nis-2-schulungen-geschaeftsfuehrung

Erfüllt die NIS-2-Anforderungen §38 BSIG

NIS-2-Schulung für Geschäftsführer

   Kompakt in 60 bis 90 Minuten

   Deckt die Inhalte der BSI-Handreichung ab

   Angepasst auf die NIS-2 Readiness im Unternehmen 

   Live-Event, in Präsenz oder virtuell 

   Top-Referenten vom Security-Spezialisten 

 

Beratung anfordern
 

2.000+ Kunden vertrauen uns, von Startups bis Großunternehmen

Kompakt und Management-konform

Von Security- und Lernspezialisten 

IS-FOX ist die Security-Awareness-Marke des Cyber-Security-Spezialisten HvS-Consulting. Wir sind selbst ISO27001 zertifiziert und haben erfahrene Lead-Autitoren uns ISMS-Berater in unseren Reihen. Gemeinsam mit unseren Lernspezialisten und Trainern haben wir eine Best Practise Schulung erstellt, die alle relevanten Inhalte auf den Punkt bringt - i.d.R. in 90 Minuten. Unsere Referenten haben alle mehrjährige Erfahrung in Management-Schulungen im Bereich Cyber Security.

inhalte_nis-2_schulung_geschaeftsfuehrung_und_leitungsorgane

Die Inhalte der NIS-2 Schulung

Operational Resilience

Operational Resilience

Wie werden Unternehmen resilient?

NIS-2-Basics-Manager-Operational-Resilience

Wir starten mit Best Practice Security Prozessen: wie funktioniert unternehmensweite Sicherheit heute? Wie wird man als Organisation "digital resilient"?

  • Durch den Dreiklang aus Information Security Management, Business Continuity Management und Drittparteien-Risikomanagement.
  • Das gilt grundsätzlich nicht nur für Cyberrisiken, sondern für alle Risiken, die den Betrieb der Organisation stören können.
     

Kernbotschaften:

  1. Sicherheit und digitale Resilienz sind kein "IT-Ding", sondern ziehen sich durch alle Unternehmensbereiche.
  2. Risikomanagement ist das A und O, nicht nur in der eigenen Organisation, sondern auch entlang der Wertschöpfungskette.
  3. Trotz umfassender Maßnahmen können immer Störungen eintreten, Auch darauf muss man vorbereitet sein. 
Was will Nis-2?

Was will NIS-2?

Security Best Practice in ein Gesetz gegossen 

NIS-2 Schulungen für Geschäftsführer - Was will NIS-2

NIS-2 fordert von betroffenen Unternehmen nichts anderes als Operational Resilience! Das kein "weiteres IT-Gesetz", sondern erzwingt die Umsetzung internationaler Security Standards. Eine gute Sache!

  • NIS-2 fordert Risikomanagement, nicht nur in der eigenen Organisation, sondern auch entlang der Wertschöpfungskette.
  • Entsprechend der Security-Best-Practice "Resilience is good, detection is a must" fordert NIS-2 auch eine Erkennung und professionelle Behandlung von Vorfällen.
     

Kernbotschaften:

  1. NIS-2 ist kein "regulatorischer Popanz", sondern jahrelange Security Best Practice jetzt ins Gebetsbuch geschrieben.
  2. Wer seine Security-Hausaufgaben in der vergangenen Zeit gemacht hat (z.B. durch ISO 27001 Zertifizierung oder TISAX Label), hat bereits einen großen Teil umgesetzt.
Wie geht Risiko-Management?

Wie geht Risiko-Management?

Assets identifizieren, Risiko ermitteln, Maßnahmen ableiten 

NIS-2-Schulung Geschäftsführer - Risikomanagement

Hier entscheidet sich, ob die Schulung 60 Minuten oder 4 Stunden dauert. Für Geschäftsleitungen mit Enterprise Risk Management und einem bestehenden ISMS kann man diese Themen als bekannt voraussetzen und nur kurz streifen. Bei allen anderen ist es sehr sinnvoll, dieses substanzielle Wissen zu vermitteln, denn nur so kann die Geschäftsleitung den Stand im Unternehmen beurteilen und lenken. Schlagworte sind hier:

  • Der Risikoprozess: Kritische Assets und mögliche Schäden ermitteln - Bedrohungen identifizieren und Wahrscheinlichkeit des Eintritts abschätzen - Schutzmaßnahmen (TOMs) ableiten und umsetzen - Wirksamkeit prüfen und optimieren.
  • Die CIA Schutzziele (Confidentiality, Integrity, Availability)
  • Umgang mit Risiken (Vermeiden, Reduzieren, Übertragen, Akzeptieren)
  • Der Nutzen eines ISMS (Information Security Management System)
  • Der PDCA - Zyklus (Plan - Do - Check - Act)
Der Umsetzungsstand

Der Umsetzungsstand

Wie weit sind wir denn? 

