NIS-2 Schulungen: Lerne die NIS-2 Anforderungen sicher umzusetzen

NIS-2 steht für die zweite Regelung des Themas „Network and Information Security“.

Sie ist die zentrale EU-Regelung für Cybersicherheit von Unternehmen in besonders wichtigen und wichtigen Sektoren.

Sie bildet den europäischen Rechtsrahmen, um ein einheitlich hohes Cybersicherheitsniveau in allen Mitgliedstaaten sicherzustellen.

Die NIS-2-Richtlinie ist der rechtliche Rahmen der Europäischen Union für Netz- und Informationssicherheit. Sie legt fest, welche Unternehmen als besonders wichtige oder wichtige Einrichtungen gelten und welche verbindlichen Anforderungen diese erfüllen müssen. Die EU-Richtlinie wird durch nationale Gesetze umgesetzt.

Für betroffene Unternehmen bedeutet NIS-2 konkret, dass Informationssicherheit systematisch gesteuert werden muss. Gefordert sind angemessene technische und organisatorische Maßnahmen, ein strukturiertes Risikomanagement sowie klare Melde- und Handlungspflichten bei Sicherheitsvorfällen. Zudem wird die Geschäftsleitung ausdrücklich in die Verantwortung genommen, die Umsetzung zu überwachen und sich mit den eigenen Pflichten vertraut zu machen.
Das behandeln wir in unserer NIS-2-Schulung für Führungskräfte.

Ob dein Unternehmen unter die Richtlinie fällt, hängt insbesondere von Branche, Größe und Bedeutung für die Versorgungssicherheit ab.

Wenn du Sicherheitsvorfälle nach NIS-2 an die zuständigen Behörden meldest, können diese Behörden bedrohende Risiken frühzeitig erkennen.

Durch eine frühzeitige Erkennung können koordinierte Gegenmaßnahmen eingeleitet werden.

Das Hauptziel ist es, Schäden in Grenzen zu halten, andere Organisationen zu warnen und die Stabilität kritischer Dienstleistungen sicherzustellen.

ISO 27001 ist ein internationaler Standard, der dir zeigt, wie du Informationssicherheit in deinem Unternehmen strukturiert und nachhaltig aufbaust. Er unterstützt dich dabei, Risiken frühzeitig zu erkennen, klare Prozesse festzulegen und geeignete Sicherheitsmaßnahmen umzusetzen. Die Anwendung von ISO 27001 ist jedoch freiwillig. Die Zertifizierung hilft dir aber dabei, dein Sicherheitsniveau nach außen nachzuweisen.

Die NIS-2-Richtlinie auf der anderen Seite ist eine rechtliche Verpflichtung, keine Empfehlung.

Wenn deine Organisation davon betroffen ist, musst du bestimmte Anforderungen erfüllen. Neben technischen Maßnahmen und klaren Verantwortlichkeiten im Management gibt es auch feste Meldepflichten bei Sicherheitsvorfällen. Um NIS-2 umzusetzen, muss deine Organisation sich an die behördlichen Vorgaben halten. Bei Verstößen müsst ihr mit Sanktionen rechnen.

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) ist die Weiterentwicklung der ursprünglichen NIS-Richtlinie (Richtlinie (EU) 2016/1148) – und ersetzt diese vollständig.

Mit NIS-2 wurde der Rechtsrahmen deutlich verschärft und erweitert. NIS-2 bezieht mehr Unternehmen mit ein, stellt strengere Anforderungen an Risikomanagement und Lieferkettensicherheit, führt verbindliche Meldefristen ein, konkretisiert die Verantwortung der Geschäftsleitung und sieht höhere Bußgelder vor.

Man könnte meinen, beides regelt „IT-Sicherheit“. Aber tatsächlich verfolgen DSGVO und NIS-2 unterschiedliche Ziele und für dich bedeutet das auch unterschiedliche Pflichten.

Die DSGVO schützt personenbezogene Daten und damit die Rechte natürlicher Personen. Für dich heißt das: Es geht darum, wie du Daten verarbeitest und wie du Betroffene schützt (vgl. Art. 1 und Art. 2 DSGVO).

Die NIS-2-Richtlinie hingegen zielt auf ein hohes Cybersicherheitsniveau in der EU ab. Im Mittelpunkt für dich steht hier die Sicherheit von IT-Systemen, Netzwerken und die Stabilität wichtiger und kritischer Dienstleistungen (vgl. Art. 1 Richtlinie (EU) 2022/2555).

Vereinfacht gesagt:
Die DSGVO schützt Daten.
NIS-2 schützt Strukturen und Systeme.

