NIS 2 Schulung der Geschäftsleitung nach Artikel 20(2)
NIS 2 sagt, dass die Geschäftsleitung selbst zur Cybersicherheit geschult werden muss. Nicht der CISO. Nicht der IT-Leiter. Der Vorstand, die Geschäftsführer, die Personen, die nach Artikel 20(1) die Risikomanagementmaßnahmen billigen.
Die Kurzfassung
Artikel 20 NIS 2 ist der Governance-Artikel. Absatz 1 sagt, dass die Geschäftsleitung die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und für Verstöße persönlich verantwortlich gemacht werden kann. Absatz 2 ergänzt die Schulungspflicht: die Geschäftsleitung selbst nimmt an Schulungen teil, und die Einrichtung bietet allen Mitarbeitern regelmäßig Schulungen an.
Die Schulung ist nicht delegierbar. Die Richtlinie nennt die Mitglieder der Leitungsorgane ausdrücklich. Den CISO auf einen Kurs zu schicken, erfüllt die Pflicht nicht. Wer Artikel 21 Maßnahmen unterzeichnet, braucht genug Wissen, um zu verstehen, was er unterzeichnet.
Deutschland setzt diese Regel über §38(3) BSIG ins nationale Recht um. Der Wortlaut folgt der Richtlinie. Diese Seite geht der Reihe nach durch Artikel 20(2), die operative Pflicht und die deutsche Umsetzung.
Artikel 20(2) NIS 2 Richtlinie (2022/2555)
Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
Das ist die Quellnorm. Sie nennt die Leitungsorgane ausdrücklich und bindet den Schulungsinhalt an Risikoerkennung, Risikobewertung, Managementpraktiken und Auswirkungen auf die erbrachten Dienste. Sie schafft außerdem die Pflicht, allen Mitarbeitern entsprechende Schulungen anzubieten.
Durchführungsverordnung (EU) 2024/2690
Die DVO regelt die technischen und methodischen Anforderungen für die Maßnahmen nach Artikel 21(2). Sie deckt Artikel 20 nicht ab.
Anders als Artikel 21 hat Artikel 20 keine Durchführungsverordnung. Der Richtlinientext ist hier der Maßstab. Die operative Auslegung übernehmen die nationalen Behörden und ENISA; eine DVO-Sektion gibt es nicht.
§38(3) BSIG (Deutschland)
Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.
§38 BSIG steht im NIS2-Umsetzungsgesetz (NIS2UmsuCG) und ist seit 2026 in Kraft. Er ist der deutsche Anker für die persönliche Schulungspflicht. §38(1) und (2) BSIG ergänzen die Billigungspflicht und die persönliche Haftung. Die Registrierung nach §33 BSIG war zum 6. März 2026 fällig.
Geschäftsleitung schult sich selbst
Die Mitglieder der Leitungsorgane müssen geschult werden. Persönlich. Die Richtlinie benutzt den Plural ('Mitglieder'), also ist jeder Geschäftsführer, jedes Vorstandsmitglied mit operativer Verantwortung erfasst. Anmeldung und Abschlussnachweis sind das gesetzliche Mindestmaß. Die Plattform speichert beides.
Einrichtung bietet allen Mitarbeitern Schulungen an
Die Einrichtung muss ihren Mitarbeitern regelmäßig Schulungen anbieten. 'Regelmäßig' ist nicht definiert; jährlich ist der operative Standard unter Grundschutz ORP.3. Sensibilisierung für alle, rollenspezifische Schulung für IT-Personal. Die Pflicht gilt für die gesamte Belegschaft, nicht nur für das technische Team.
Inhalt umfasst Risiken plus Managementpraktiken plus Auswirkungen
Die Richtlinie nennt vier Inhaltsblöcke: Risiken erkennen, Risiken bewerten, Managementpraktiken der Cybersicherheit verstehen, Auswirkungen auf die Dienste der Einrichtung verstehen. Eine generische Phishing-Simulation deckt diese vier Punkte nicht ab. Ein Kurs auf Managementebene schon.
Persönliche Pflicht der Geschäftsleitung (Artikel 20(1) und 20(2))
Die Geschäftsleitung kann das nicht an den CISO, den IT-Leiter oder den Datenschutzbeauftragten delegieren. Artikel 20(1) verankert die Billigungspflicht bei den Leitungsorganen. Artikel 20(2) verankert die Schulungspflicht bei denselben Personen. Beides gehört bewusst zusammen. Wer Maßnahmen nach Artikel 21 unterzeichnet, muss verstehen, was er unterzeichnet.
Verhältnismäßigkeit über Artikel 21(1)
Artikel 21(1) verlangt, dass Maßnahmen 'angemessen' im Verhältnis zum Risiko sind und Größe, Gefährdungsexposition, Eintrittswahrscheinlichkeit, Schwere, Stand der Technik und Implementierungskosten berücksichtigt werden. Die Schulungspflicht wird durch dieselbe Linse gelesen. Ein Stadtwerk mit 60 Beschäftigten braucht eine ernsthafte, dokumentierte Schulung; es braucht kein mehrwöchiges Executive-Programm. Was die Richtlinie nicht erlaubt, ist gar keine Schulung.
