NIS2-Gesetz, Deutschlands

NIS2-Gesetz: Deutschlands Unternehmen stehen vor Schulungspflicht

25.11.2025 - 22:59:12

NIS2-Gesetz: Deutschlands Unternehmen stehen vor Schulungspflicht - Foto: über boerse-global.de
NIS2-Gesetz: Deutschlands Unternehmen stehen vor Schulungspflicht - Foto: über boerse-global.de

Nach fast einem Jahr politischer Blockade hat der Bundestag am 13. November 2025 das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verabschiedet. Was folgt, ist keine sanfte Übergangsphase: Experten warnen, dass Tausende deutsche Firmen ihre Belegschaft – vom Vorstand bis zum Praktikanten – noch vor dem Jahreswechsel schulen müssen. Wer zögert, riskiert persönliche Haftung und Millionenbußen.

Das Gesetz durchlief den Bundestag nach monatelanger Verzögerung, die auf den Zerfall der Ampel-Koalition Ende 2024 zurückging. Nun liegt es beim Bundesrat, dessen Zustimmung für Ende 2025 oder Januar 2026 erwartet wird. Die Botschaft von Rechtsberatern und Cybersecurity-Spezialisten ist klar: Die Ausrede „rechtliche Unsicherheit” zieht nicht mehr. Compliance-Projekte, die auf Eis lagen, müssen jetzt im Eiltempo umgesetzt werden.

Deutschland hat die ursprüngliche EU-Frist zur Umsetzung der NIS2-Richtlinie – 17. Oktober 2024 – um über ein Jahr gerissen. Doch mit der Verabschiedung durch den Bundestag beginnt eine neue Ära der Durchsetzung, die etwa 29.500 Unternehmen bundesweit betrifft: von Energieversorgern über Lebensmittelproduzenten bis hin zu mittelständischen Fertigungsbetrieben.

Anzeige

Passend zum Thema IT-Sicherheit: Viele Unternehmen stehen jetzt unter erheblichem Zeitdruck, Vorstände und Mitarbeiter lückenlos zu schulen und Nachweise zu dokumentieren – sonst drohen persönliche Haftung und empfindliche Sanktionen. Das kostenlose E‑Book „Cyber Security Awareness Trends” fasst praxisnah zusammen, welche Schulungsinhalte NIS2 fordert, wie Sie in wenigen Wochen wirksame Awareness-Programme inklusive Phishing-Tests und Reporting-Prozessen aufbauen und welche Dokumentationsvorlagen BSI-Prüfungen standhalten. Jetzt kostenlosen Cybersecurity-Guide herunterladen

Der härteste Schnitt trifft die Vorstandsetagen. Anders als bei bisherigen Regelungen, wo IT-Abteilungen die Verantwortung trugen, nimmt das NIS2-Gesetz gezielt die Unternehmensleitung in die Pflicht.

Nach § 30 des BSI-Gesetzes müssen Geschäftsführer und Vorstände regelmäßig selbst an Cybersecurity-Schulungen teilnehmen. Sie dürfen diese Pflicht nicht delegieren – weder an den CISO noch an die IT-Leitung. Der Cybersecurity-Anbieter G DATA formulierte es im November 2025 unmissverständlich: „Das Management kann nicht mehr sagen: ‚Dafür habe ich einen CISO’.”

Kommt es zu einem Cybervorfall und lässt sich nachweisen, dass die Geschäftsführung keine Schulungen absolviert oder notwendige Sicherheitsmaßnahmen nicht genehmigt hat, droht persönliche Haftung. Diese direkte Verknüpfung zwischen Weiterbildung und Haftungsschutz markiert einen Paradigmenwechsel in der deutschen Unternehmensführung.

Doppelte Schulungslast: NIS2 trifft auf DSGVO

Für die gesamte Belegschaft entsteht durch das neue Gesetz ein Doppelmandat, das sich mit bestehenden DSGVO-Pflichten überschneidet – aber nicht deckt.

  • DSGVO: Fokus auf Datenschutz. Mitarbeiter müssen lernen, wie personenbezogene Daten verarbeitet, Einwilligungen verwaltet und Betroffenenanfragen beantwortet werden (Art. 39 DSGVO).
  • NIS2: Fokus auf IT-Sicherheit. Das Gesetz verlangt „Cyber-Hygiene”-Schulungen: Phishing-Erkennung, Passwort-Sicherheit, Geräteverwaltung und Meldepflichten bei Vorfällen.