Berührungspunkte gibt es trotzdem. Kommt es etwa zu einem Cyberangriff mit Datenabfluss, können für dich sowohl DSGVO- als auch NIS-2-Meldepflichten greifen.

NIS-2 ersetzt also nicht die DSGVO – sie ergänzt sie auf einer anderen Ebene.

Ja – wenn dein Unternehmen unter NIS fällt, sind Schulungen kein „Nice-to-have“, sondern Teil der gesetzlichen Anforderungen.

Das BSI-Gesetz (BSIG) verpflichtet betroffene Unternehmen nach § 30 Abs. 2 Nr. 7 BSIG dazu, angemessene Maßnahmen zur Sensibilisierung und Schulung umzusetzen. Dazu gehört insbesondere, Mitarbeitende regelmäßig für Cybersicherheit zu sensibilisieren.

Das bedeutet konkret:

• Regelmäßige Awareness-Maßnahmen
• Schulungen zu IT-Sicherheitsrisiken
• Vermittlung klarer Meldewege bei Vorfällen

Ziel ist es, Sicherheitsrisiken frühzeitig zu erkennen und Vorfälle strukturiert zu melden.

Für die Führungskräfte geht es um Verantwortung, Haftungsfragen und strategische Steuerung im Rahmen von NIS-2.

Für Mitarbeitende – ob als NIS-2-Koordinator oder Security Expert – vermitteln wir das operative und fachliche Know-how, das du für die praktische Umsetzung im Alltag brauchst.

Heißt für dich: Du bekommst genau das Wissen, das du für eine saubere und rechtskonforme Umsetzung brauchst. Praxisnah, verständlich und direkt anwendbar.

Ja, es besteht eine Schulungspflicht für die Geschäftsleitung.

Kurz gesagt: Awareness für alle – zusätzliche Verantwortungsschulung für die Leitungsebene.

Nach § 38 Abs. 3 BSIG besteht eine gesonderte Schulungspflicht für die Geschäftsleitung.

Geschäftsleitungen müssen sich aktiv mit ihren Pflichten im Bereich Informationssicherheit auseinandersetzen.

Geschäftsleitungen müssen dementsprechend insbesondere:

• ihre Pflichten im Bereich Informationssicherheit kennen

• Risiken verstehen und bewerten können

• die Umsetzung der Sicherheitsmaßnahmen überwachen

Warum ist das so wichtig?

Weil die Geschäftsleitung laut Gesetz die Verantwortung trägt – inklusive möglicher Haftung.

Eine allgemeine Mitarbeiterschulung reicht für Geschäftsleitungen nicht aus. Für diese Anforderungen bieten wir eine separate NIS-2-Schulung für Führungskräfte an.

Ob dein Unternehmen von der NIS-2-Richtlinie betroffen ist, hängt von mehreren gesetzlichen Kriterien ab. Entscheidend ist nicht nur eure Unternehmensgröße, sondern eine Kombination aus Branche, wirtschaftlichen Kennzahlen und der Art eurer erbrachten Dienstleistungen.

Eine Rolle spielen unter anderem:

• Anzahl der Mitarbeitenden
• Jahresumsatz
• Jahresbilanzsumme
• Angebotene Waren bzw. Dienstleistungen

Die betroffenen Sektoren sind im BSI-Gesetz (Anlage 1 und Anlage 2 BSIG) ausdrücklich aufgeführt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt dafür eine Betroffenheitsprüfung bereit:
https://www.bsi.bund.de/dok/nis-2-betroffenheitspruefung

Damit kannst du eine erste Einschätzung vornehmen.

Wichtig: Es gibt keine automatische Benachrichtigung durch das BSI. Die Verantwortung für die Prüfung liegt immer bei der Organisation selbst.

Die hier dargestellten Informationen dienen der Orientierung und stellen keine Rechtsberatung dar.

NIS-2 teilt betroffene Unternehmen in zwei Kategorien ein: besonders wichtige Einrichtungen und wichtige Einrichtungen. Der Unterschied liegt vor allem darin, wie kritisch dein Unternehmen für Staat, Wirtschaft und Versorgungssicherheit eingestuft wird.

Besonders wichtige Einrichtungen sind systemrelevant. Fällt hier etwas aus, kann das spürbare Auswirkungen auf Gesellschaft oder Wirtschaft haben. Entsprechend ist mit einer strengeren und regelmäßigeren behördlichen Aufsicht zu rechnen.

Wichtige Einrichtungen sind ebenfalls reguliert, gelten aber als weniger kritisch. Hier erfolgt die Aufsicht meist anlassbezogen, zum Beispiel nach einem Vorfall.

