Zum Inhalt springen

NIS-2 Geschäftsleitungsschulung · Gesetzlich verpflichtend

Ihre NIS-2-Schulungspflicht –
rechtskonform, branchenspezifisch, zertifiziert.

§ 38 Abs. 3 BSIG verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen zur regelmäßigen Cybersicherheitsschulung. Wir liefern genau das – maßgeschneidert auf Ihre Branche und Ihr Unternehmen.

Basiert auf BSI-Handreichung Version 1.0 (April 2026)
Sektorspezifisch – kein Einheitsprodukt
Zertifikat für Ihre Compliance-Dokumentation
Kein technisches Vorwissen erforderlich

Schulung anfragen

Kostenloses Erstgespräch. Wir melden uns binnen 24 Stunden.

Vielen Dank!

Ihre Anfrage ist bei uns eingegangen. Wir melden uns binnen 24 Stunden bei Ihnen.

Oder direkt per E-Mail: nis2@muehlcyberconsulting.com

§ 38 Abs. 3 BSIG: Cybersicherheitsschulung ist Pflicht – kein Ermessen.

Mit dem NIS-2-Umsetzungsgesetz (NIS-2UmsuG), in Kraft seit Dezember 2025, trägt die Geschäftsleitung persönlich die Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen – und muss dazu nachweislich geschult werden.

Wer ist betroffen?

Rund 30.000 Unternehmen in 18 Sektoren – von Energie und Gesundheit über Lebensmittel und verarbeitendes Gewerbe bis zu digitalen Diensten. Betroffen sind besonders wichtige Einrichtungen (ab 250 Mitarbeiter oder über 50 Mio. € Jahresumsatz) und wichtige Einrichtungen (ab 50 Mitarbeiter oder über 10 Mio. € Jahresumsatz).

Was wird verlangt?

Die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen. Ein festes Intervall oder eine Mindestdauer schreibt das BSIG nicht vor – beides ist risikobasiert zu wählen. Das BSI empfiehlt eine ausführliche Erstschulung mit regelmäßigen Folgeschulungen, etwa bei Wechseln in der Geschäftsleitung oder wesentlichen Änderungen von Geschäftsprozessen, Risikolage oder Maßnahmen. Die Pflicht ist nicht delegierbar und trifft in der Regel mehrere Personen der Geschäftsleitung persönlich. Die Schulung muss sektorspezifisch sein.

Was droht bei Nichterfüllung?

Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen) bzw. bis zu 7 Mio. € oder 1,4 % (wichtige Einrichtungen). Dazu kommt die persönliche gesellschaftsrechtliche Haftung der Geschäftsleitung – ein Verzicht durch das Unternehmen ist gesetzlich ausgeschlossen.

10 Mio. €
Maximales Bußgeld
oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen)
7 Mio. €
Maximales Bußgeld
oder 1,4 % des weltweiten Jahresumsatzes (wichtige Einrichtungen)
Das BSI hat seine Handreichung im April 2026 in der finalen Version 1.0 aktualisiert (Erstfassung 09/2025). Sie ist rechtlich nicht verpflichtend, definiert aber das maßgebliche Verständnis des BSI, was eine konforme Schulung leisten muss. Basis: drei miteinander verknüpfte Kompetenzbereiche – Risikoerkennung, Risikomanagementmaßnahmen und Auswirkungsbeurteilung. Ein Fokus allein auf Maßnahmen gilt dem BSI als nicht ausreichend. Schulungen müssen „angemessen, aktuell und sektorspezifisch" sein.

Stand: Juni 2026 · Quelle: BSI-Handreichung „Schulung für Geschäftsleitungen", Version 1.0 (April 2026) Zur BSI-Handreichung →

Eine Einheitslösung erfüllt die gesetzliche Anforderung nicht.

Das BSI schreibt es explizit: Schulungsinhalte müssen „angemessen, aktuell und sektorspezifisch" sein. Ein allgemeines Online-Training für alle Branchen ist rechtlich nicht ausreichend.

Generische Online-Schulung MuehlCyberConsulting-Schulung
Allgemeine Cybersicherheitsthemen Branchenspezifische Bedrohungsszenarien
Kein Bezug zu Ihrer Risikoexposition Analyse Ihrer konkreten Unternehmenssituation
Kein Sektorbezug (B3S, ISO-Sektornorm) Einbezug branchenspezifischer Normen und Vorgaben
Compliance-Nachweis rechtlich fraglich Dokumentierte Schulung nach BSI-Handreichung
Kein persönlicher Ansprechpartner Erfahrener Berater, über 30 Jahre Praxiserfahrung
Rein interne Sicht – Gefahr struktureller Erkenntnisdefizite Unabhängige externe Expertise – vom BSI ausdrücklich empfohlen
IT-Fachsprache, schwer zugänglich Managementsprache, verständlich und praxisnah
Nur wenn die Schulung auf Ihre Branche, Ihre spezifischen Risiken und Ihre regulatorischen Rahmenbedingungen eingeht, kann Ihre Geschäftsleitung fundierte Entscheidungen treffen – und die gesetzliche Pflicht gilt als erfüllt.

