Welche Unternehmen sind von NIS2 betroffen?

Rund 30.000 Unternehmen aus 18 Sektoren – von Energie und Transport über Gesundheit bis hin zu digitaler Infrastruktur. Betroffen sind Unternehmen ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz in einem der regulierten Sektoren.

Was passiert, wenn die NIS2-Schulungspflicht nicht erfüllt wird?

Geschäftsführer haften persönlich mit ihrem Privatvermögen. Bußgelder bis zu 5 Millionen Euro pro Person sind vorgesehen. Das BSI kann bei schwerwiegenden Verstößen sogar die zeitweise Untersagung der Geschäftsführungstätigkeit anordnen.

Reicht eine E-Learning-Klickstrecke für die NIS2-Schulungspflicht?

Das Gesetz verlangt, dass Maßnahmen ‚geeignet, verhältnismäßig und wirksam' sein müssen. ‚Wirksam' ist das Schlüsselwort. Ein E-Learning, das der Mitarbeiter nebenbei durchklickt, ist nicht wirksam. Es ist dokumentierter Selbstbetrug. Das Whitepaper zeigt, was stattdessen funktioniert.

Was kostet das Whitepaper?

Nichts. E-Mail eintragen, sofort lesen. Kein Abo, keine versteckten Kosten.

Kostenloses Whitepaper

NIS2 und dieSchulungslücke

30.000 Unternehmen müssen eine Schulungspflicht erfüllen, die mit Klickstrecken nicht zu erfüllen ist. Vier Thesen für alle, die NIS2 ernst nehmen – und nicht nur abhaken wollen.

NIS2 ist Chefsache. Im wörtlichen Sinn.

Am 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft getreten – ohne Übergangsfrist. Rund 30.000 Unternehmen aus 18 Sektoren haben seitdem neue Pflichten in der Informationssicherheit. Darunter: eine Schulungspflicht für Geschäftsleitung und Mitarbeitende, die dokumentiert, regelmäßig und nachweisbar sein muss.

Bislang war Informationssicherheit oft Thema der IT. Seit NIS2 trifft die Pflicht die Geschäftsführung – mit den genannten Konsequenzen bei mangelnder Umsetzung.

Die Standardreaktion: E-Learning buchen und durchklicken

Die naheliegende Antwort vieler Unternehmen: eine E-Learning-Plattform, eine Klickstrecke, ein Zertifikat. Pflicht erfüllt. Haken dran.

"Wirksam" ist das Stichwort im Gesetz

§30 Abs. 2 Nr. 7 BSIG verlangt Maßnahmen, die „geeignet, verhältnismäßig und wirksam“ sein müssen. Ein Kurs, den man nebenbei durchklickt, während die Inbox blinkt, ist oft weder Wirksamkeit noch Ernsthaftigkeit – sondern dokumentierter Selbstbetrug.

30.000

Unternehmen in Deutschland mit NIS2-Schulungspflicht. Persönliche Haftung der Geschäftsführung.

NIS2-Umsetzungsgesetz (NIS2UmsuCG), in Kraft seit 06.12.2025

4 Thesen aus dem Whitepaper

Nicht gegen die NIS2-Regulierung. Gegen eine Schulungspraxis, die den Zweck des Gesetzes verfehlt und Unternehmen in falscher Sicherheit wiegt.

Compliance-Theater schützt kein Unternehmen.

Es gibt zwei Arten, eine NIS2-Schulung durchzuführen. Die eine produziert ein Zertifikat. Die andere trainiert den Mitarbeiter, eine Phishing-Mail zu erkennen, bevor er den Anhang öffnet. Im Ernstfall fragt niemand nach dem Zertifikat.

Die Geschäftsleitung kann Cybersicherheit nicht mehr wegdelegieren.

§38 Abs. 3 BSIG: persönliche Teilnahme. Nicht delegierbar. Nicht an den CISO, nicht an den IT-Leiter, nicht an einen externen Berater. Die ersten BSI-Prüfungen werden für Q3/Q4 2026 erwartet.