BSI / §38(3) BSIG
Deutschland übernimmt den Richtlinientext in §38(3) BSIG nahezu wortgleich. Die BSI-Handreichung zu §38 (April 2026) ist unverbindlicher Forschungsinput, kein Curriculum. Das BSI führt kein Akkreditierungsverfahren für Schulungen nach Artikel 20. Anmeldung plus Abschlussnachweis sind das gesetzliche Mindestmaß.
ENISA Technical Implementation Guidance
Die TIG von ENISA deckt die Maßnahmen nach Artikel 21 ab. Artikel 20 liegt außerhalb des TIG-Geltungsbereichs, weil es hier keine DVO umzusetzen gibt. ENISA zitiert Artikel 20 in seinen breiteren NIS 2 Materialien, hat aber keine formalen Schulungskriterien veröffentlicht.
Nationale Umsetzungsgesetze
Jeder Mitgliedstaat hat Artikel 20(2) umgesetzt (Niederlande: Cyberbeveiligingswet, Österreich: NISG, Belgien: NIS2-Wet). Gleiche Pflicht, gleiche Inhaltsblöcke. Unterschiedliche Meldewege und Aufsichtsbehörden. Keine dieser Länder betreibt eine Akkreditierungsstelle für Schulungen nach Artikel 20.
Wir haben das an unseren CISO delegiert.
Das geht nicht. Artikel 20(2) nennt ausdrücklich 'die Mitglieder der Leitungsorgane'. Den CISO auf einen Kurs zu schicken, erfüllt die Pflicht nicht. Der CISO kann das Programm betreiben, den Anbieter wählen, die Inhalte bauen. Die Schulung, die die Richtlinie verlangt, ist für die Personen gedacht, die nach Artikel 20(1) unterzeichnen.
Wir haben ein Awareness-Modul gemacht, also ist die Geschäftsleitung erfasst.
Mitarbeiterawareness ist keine Managementschulung. Artikel 20(2) listet vier Inhaltsblöcke: Risiken erkennen, Risiken bewerten, Managementpraktiken der Cybersicherheit verstehen, Auswirkungen auf die Dienste verstehen. 'Keine Phishing-Links anklicken' steht nicht auf dieser Liste. Die Geschäftsleitung braucht Schulung in Managementpraktiken, nicht im Nutzerverhalten.
Unsere D&O-Versicherung deckt die persönliche Haftung, also ist die Schulung optional.
Tut sie nicht. §38(2) BSIG schafft eine persönliche Haftung für Verstöße gegen die Geschäftsleitungspflichten nach §38. Eine Versicherung kommt obendrauf. Sie hebt die zugrunde liegende Pflicht nicht auf, und gerade die Schulung verringert das Risiko eines Verstoßes. Die Schulung auszulassen erhöht die Haftung, sie senkt sie nicht.
Es gibt keine Akkreditierungsstelle für Schulungen nach Artikel 20. Kein DAkkS-Schema, kein TÜV-Siegel, keine Big-Four-Zertifizierung erforderlich. Artikel 20(2) nennt Teilnahme und Abschluss. Das ist das gesetzliche Mindestmaß. Alles darüber hinaus ist optional und risikogetrieben, nicht gesetzgetrieben.
Was im deutschen Mittelstand funktioniert: ein strukturierter Kurs, der die vier Inhaltsblöcke abdeckt (Risikoerkennung, Risikobewertung, Managementpraktiken, Auswirkungen auf die Dienste), Anmeldung namentlich pro Mitglied der Geschäftsleitung dokumentiert, Abschlussnachweis im Audit-Trail abgelegt, Auffrischung in regelmäßigem Takt. Das hält Artikel 20(2) stand. Es deckt sich auch mit §38(3) BSIG und der BSI-Argumentation in der Handreichung zu §38.
Wir haben den CEO-Kurs genau dafür gebaut. Der Kurs deckt die vier Inhaltsblöcke ab, die Artikel 20(2) nennt: Risikoerkennung, Risikobewertung, Managementpraktiken der Cybersicherheit und die Auswirkungen auf die erbrachten Dienste. Jede Lektion ist kurz. Der Kurs ist für Geschäftsführer gemacht, nicht für Security-Ingenieure.
Die Plattform dokumentiert die Anmeldung namentlich pro Mitglied der Geschäftsleitung, sichert den Abschlussnachweis und legt beides im Audit-Trail ab. Derselbe Datensatz erfüllt die Dokumentationserwartung nach §38(3) BSIG. Der Kurs ist kostenlos, und die Plattform darunter ist es auch.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 20 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSI-Gesetz (BSIG), §38 in der Fassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG)
- BSI Handreichung zur Geschäftsleitungsschulung nach §38(3) BSIG, v1.0, 17. April 2026 (unverbindlich)
- ENISA NIS 2 Materialien zu Geschäftsleitungspflichten — enisa.europa.eu
- IT-Grundschutz ORP.3 (Sensibilisierung und Schulung)