ehtm (kostenpflichtig)
[7] Dennis-Kenji Kipker (Hrsg.), Cybersecurity, C. H. BECK, 2. Auflage, Juni 2023, ISBN 978-3-406-79263-2 [8] Peter Gola, Dirk Heckmann (Hrsg,), DS-GVO/ BDSG – Datenschutz-Grundverordnung Bundesdatenschutzgesetz, C. H. BECK, 3. Auflage, Oktober 2022, ISBN 978-3-406-78266-4