NIS-2-Schulung Geschäftsführer - Technische und organisatorische Maßnahmen TOMs

Jetzt wird es ganz konkret. Wie weit ist das Unternehmen bzw. die betroffenen Einheiten denn in der NIS-2 Readiness? Diesen Teil schulen wir i.d.R. gemeinsam mit der sicherheitsverantwortlichen Person. Den Stand der IS-2 Readiness haben wir vorab gemeinsam durch strukturierte Fragen und Diskussionen abgestimmt. 

  • Wie sehen die technischen und organistorischen Maßnahmen (TOMs) im Bereich der Prävention (Resilience) aus?
  • Wie gut ist sind Detection und Response-Prozesse?
  • Wie weit ist das Business Continuity Management?
  • Haben wir die Lieferkette klassifiziert und im Griff?
  • Sind alle Maßnahmen dokumentiert?

Unternehmen mit einem hohen Security-Reifegrad diskutieren hier bekannte Dinge aus vergangenen Berichten. In anderen erklären wir zusätzlich die Wechselwirkungen der einzelnen Maßnahmen. 

Die Aufgaben der Geschäftsleitung

Die Aufgaben der Geschäftsleitung

Was sind die konkreten To-Dos?

NIS-2-Schulungen - Aufgaben der Geschäftsleitung

Je nach Security-Reifegrad gibt es hier völlig unterschiedliche Handlungsempfehlungen:

  • Geringer Reifegrad: Schaffe die richtige Organisation, führe ein ISMS ein. Setze die TOMs um. Nimm das Thema ernst, es geht nicht nur um Compliance zu einem Gesetz, es geht um den Fortbestand des Unternehmens bei einem Cyber-Angriff.
  • Hoher Reifegrad: Die Investitionen der Vergangenheit zahlen sich jetzt aus. Aber man darf deshalb nicht nachlassen. Risiken ändern sich und Compliance zu einem Gesetz bedeutet nicht automatisch hohes Sicherheitsniveau. 

Kernbotschaften:

  1. Betroffenheitsprüfung und Registrierung sind die kleinen Schritte. Der Aufbau und Betrieb eines ISMS mit BCM und Lieferkette, das sind die dicken Bretter.
  2. Du kannst die Umsetzung delegieren, aber nicht die Verantwortung. Du bist haftbar. Das steht explizit im Gesetz.
  3. Wer bisher in Security investiert hat und sich evtl. bereits nach einem internationalen Standard zertifiziert hat, kann sich entspannen. Das Delta zur NIS-2 Compliance ist i.d.R. gering. 

 

Genau so haben wir uns die Schulung vorgestellt!

CEO Rüstungbetrieb*

 

Das war überraschend gut! Hätte ich nicht erwartet. Vielen Dank!

CEO Maschinenbauunternehmen*

 

Wirklich gut. Auch für Nicht-IT-Menschen verständlich.

CFO Chemieunternehmen*

* Normalerweise versuchen wir die Zitate mit Person und Unternehmen zu belegen. Bei dieser speziellen Zielgruppe verzichten wir darauf, können aber gerne bei Bedarf Kontakt zum jeweiligen (C)ISO des Unternehmens herstellen.

 

Preise? Demo? Beratung?

Wir erklären gerne in einem Webmeeting, wie wir vorgehen, wer was wann liefern muss und was die Magie hinter einer gelungenen Schulung für Top-Manager ist. 

 

Sprich mit unseren Experten  

FAQs


Ja, und zwar für betroffene Unternehmen.

Die NIS-2 Richtlinie ist in Deutschland durch das BSI-Gesetz (BSIG) umgesetzt worden und schreibt explizit eine Schulungsverpflichtung vor:

  • Artikel 30, Absatz 2 BSIG fordert eine „grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik.“ für alle Beschäftigten.
  • Artikel 38, Absatz 3 BSIG regelt zusätzlich und explizit die Schulungsplicht für die Geschäftsleitung.

Die Schulungspflicht für die Belegschaft

Best-Practice-Themen zur allgemeinen Security Awareness sind Phishing, Passwörter, Social Engineering, Ransomware, etc. Geeignete IS-FOX Trainings für die Belegschaft sind Fit für Cyber Security oder „Grundschutz Cyber Security”. Mit Videos, interaktiven Übungen, Test und Zertifikat.

Die Schulungspflicht für die Geschäftsleitung

Hier sollen Kenntnisse darüber vermittelt werden, wie Risikomanagement funktioniert, um die Situation im eigenen Unternehmen verstehen und bewerten zu können. UDie hier vorgestellte NIS-2-Schulung für Geschäftsführer erfüllt genau diesen Anspruch.


