NIS-2 Geschäftsleitungsschulung · Gesetzlich verpflichtend
§ 38 Abs. 3 BSIG verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen zur regelmäßigen Cybersicherheitsschulung. Wir liefern genau das – maßgeschneidert auf Ihre Branche und Ihr Unternehmen.
Kostenloses Erstgespräch. Wir melden uns binnen 24 Stunden.
Ihre Anfrage ist bei uns eingegangen. Wir melden uns binnen 24 Stunden bei Ihnen.
Oder direkt per E-Mail: nis2@muehlcyberconsulting.com
Mit dem NIS-2-Umsetzungsgesetz (NIS-2UmsuG), in Kraft seit Dezember 2025, trägt die Geschäftsleitung persönlich die Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen – und muss dazu nachweislich geschult werden.
Rund 30.000 Unternehmen in 18 Sektoren – von Energie und Gesundheit über Lebensmittel und verarbeitendes Gewerbe bis zu digitalen Diensten. Betroffen sind besonders wichtige Einrichtungen (ab 250 Mitarbeiter oder über 50 Mio. € Jahresumsatz) und wichtige Einrichtungen (ab 50 Mitarbeiter oder über 10 Mio. € Jahresumsatz).
Die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen. Ein festes Intervall oder eine Mindestdauer schreibt das BSIG nicht vor – beides ist risikobasiert zu wählen. Das BSI empfiehlt eine ausführliche Erstschulung mit regelmäßigen Folgeschulungen, etwa bei Wechseln in der Geschäftsleitung oder wesentlichen Änderungen von Geschäftsprozessen, Risikolage oder Maßnahmen. Die Pflicht ist nicht delegierbar und trifft in der Regel mehrere Personen der Geschäftsleitung persönlich. Die Schulung muss sektorspezifisch sein.
Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen) bzw. bis zu 7 Mio. € oder 1,4 % (wichtige Einrichtungen). Dazu kommt die persönliche gesellschaftsrechtliche Haftung der Geschäftsleitung – ein Verzicht durch das Unternehmen ist gesetzlich ausgeschlossen.
Das BSI schreibt es explizit: Schulungsinhalte müssen „angemessen, aktuell und sektorspezifisch" sein. Ein allgemeines Online-Training für alle Branchen ist rechtlich nicht ausreichend.
| Generische Online-Schulung | MuehlCyberConsulting-Schulung |
|---|---|
| ✕ Allgemeine Cybersicherheitsthemen | ✓ Branchenspezifische Bedrohungsszenarien |
| ✕ Kein Bezug zu Ihrer Risikoexposition | ✓ Analyse Ihrer konkreten Unternehmenssituation |
| ✕ Kein Sektorbezug (B3S, ISO-Sektornorm) | ✓ Einbezug branchenspezifischer Normen und Vorgaben |
| ✕ Compliance-Nachweis rechtlich fraglich | ✓ Dokumentierte Schulung nach BSI-Handreichung |
| ✕ Kein persönlicher Ansprechpartner | ✓ Erfahrener Berater, über 30 Jahre Praxiserfahrung |
| ✕ Rein interne Sicht – Gefahr struktureller Erkenntnisdefizite | ✓ Unabhängige externe Expertise – vom BSI ausdrücklich empfohlen |
| ✕ IT-Fachsprache, schwer zugänglich | ✓ Managementsprache, verständlich und praxisnah |
Die NIS-2-Schulung bringt Ihrer Führungsmannschaft konkreten Mehrwert – weit über die Erfüllung einer gesetzlichen Pflicht hinaus.
Sie erfüllen § 38 Abs. 3 BSIG nachweislich. Ihr Schulungszertifikat ist revisionssicher dokumentiert – für Behörden, Wirtschaftsprüfer und Versicherer.
Als Geschäftsführerin oder Geschäftsführer schützen Sie sich vor persönlicher gesellschaftsrechtlicher Haftung. Die Teilnahme an der Schulung ist Ihr nachweisbarer Schutz.
Sie verstehen Cyberrisiken in Ihrem Branchenkontext – ohne technisches Detailwissen. Sie delegieren gezielter, priorisieren besser und handeln in Krisenlagen souveräner.
Cyberangriffe kosten Mittelständler im Schnitt mehrere hunderttausend Euro. Gut informierte Führungsteams reagieren schneller, minimieren Ausfallzeiten und reduzieren den Schaden.
NIS-2-Konformität wird zunehmend von Lieferanten, Kunden und Behörden nachgefragt. Ihre nachgewiesene Schulung stärkt Ihre Position in der Lieferkette und bei Ausschreibungen.
Unsere Schulung richtet sich an Entscheider, nicht an IT-Fachleute. Strategisch, praxisnah, in Ihrer Sprache – ohne IT-Jargon. Ideal für die gesamte Führungsmannschaft.
Von der ersten Kontaktaufnahme bis zum Zertifikat – ein strukturierter, schlanker Prozess, der Ihren Zeitplan respektiert.
Wir erfassen Ihre Branche, Unternehmensgröße und den Wissenstand Ihrer Führungsmannschaft. Gemeinsam klären wir Ihren konkreten Bedarf.