Mehr als Compliance – strategische Sicherheit für Ihr Unternehmen.

Die NIS-2-Schulung bringt Ihrer Führungsmannschaft konkreten Mehrwert – weit über die Erfüllung einer gesetzlichen Pflicht hinaus.

Rechtliche Sicherheit

Sie erfüllen § 38 Abs. 3 BSIG nachweislich. Ihr Schulungszertifikat ist revisionssicher dokumentiert – für Behörden, Wirtschaftsprüfer und Versicherer.

Persönliche Haftungsvermeidung

Als Geschäftsführerin oder Geschäftsführer schützen Sie sich vor persönlicher gesellschaftsrechtlicher Haftung. Die Teilnahme an der Schulung ist Ihr nachweisbarer Schutz.

Fundierte Risikoentscheidungen

Sie verstehen Cyberrisiken in Ihrem Branchenkontext – ohne technisches Detailwissen. Sie delegieren gezielter, priorisieren besser und handeln in Krisenlagen souveräner.

Schutz vor Betriebsunterbrechungen

Cyberangriffe kosten Mittelständler im Schnitt mehrere hunderttausend Euro. Gut informierte Führungsteams reagieren schneller, minimieren Ausfallzeiten und reduzieren den Schaden.

Vertrauen bei Kunden und Partnern

NIS-2-Konformität wird zunehmend von Lieferanten, Kunden und Behörden nachgefragt. Ihre nachgewiesene Schulung stärkt Ihre Position in der Lieferkette und bei Ausschreibungen.

Kein technisches Vorwissen nötig

Unsere Schulung richtet sich an Entscheider, nicht an IT-Fachleute. Strategisch, praxisnah, in Ihrer Sprache – ohne IT-Jargon. Ideal für die gesamte Führungsmannschaft.

Maßgeschneidert in vier Schritten.

Von der ersten Kontaktaufnahme bis zum Zertifikat – ein strukturierter, schlanker Prozess, der Ihren Zeitplan respektiert.

Kostenlos & unverbindlich

Erstgespräch

Wir erfassen Ihre Branche, Unternehmensgröße und den Wissenstand Ihrer Führungsmannschaft. Gemeinsam klären wir Ihren konkreten Bedarf.

Individuell

Inhaltliche Vorbereitung

Wir entwickeln einen Ablaufplan, der Ihre Sektornormen, typischen Bedrohungsszenarien und spezifischen Pflichten berücksichtigt.

Vor Ort oder Remote

Schulungsdurchführung

Interaktive Live-Schulung für Ihre Geschäftsleitung – Umfang bedarfsgerecht (typisch ca. 4 Stunden je Termin). Mit den vom BSI empfohlenen Formaten: Planspiele, Tabletop- und Audit-Simulationen, Szenarien und Case-Studies aus Ihrer Branche – ohne IT-Fachjargon.

Revisionssicher

Zertifikat & Dokumentation

Sie erhalten eine BSI-konforme Dokumentation – mit Anbieter, Teilnehmenden (Name, Funktion), Datum und Dauer sowie Inhalten mit Bezug zu § 38 Abs. 3 BSIG – plus Teilnahmezertifikat für Ihr Compliance-Archiv. Bereit für Aufsichtsmaßnahmen nach §§ 61/62 BSIG. (Eine Prüfung der Teilnehmenden ist gesetzlich nicht erforderlich.)

MuehlCyberConsulting – Cybersicherheit mit Erfahrung.

Geleitet von Gordon Mühl – Geschäftsführer und ISO-19011-zertifizierter Auditor mit über 30 Jahren Erfahrung – sind wir ein unabhängiges Cybersicherheitsberatungsunternehmen mit nachgewiesener Erfahrung in kritischen Infrastrukturen, regulierten Sektoren und Führungskräfteberatung.

Unsere Schulungen richten sich nicht an IT-Abteilungen – sie richten sich an Sie als Entscheider. Strategisch, praxisnah, ohne Fachjargon. Das BSI hebt den Wert unabhängiger externer Expertise ausdrücklich hervor, um interne blinde Flecken zu vermeiden.