70 Prozent vergessen in 24 Stunden. Bei NIS2 ist das fahrlässig.

Eine NIS2-Schulung einmal im Jahr – und dann elf Monate lang Mitarbeiter, die den Stoff nicht mehr präsent haben. Elf Monate, in denen ein Angriff jederzeit passieren kann.

Adaptives Lernen schließt die Lücke zwischen Schulung und Ernstfall.

Vier Probleme klassischer Schulungen: Gleichbehandlung, Passivität, Einmaligkeit, Pflichtcharakter. Adaptive Module lösen alle vier gleichzeitig – und erzeugen Compliance, die sich nicht wie Compliance anfühlt.

Im Ernstfall zählt, ob der Mitarbeiter die Phishing-Mail erkannt hat – nicht ob er ein Zertifikat hat.

Jetzt kostenlos herunterladen

Kostenlos. Ohne Haken. Sofort per E-Mail.

Für wen ist dieses Whitepaper?

Sie sind Compliance-Verantwortlicher und müssen die NIS2-Schulungspflicht umsetzen – ohne genau zu wissen, was „wirksam“ in der Praxis bedeutet.
Sie sind IT-Leiter oder CISO und suchen ein Awareness-Programm, das mehr bewirkt als eine Klickstrecke.
Sie sind Geschäftsführer und wissen, dass Sie persönlich haften – und wollen einen Nachweis, der einer BSI-Prüfung standhält.
Sie sind ISB und müssen Schulungen dokumentieren, die inhaltlich angemessen und nachweisbar wirksam sind.
Sie suchen eine Lösung, die bestehende Sicherheitsdokumente in adaptive Lernmodule verwandelt – ohne eigene Inhalte erstellen zu müssen.

Was Sie nach dem Lesen wissen werden

Was §30 und §38 BSIG konkret von Ihrem Unternehmen verlangen – und was nicht

Warum Klickstrecken die Schulungspflicht formal nicht erfüllen und was das BSI prüft

Wie quartalsweise Wiederholungsmodule die Vergessenskurve brechen – automatisiert

Wie adaptive Szenarien den Unterschied zwischen Compliance-Theater und echtem Schutz machen

Die 7-Punkte-Checkliste für NIS2-konforme Schulungen

Wie bestehende Sicherheitsdokumente in Minuten zu Awareness-Modulen werden

Whitepaper jetzt kostenlos sichern

E-Mail eintragen, Link erhalten – sofort lesen.

Kein Spam. Alle 2 Wochen ein Tipp. Jederzeit abmelden.

Über dieses Whitepaper

Dieses Whitepaper wurde von tutoreon.academy erstellt. Im Kontext von NIS2 eignet sich tutoreon besonders für Mitarbeiter-Awareness: Bestehende Sicherheitsrichtlinien, Meldeketten und Incident-Dokumentationen werden zu adaptiven Szenarien, die Verhalten verändern statt nur Wissen abzufragen. EU-gehostet, dokumentiert, nachweisbar.

Häufig gestellte Fragen

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten. §30 Abs. 2 Nr. 7 BSIG verlangt grundlegende Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter. §38 Abs. 3 BSIG verpflichtet die Geschäftsleitung persönlich zur regelmäßigen Teilnahme an Schulungen. Diese Pflicht ist nicht delegierbar.

Weitere Whitepapers

L&D & HR

KI in der betrieblichen Weiterbildung

5 Thesen für L&D-Verantwortliche.

Zum Whitepaper

Trainer & Bildungsverantwortliche

Lernen im KI-Zeitalter: 7 Thesen

Die übergreifende Vision: KI in der Bildung.

Zum Whitepaper

Schulungsanbieter & Ausbilder

Die 50-Prozent-Schande: §34a

Warum 50 % bei der §34a-Prüfung durchfallen.

Zum Whitepaper

Bereit für den nächsten Schritt?

Sie haben Fragen? Schauen Sie sich tutoreon in Aktion an oder erstellen Sie kostenlos ein Konto.