Wichtig für dich: Die grundlegenden Pflichten wie Risikomanagement, Meldepflichten und Registrierung gelten für beide Kategorien. Der Unterschied liegt vor allem in der Einstufung und der Intensität der Kontrolle.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt dafür eine Betroffenheitsprüfung bereit:
https://www.bsi.bund.de/dok/nis-2-betroffenheitspruefung

Damit kannst du eine erste Einschätzung vornehmen.

Ja, die NIS-2-Richtlinie kann auch kleine und mittlere Unternehmen (KMU) betreffen. Entscheidend ist nicht allein die Unternehmensgröße, sondern ob das Unternehmen in einem entsprechenden Sektor tätig ist oder relevante Dienstleistungen für die Versorgungssicherheit erbringt. 

KMU können unter NIS-2 fallen, wenn sie: 

• in einem besonders wichtigen oder wichtigen Sektor tätig sind 

• kritische oder besonders wichtige Dienstleistungen erbringen 

• Teil einer sensiblen oder sicherheitsrelevanten Lieferkette sind 

NIS-2 gilt in Deutschland seit dem 6. Dezember 2025.

Die EU-Vorgaben wurden unter anderem durch eine Anpassung des BSI-Gesetzes (BSIG) ins deutsche Recht überführt. Seitdem sind die Anforderungen für betroffene Unternehmen verbindlich.

Heißt konkret für dich: Wenn dein Unternehmen unter NIS-2 fällt, besteht seit Dezember 2025 Handlungs- und Umsetzungspflicht.

Falls Maßnahmen noch nicht vollständig umgesetzt sind, solltest du spätestens jetzt prüfen:

• Sind Verantwortlichkeiten klar geregelt?
• Sind Schulungen erfolgt?
• Sind Meldeprozesse definiert?
• Sind technische Schutzmaßnahmen dokumentiert?

2026 ist kein Übergangsjahr mehr. Es ist Umsetzungsrealität.

Verstöße gegen NIS-2 können empfindliche Bußgelder nach sich ziehen. Die Bußgeldvorschriften sind in § 65 BSIG geregelt.

Je nach Einstufung deines Unternehmens wird zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen unterschieden.

Zusätzlich können Aufsichtsmaßnahmen folgen – etwa verbindliche Anordnungen, intensivere Prüfungen oder konkrete Umsetzungsauflagen.

Unterm Strich: NIS-2 ist kein „Formalitätsthema“, sondern kann finanziell und organisatorisch deutlich spürbar werden.

§ 38 Abs. 2 BSIG definiert Haftungsregeln für Geschäftsleitungen.

Die Verantwortung liegt bei der Geschäftsleitung.

§ 38 Abs. 2 BSIG stellt klar: Geschäftsleitungen sind dafür verantwortlich, dass die gesetzlichen Anforderungen zur Informationssicherheit umgesetzt werden. Dazu gehört insbesondere die Einführung, Überwachung und Weiterentwicklung geeigneter Sicherheitsmaßnahmen.

Das bedeutet:

• Die Geschäftsleitung muss ihre Pflichten kennen.
• Sie muss geeignete Sicherheitsmaßnahmen auf den Weg bringen.
• Sie muss deren Umsetzung kontrollieren.

NIS-2 ist damit nicht nur ein IT-Thema, sondern ein klarer Managementauftrag.

Genau deshalb bieten wir eine spezielle
NIS-2-Schulung für Führungskräfte
an – mit dem Ziel, Geschäftsleitungen in die Lage zu versetzen, ihre Organisations- und Überwachungspflichten rechtssicher wahrzunehmen und Bußgeld- sowie Haftungsrisiken durch strukturierte Umsetzung wirksam zu minimieren.

NIS-2 schreibt dir kein bestimmtes Auditformat vor. Aber: Du musst nachweisen können, dass deine Sicherheitsmaßnahmen wirksam funktionieren.

• § 30 Abs. 2 Nr. 6 BSIG verlangt Konzepte und Verfahren zur Bewertung der Wirksamkeit deiner Risikomanagementmaßnahmen. In der Praxis kann das zum Beispiel ein internes Audit, ein externes Audit oder eine andere strukturierte Wirksamkeitsprüfung sein.

Zusätzlich wichtig:

• Überwachung durch die Geschäftsleitung: § 38 Abs. 1 BSIG verpflichtet die Leitungsebene, die Umsetzung der Maßnahmen aktiv zu überwachen.
• Lieferkette: Kunden oder Geschäftspartner können eigene Prüf- oder Nachweisanforderungen stellen.