Mehr über uns → muehlcyberconsulting.com
30+
Jahre Erfahrung in Cybersicherheit
18
NIS-2-Sektoren abgedeckt
DE/EN
Schulungen auf Deutsch und Englisch
100%
Unabhängige Beratung, kein Produktverkauf

NIS-2-Schulungspflicht: Antworten auf einen Blick.

Die wichtigsten Fragen zur Schulungspflicht der Geschäftsleitung nach § 38 Abs. 3 BSIG – auf Basis der BSI-Handreichung „Schulung für Geschäftsleitungen", Version 1.0 (April 2026).

Wie oft und wie lange muss die Geschäftsleitung geschult werden?

Das BSIG schreibt kein festes Intervall und keine Mindestdauer vor – es spricht nur von „regelmäßig". Das BSI empfiehlt, Intervall und Umfang risikobasiert zu wählen: nach der Risikoexposition des Unternehmens und den Vorkenntnissen der Leitung. Empfohlen wird eine ausführliche Erstschulung mit regelmäßigen Folgeschulungen – insbesondere bei Wechseln in der Geschäftsleitung oder wesentlichen Änderungen von Geschäftsprozessen, Risikolage oder Maßnahmen.

Reicht ein allgemeiner Online-Kurs für alle Branchen aus?

Nein. Das BSI verlangt sektor- und einrichtungsspezifische Inhalte. Eine Schulung, die nur Risikomanagementmaßnahmen behandelt, fällt hinter die gesetzlichen Anforderungen zurück und würde in einer Aufsichtsmaßnahme als nicht ausreichend bewertet. Pflicht sind alle drei verknüpften Kompetenzbereiche: Erkennung und Bewertung von Risiken, Risikomanagementmaßnahmen sowie die Beurteilung ihrer Auswirkungen.

Wer muss an der Schulung teilnehmen?

Alle Personen der Geschäftsleitung im Sinne von § 2 Nr. 13 BSIG – also Personen, die zur Führung und Vertretung der Einrichtung berufen sind. In den meisten Unternehmen betrifft das mehrere Personen. Die Pflicht ist nicht delegierbar. Das BSI empfiehlt, zusätzlich zuarbeitende Personen und weitere Entscheidungsträger einzubeziehen.

Was muss dokumentiert werden – und ist eine Prüfung nötig?

Eine aussagekräftige Dokumentation enthält mindestens: Angaben zum Schulungsanbieter, zu den Teilnehmenden (Name, Rolle/Funktion), Datum/Uhrzeit/Dauer sowie die behandelten Inhalte mit Bezug zu § 38 Abs. 3 BSIG. Sie ist intern aufzubewahren und auf Verlangen dem BSI bzw. den unabhängigen Stellen nach §§ 61/62 BSIG vorzulegen. Eine Prüfung der Teilnehmenden ist weder gesetzlich noch durch das BSI vorgeschrieben.

Welche Inhalte deckt die Schulung konkret ab?

Neben den drei Kernkompetenzen die zehn Risikomanagementmaßnahmen nach § 30 Abs. 2 BSIG – u. a. Risikoanalyse, Bewältigung von Sicherheitsvorfällen, Backup & Wiederherstellung, Sicherheit der Lieferkette, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung – sowie sektorspezifische Vorgaben (z. B. B3S, ISO 27001/27005). Wir bereiten Ihre Leitung gezielt auf die „Leitfragen" der BSI-Handreichung vor.

Was droht bei Nichterfüllung der Schulungspflicht?

Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (besonders wichtige Einrichtungen) bzw. bis zu 7 Mio. € oder 1,4 % (wichtige Einrichtungen). Hinzu kommt die persönliche gesellschaftsrechtliche Haftung der Geschäftsleitung für schuldhaft verursachte Schäden; ein Haftungsverzicht durch das Unternehmen ist gesetzlich ausgeschlossen.

Müssen auch nicht-regulierte Unternehmen ihre Leitung schulen?

Gesetzlich nein. Das BSI empfiehlt die Schulung jedoch ausdrücklich auch freiwillig für nicht-regulierte Unternehmen – um Steuerungsfähigkeit, Risikominimierung, Transparenz und Wettbewerbsfähigkeit zu stärken. Die empfohlenen Inhalte gelten für alle Einrichtungen gleichermaßen.

Schulung anfragen – kostenloses Erstgespräch.

Füllen Sie das Formular aus. Wir melden uns binnen 24 Stunden und beantworten Ihre Fragen unverbindlich.

Vielen Dank!

Ihre Anfrage ist bei uns eingegangen. Wir melden uns binnen 24 Stunden bei Ihnen.