StartseiteBlog → NIS2 Schulungsnachweis
HomeBlog → NIS2 Training Records

NIS2 Schulungsnachweis erstellen — Anforderungen, Checkliste und was Auditoren wirklich prüfen

April 2026

Schulungen durchzuführen ist der erste Schritt. Sie nachzuweisen ist der zweite — und in der Praxis oft der schwierigere. Bei einem Audit zählt nicht, was Mitarbeitende gelernt haben, sondern was dokumentiert ist.

Dieser Artikel erklärt, was ein NIS2-konformer Schulungsnachweis enthalten muss, welche Fehler Unternehmen häufig machen und wie sich der Dokumentationsaufwand minimieren lässt.

Was ein NIS2-konformer Schulungsnachweis enthalten muss

Ein Schulungsnachweis ist kein formales Dokument mit festgelegtem Layout. Es gibt kein offizielles Formular. Entscheidend ist, dass die folgenden Informationen nachvollziehbar dokumentiert sind.

Der Name des Teilnehmers muss eindeutig zuordenbar sein. Das Datum der Schulung muss dokumentiert sein — nicht das Datum, an dem eine E-Mail verschickt wurde, sondern das Datum, an dem die Schulung tatsächlich absolviert wurde. Die behandelten Themen müssen benannt sein, idealerweise mit Bezug zu den NISG-relevanten Risikobereichen. Eine Form der Lernzielüberprüfung sollte vorhanden sein — ein Quiz, ein Assessment oder zumindest eine dokumentierte Wissensabfrage. Und der Anbieter oder die Plattform, über die die Schulung stattfand, sollte erkennbar sein.

Darüber hinaus gibt es zwei Ebenen der Dokumentation: den individuellen Nachweis pro Mitarbeiter (Zertifikat) und den aggregierten Unternehmensreport.

Der Unterschied zwischen Teilnahmebestätigung und Kompetenznachweis

Eine Teilnahmebestätigung sagt: „Diese Person war anwesend." Ein Kompetenznachweis sagt: „Diese Person hat die Inhalte verstanden und kann sie anwenden." Für NIS2 reicht eine Teilnahmebestätigung formal aus — aber ein Kompetenznachweis mit Quiz-Ergebnis ist deutlich überzeugender.

Der Grund: NIS2 verlangt, dass Mitarbeitende „ausreichende Kenntnisse und Fähigkeiten" erwerben. Wenn ein Auditor fragt, wie das Unternehmen sicherstellt, dass die Schulung wirksam war, ist ein bestandenes Quiz eine konkretere Antwort als „die haben das Video bis zum Ende geschaut".

Häufige Fehler bei Schulungsnachweisen

Der häufigste Fehler ist die Verwechslung von Information und Schulung. Eine E-Mail mit dem Betreff „Wichtige Sicherheitshinweise" an alle Mitarbeitenden ist keine Schulung. Ein PDF im Intranet ist keine Schulung. Selbst ein einstündiges Video ist nur dann eine Schulung, wenn dokumentiert ist, wer es tatsächlich gesehen hat.

Der zweite häufige Fehler ist fehlende Regelmäßigkeit. Eine einmalige Schulung bei der Einstellung, die nie wiederholt wird, erfüllt die Anforderung der „regelmäßigen" Schulung nicht. Die gängige Empfehlung ist mindestens einmal jährlich, ergänzt durch anlassbezogene Schulungen nach Sicherheitsvorfällen oder bei neuen Bedrohungsformen.

Der dritte Fehler betrifft die Vollständigkeit. Wenn 80 Prozent der Büro-Mitarbeitenden geschult sind, aber die gesamte Produktion, Logistik und der Außendienst fehlen, ist die Schulungspflicht nicht erfüllt. NIS2 spricht von „allen Mitarbeitern" — nicht nur den Mitarbeitenden mit Firmenlaptop.

Der Unternehmensreport — was das Management braucht

Neben den individuellen Zertifikaten braucht das Management einen aggregierten Überblick. Ein guter Unternehmensreport beantwortet folgende Fragen: Wie viel Prozent der Belegschaft sind geschult? Welche Themenbereiche wurden abgedeckt? Gibt es Abteilungen oder Standorte mit Lücken? Wie haben sich die Ergebnisse im Vergleich zum Vorjahr entwickelt? Was ist die aktuelle Phishing-Klickrate?

Dieser Report dient nicht nur dem Audit, sondern auch der internen Steuerung. Er zeigt, wo Ressourcen eingesetzt werden müssen — und er gibt der Geschäftsführung die Grundlage für die im NISG geforderte Genehmigung der Risikomanagementmaßnahmen.

Schulungsnachweise automatisiert erstellen

Digitale Trainingsplattformen lösen das Dokumentationsproblem im Kern. Jeder Abschluss eines Moduls wird automatisch protokolliert — mit Datum, Dauer, Ergebnis und Themenbereich. Zertifikate werden als PDF generiert. Unternehmensreports lassen sich jederzeit abrufen.

Bei SCORM-Integration übernimmt das Learning Management System das Tracking. Der SCORM-Standard meldet Completion-Status und Score an das LMS zurück, das seinerseits die Schulungsnachweise verwaltet.

Bei Cloud-Lösungen ohne LMS funktioniert das gleiche Prinzip: Die Plattform protokolliert den Fortschritt und stellt Nachweise bereit — der einzige Unterschied ist, dass kein unternehmenseigenes LMS dazwischensteht.

Checkliste: Ist Ihr Schulungsnachweis audit-tauglich?

Prüfen Sie Ihre bestehende Dokumentation anhand dieser Punkte: Sind alle Mitarbeitenden namentlich erfasst, die eine Schulung absolviert haben? Ist das Datum der letzten Schulung dokumentiert, nicht nur das Versanddatum einer E-Mail? Sind die behandelten Themen einzeln aufgeführt? Gibt es eine Form der Lernzielüberprüfung (Quiz, Assessment)? Werden Schulungen mindestens jährlich wiederholt? Sind auch Mitarbeitende ohne Firmen-Laptop oder Firmenzugang erfasst? Liegt ein aggregierter Unternehmensreport für das Management vor?

Wenn Sie mehr als zwei Punkte mit „Nein" beantworten, besteht Handlungsbedarf vor Oktober 2026.

Schulungsnachweise automatisch erstellen — jetzt kostenlos starten.

Create training records automatically — start free now.

Kostenlos starten → Start free →

Weiterlesen

Read more

Social Engineering — 5 Angriffsmethoden

Social Engineering — 5 Attack Methods

Die 5 häufigsten Social-Engineering-Methoden und Schutzmaßnahmen.

The 5 most common social engineering methods and countermeasures.

Security Awareness Training für KMU — Kosten und ROI

Security Awareness Training for SMEs — Costs and ROI

Was kostet Security Awareness Training für KMU?

What does security awareness training cost for SMEs?