Heißt konkret: Es geht nicht um ein Pflicht-Zertifikat. Es geht darum, regelmäßig zu prüfen und belegen zu können, dass deine Sicherheitsmaßnahmen wirksam sind.

NIS-2 ist damit weniger „Formularpflicht“ und mehr eine kontinuierliche Kontrollaufgabe.

NIS-2 verpflichtet die Geschäftsführung, sich regelmäßig mit ihren gesetzlichen Pflichten im Bereich Informationssicherheit auseinanderzusetzen und entsprechende Schulungen wahrzunehmen.

• § 38 BSIG beschreibt die Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen betroffener Einrichtungen. Das bedeutet: Die Leitungsebene muss aktiv sicherstellen, dass die Anforderungen an Informationssicherheit eingehalten werden.

Konkret heißt das:

• geeignete Sicherheitsmaßnahmen auf den Weg bringen
• deren Umsetzung regelmäßig überwachen
• sich selbst zu den Pflichten und Risiken schulen lassen
• sicherstellen, dass auch Mitarbeitende sensibilisiert werden

Wichtig: Die Verantwortung bleibt bei der Geschäftsleitung, auch wenn operative Aufgaben delegiert werden. In unserer NIS-2-Schulung für Geschäftsleitungen zeigen wir strukturiert auf, welche Pflichten das Gesetz konkret vorsieht und wie diese im Unternehmensalltag erfüllt werden können.

Ja. Die Pflicht gilt für jede natürliche Person, die zur Geschäftsführung und Vertretung einer besonders wichtigen oder wichtigen Einrichtung berufen ist.

Es reicht also nicht, wenn sich nur eine Person schulen lässt. Jedes Mitglied der Geschäftsleitung muss über ausreichende Kenntnisse im Bereich Cybersicherheit verfügen, um seiner Verantwortung nachkommen zu können.

Wenn dein Unternehmen unter NIS-2 fällt, reicht es nicht, ein paar Richtlinien abzulegen. Du musst strukturiert handeln, organisatorisch und technisch. 

Das BSI-Gesetz (BSIG) definiert dafür zentrale Grundprinzipien und Pflichten, die du umsetzen musst, beispielsweise: 

• Risikomanagementmaßnahmen (§ 30 BSIG)
  Geeignete Sicherheitsmaßnahmen einführen, dokumentieren und regelmäßig überprüfen. 

• Meldepflichten (§ 32 BSIG)
  Sicherheitsvorfälle fristgerecht an die zuständige Behörde melden. 

• Registrierungspflichten (§§ 33 ff. BSIG)
  Dein Unternehmen als betroffene Einrichtung registrieren. 

• Unterrichtungspflichten (§ 35 BSIG)
  Betroffene oder Partner informieren, wenn relevante Vorfälle Auswirkungen haben können. 

Beachte:
NIS-2 basiert auf klaren Grundprinzipien – Risiko erkennen, Maßnahmen umsetzen, Wirksamkeit prüfen und transparent informieren.  

In unserer Schulung erläutern wir alle Punkte ausführlich. 

Dein Zertifikat ist unbegrenzt gültig.
Bei einer grundlegenden Änderung der Anforderungen, wie von NIS-1 auf NIS-2, empfehlen wir einen Update–Kurs zu besuchen.  

Ja, falls du die Prüfung aus irgendwelchen Gründen nicht auf Anhieb bestehen solltest, darfst du die Prüfung für den halben Preis wiederholen. Für weitere Fragen FAQ´s zu den Online-Prüfungen der ICO. Hier: Online Schulungen

Unsere NIS-2 Schulungen kannst du mit den Zertifizierungsprüfungen der ICO (International Certification Organization) abschließen.
Du entscheidest in einem Zeitraum von 2 Jahren, wann und wo du die Prüfung ablegst. 

Der NIS-2 Koordinator ist der richtige Einstieg, wenn du noch keine oder nur geringe Vorkenntnisse im Bereich Informationssicherheit hast. In diesem zweitägigen Kurs erhältst du die Grundlagen zu NIS-2, Risikomanagement, Meldepflichten und organisatorischen Anforderungen.

Der NIS-2 Security Expert richtet sich dagegen an Personen mit bestehender Erfahrung in der Informationssicherheit, etwa im Aufbau oder Betrieb eines ISMS nach ISO 27001. Der eintägige Kurs vertieft speziell die Anforderungen durch NIS-2 im BSIG.

Kurz gesagt:

Koordinator = Für einen strukturierten Einstieg.
Security Expert = Vertiefung für erfahrene Praktiker.