Die Münchner Compliance-Firma IITR Datenschutz betonte am 25. November 2025: „Unternehmen müssen beide Ströme integrieren. Eine reine Datenschutz-Schulung erfüllt nicht die NIS2-Anforderungen, ein technisches Security-Briefing ignoriert oft die DSGVO.”

Die Herausforderung verschärft sich durch die Dokumentationspflicht. Firmen müssen nachweisen können, dass ein bestimmter Prozentsatz ihrer Mitarbeiter die Sicherheitsschulungen absolviert hat. Vage Zusicherungen werden einer BSI-Prüfung nicht standhalten, warnt IITR.

Keine Schonfrist: Sofortige Umsetzung gefordert

Was viele Unternehmen überrascht: Es gibt keine Übergangsfrist. Die Analyse von G DATA stellt klar, dass nach Veröffentlichung im Bundesgesetzblatt die Uhr tickt.

Während die Bundesregierung bei komplexen technischen Implementierungen in den ersten Monaten 2026 möglicherweise Nachsicht zeigt, gilt das nicht für organisatorische Maßnahmen. Schulungen und Risikomanagement-Strukturen müssen sofort stehen.

Besonders der Mittelstand steht vor logistischen Hürden. Abfallwirtschaft, Lebensmittelproduktion, Fertigung – Sektoren, die bislang nicht zur kritischen Infrastruktur zählten, fallen nun unter die Regulierung. Für viele dieser Firmen bedeutet die Forderung nach einem dokumentierten, verifizierbaren Schulungsprogramm innerhalb weniger Wochen einen organisatorischen Kraftakt.

Das Bundesamt übernimmt: BSI erhält Durchgriffsmacht

Mit Inkrafttreten des Gesetzes bekommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Aufsichtsbefugnisse. Die Behörde kann Stichprobenprüfungen durchführen und nicht-konformen Unternehmen verbindliche Anweisungen erteilen.

Die Meldepflichten verschärfen sich drastisch: Bei einem Sicherheitsvorfall muss eine Frühwarnung innerhalb von 24 Stunden an das BSI gehen. Detaillierte Berichte folgen innerhalb von 72 Stunden. Wer diese Fristen verpasst oder falsche Angaben macht, muss mit empfindlichen Sanktionen rechnen.

Rechtsanwälte von Rödl & Partner empfahlen am 19. November, dass Unternehmen ihre Vorfallreaktionspläne bis Jahresende überarbeiten müssen. Jeder Mitarbeiter muss wissen, wen er im Ernstfall kontaktiert – ein Wissen, das nur durch systematische Schulungen vermittelt werden kann.

Was Unternehmen jetzt tun müssen

Experten raten zu drei Sofortmaßnahmen vor dem Jahreswechsel:

  1. Schulungsnachweise prüfen: Decken bestehende Protokolle sowohl DSGVO (Datenschutz) als auch NIS2 (IT-Sicherheit) ab?
  2. Führungskräfte-Workshops buchen: Verpflichtende Cybersecurity-Sitzungen für Vorstände und Geschäftsführer einplanen, um Haftungsrisiken zu minimieren.
  3. Notfallpläne aktualisieren: Sicherstellen, dass alle Beschäftigten die strengen Meldefristen kennen und umsetzen können.

Die Botschaft ist unmissverständlich: Ein Unternehmen ist nur so sicher wie sein am schlechtesten geschulter Mitarbeiter. Das NIS2-Gesetz kodifiziert endlich, was Sicherheitsexperten seit Jahren predigen – jetzt mit dem vollen Gewicht des Bundesrechts dahinter.

Für deutsche Firmen wird 2026 zum Jahr der „menschlichen Firewall”. Wer jetzt handelt, schützt nicht nur Daten und Systeme, sondern auch die persönliche Freiheit seiner Geschäftsführung.

Anzeige

Übrigens: Gerade Vorstände und Geschäftsführer müssen jetzt schnell nachweisen können, dass sie an verpflichtenden Cybersecurity-Schulungen teilgenommen haben – andernfalls drohen persönliche Haftungsrisiken (§30 BSI-Gesetz) und Sanktionen. Das Gratis‑E‑Book „Cyber Security Awareness Trends” liefert eine sofort einsetzbare Umsetzungs-Checkliste, fertige Bausteine für Management-Workshops, Vorfall-Reporting-Vorlagen (24/72‑Stunden) und Hinweise für die lückenlose Dokumentation. Ideal für Mittelstand und Industry-Teams, die jetzt handeln müssen. Gratis Cyber-Awareness-Paket anfordern

@ boerse-global.de
Die besten Black Friday Angebote für