Nicht für das Top Management. Diese Zielgruppe ist prinzipiell nur eingeschränkt für E-Learning Kurse geeignet. Der C-Level eines Unternehmens lässt sich nicht einfach "berieseln", sondern stellt sehr aktive Fragen:

  • Wie schätzen Sie die Risikolage in unserem Unternehmen ein?
  • Wie weit ist die Umsetzung bei uns?
  • Was müssen wir tun, um NIS-2-konform zu werden? 

All diese Fragen können nur individuell beantwortet werden, nicht durch ein Standard-Training. Das BSI hat im Oktober 2025 in seinem Leitfaden zur Geschäftsleitungsschulung unter Punkt 1.3 unsere Auffassung bekräftigt:

Wichtig dabei ist, dass nicht nur abstrakte Kenntnisse vermittelt werden, sondern dass diese immer auch die individuellen Begebenheiten der Einrichtung berücksichtigen, für die die Geschäftsleitung verantwortlich ist. Insbesondere externe Schulungsanbieter müssen diese einrichtungsindividuellen Aspekte berücksichtigen, was u.U. höheren Aufwand bedeutet. Sinnvoll kann daher ein Modell sein, in dem allgemeine Inhalte von externen Anbietern oder Dienstleistern durch spezifische Inhalte ergänzt werden, die durch interne Cybersicherheitsexperten vermittelt werden.

Die Notlösung für Konzerne

Wir haben bereits für einen weltweiten Konzern mit zig betroffenen Unternehmenseinheiten und über hundert Leitungsorganen die Inhalte in ein E-Learning gegossen. In dieser Größenordnung passt der Ansatz zur geforderten Verhältnismäßigkeit. 

E-Learning für Führungskräfte und Mitarbeiter

Die Umsetzung von NIS-2 im Unternehmen funktioniert umso einfacher, je mehr Verständnis in der Belegschaft für das Thema herrscht. Diese Verständnis schafft unser allgemeines E-Learning zu NIS-2. Es ersetzt aber nicht die Schulung für Geschäftsführer.


Nein. Im Gesetz selbst (dem BSIG) steht nichts spezifisches zu Inhalt oder Dauer:

§ 38  BSIG: "Die Geschäftsleitungen […] müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können."

Das BSI hat diese Anforderung in einer Handreichung (Empfehlung) konkretisiert. Die Inhalte dieser Handreichung entsprechen einer sehr fundierten Schulung im Bereich Risikomanagement.

  • Für Unternehmen mit wenig ausgeprägtem Risikomanagement und geringem Security-Reifegrad sind diese Inhalte elementar und die Zeitangabe von ca. 4 Std. absolut gerechtfertigt.
  • Das andere Extrem sind DAX Konzerne mit jahrelangem Enterprise Risk Management, einer starken Governance-Organisation mit CISO und ISOs, monatlichen Cyber-Risk-KPI-Reporting und einer internationalen Zertifizierung (z.B. ISO 27001). Hier hätte das Top-Management zu Recht wenig Verständnis dafür, warum deren Zeit für bekannte und bereits verstandene Inhalte verschwendet wird.

Es kommt also immer darauf an. Unsere Zeitangabe von 60 - 90 Minuten bezieht sich auf Unternehmen mit einem relativ hohen Reifegrad in der Cyber Security.     


Ja. Artikel 30, Absatz 2 BSIG fordert eine „grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik.“

Das sind erst einmal die klassischen Security Awareness Themen: Phishing, Passwörter, Social Engineering, Ransomware, etc. Diese Anforderung wird also durch die gängigen Schulungen am Markt abgedeckt.

Aber für eine erfolgreiche Umsetzung von NIS-2 benötigt man auch Verständnis für die Maßnahmen, insbesondere bei Führungskräften. Sie sind im Fachbereich die Information Owner , sie müssen Risiken bewerten, Ressourcen zur Verfügung stellen, Maßnahmen kontrollieren, usw. Ohne ausreichender Kenntnis und Verständnis für NIS-2 ist das nahezu unmöglich. Deshalb empfehlen wir, Führungskräfte entsprechend zu schulen. Wir haben hierfür einen kompakten E-Learning Kurs mit ca. 25 min Länge.

Weitere E-Learning-Kurse

EU AI Act Schulung

Cyber Security Training für Mitarbeiter

DORA Schulung

Lieferkettengesetz

Prävention von Geldwaesche

Compliance Schulung für Mitarbeiter

Cyber Security für Krankenhäuser

Online-Unterweisung zur Arbeitssicherheit

Exportkontrolle

IT-Security-Training für Administratoren

Datenschutz Schulung für Mitarbeiter

Secure Development Training