Wir entwickeln einen Ablaufplan, der Ihre Sektornormen, typischen Bedrohungsszenarien und spezifischen Pflichten berücksichtigt.
Interaktive Live-Schulung für Ihre Geschäftsleitung – Umfang bedarfsgerecht (typisch ca. 4 Stunden je Termin). Mit den vom BSI empfohlenen Formaten: Planspiele, Tabletop- und Audit-Simulationen, Szenarien und Case-Studies aus Ihrer Branche – ohne IT-Fachjargon.
Sie erhalten eine BSI-konforme Dokumentation – mit Anbieter, Teilnehmenden (Name, Funktion), Datum und Dauer sowie Inhalten mit Bezug zu § 38 Abs. 3 BSIG – plus Teilnahmezertifikat für Ihr Compliance-Archiv. Bereit für Aufsichtsmaßnahmen nach §§ 61/62 BSIG. (Eine Prüfung der Teilnehmenden ist gesetzlich nicht erforderlich.)
Geleitet von Gordon Mühl – Geschäftsführer und ISO-19011-zertifizierter Auditor mit über 30 Jahren Erfahrung – sind wir ein unabhängiges Cybersicherheitsberatungsunternehmen mit nachgewiesener Erfahrung in kritischen Infrastrukturen, regulierten Sektoren und Führungskräfteberatung.
Unsere Schulungen richten sich nicht an IT-Abteilungen – sie richten sich an Sie als Entscheider. Strategisch, praxisnah, ohne Fachjargon. Das BSI hebt den Wert unabhängiger externer Expertise ausdrücklich hervor, um interne blinde Flecken zu vermeiden.
Mehr über uns → muehlcyberconsulting.comDie wichtigsten Fragen zur Schulungspflicht der Geschäftsleitung nach § 38 Abs. 3 BSIG – auf Basis der BSI-Handreichung „Schulung für Geschäftsleitungen", Version 1.0 (April 2026).
Das BSIG schreibt kein festes Intervall und keine Mindestdauer vor – es spricht nur von „regelmäßig". Das BSI empfiehlt, Intervall und Umfang risikobasiert zu wählen: nach der Risikoexposition des Unternehmens und den Vorkenntnissen der Leitung. Empfohlen wird eine ausführliche Erstschulung mit regelmäßigen Folgeschulungen – insbesondere bei Wechseln in der Geschäftsleitung oder wesentlichen Änderungen von Geschäftsprozessen, Risikolage oder Maßnahmen.
Nein. Das BSI verlangt sektor- und einrichtungsspezifische Inhalte. Eine Schulung, die nur Risikomanagementmaßnahmen behandelt, fällt hinter die gesetzlichen Anforderungen zurück und würde in einer Aufsichtsmaßnahme als nicht ausreichend bewertet. Pflicht sind alle drei verknüpften Kompetenzbereiche: Erkennung und Bewertung von Risiken, Risikomanagementmaßnahmen sowie die Beurteilung ihrer Auswirkungen.
Alle Personen der Geschäftsleitung im Sinne von § 2 Nr. 13 BSIG – also Personen, die zur Führung und Vertretung der Einrichtung berufen sind. In den meisten Unternehmen betrifft das mehrere Personen. Die Pflicht ist nicht delegierbar. Das BSI empfiehlt, zusätzlich zuarbeitende Personen und weitere Entscheidungsträger einzubeziehen.
Eine aussagekräftige Dokumentation enthält mindestens: Angaben zum Schulungsanbieter, zu den Teilnehmenden (Name, Rolle/Funktion), Datum/Uhrzeit/Dauer sowie die behandelten Inhalte mit Bezug zu § 38 Abs. 3 BSIG. Sie ist intern aufzubewahren und auf Verlangen dem BSI bzw. den unabhängigen Stellen nach §§ 61/62 BSIG vorzulegen. Eine Prüfung der Teilnehmenden ist weder gesetzlich noch durch das BSI vorgeschrieben.
Neben den drei Kernkompetenzen die zehn Risikomanagementmaßnahmen nach § 30 Abs. 2 BSIG – u. a. Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backup & Wiederherstellung, Sicherheit der Lieferkette, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung – sowie sektorspezifische Vorgaben (z. B. B3S, ISO 27001/27005). Wir bereiten Ihre Leitung gezielt auf die „Leitfragen" der BSI-Handreichung vor.
Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen) bzw. bis zu 7 Mio. € oder 1,4 % (wichtige Einrichtungen). Hinzu kommt die persönliche gesellschaftsrechtliche Haftung der Geschäftsleitung für schuldhaft verursachte Schäden; ein Haftungsverzicht durch das Unternehmen ist gesetzlich ausgeschlossen.
Gesetzlich nein. Das BSI empfiehlt die Schulung jedoch ausdrücklich auch freiwillig für nicht-regulierte Unternehmen – um Steuerungsfähigkeit, Risikominimierung, Transparenz und Wettbewerbsfähigkeit zu stärken. Die empfohlenen Inhalte gelten für alle Einrichtungen gleichermaßen.
Füllen Sie das Formular aus. Wir melden uns binnen 24 Stunden und beantworten Ihre Fragen unverbindlich.
Ihre Anfrage ist bei uns eingegangen. Wir melden uns binnen 24 Stunden bei Ihnen.