NIS2 Schulungspflicht — Was müssen KMU wirklich tun?

NIS2 Training Obligations — What Do SMEs Really Need to Do?

Von Fabian Hable · 17. März 2026 · 6 Min. Lesezeit

By Fabian Hable · March 17, 2026 · 6 min read

Die EU-Richtlinie NIS2 bringt für tausende Unternehmen in der DACH-Region neue Pflichten im Bereich Cybersecurity — und eine davon betrifft direkt die Geschäftsführung: regelmäßige Security Awareness Schulungen für alle Mitarbeitenden. Aber was bedeutet das konkret? Und wie können KMU die Pflicht pragmatisch erfüllen?

The EU NIS2 directive introduces new cybersecurity obligations for thousands of companies in the DACH region — and one directly concerns management: regular security awareness training for all employees. But what does this actually mean? And how can SMEs fulfill this obligation pragmatically?

Was NIS2 zur Schulung sagt

What NIS2 Says About Training

Art. 20 (Governance) verlangt, dass die Leitungsorgane selbst an Cybersecurity-Schulungen teilnehmen und diese auch für alle Mitarbeitenden anbieten. Art. 21 (Risikomanagementmaßnahmen) listet „grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit“ als Pflichtmaßnahme.

Art. 20 (Governance) requires management to participate in cybersecurity training themselves and provide it to all employees. Art. 21 (Risk management measures) lists “basic cyber hygiene practices and cybersecurity training” as a mandatory measure.

Wichtig: NIS2 verlangt nicht ein bestimmtes Format oder einen bestimmten Anbieter. Was zählt, sind regelmäßige, nachweisbare Schulungsmaßnahmen.

Important: NIS2 does not require a specific format or provider. What counts is regular, documented training measures.

Bin ich überhaupt betroffen?

Am I Even Affected?

NIS2 betrifft Unternehmen in bestimmten Sektoren (Energie, Transport, Gesundheit, digitale Infrastruktur u.a.) ab einer bestimmten Größe. Aber auch wenn Ihr Unternehmen nicht direkt betroffen ist: Große Kunden verlangen zunehmend Nachweise von ihren Zulieferern. Security Awareness wird zum Wettbewerbsfaktor in der Lieferkette.

NIS2 affects companies in specific sectors (energy, transport, health, digital infrastructure, etc.) above a certain size. But even if your company isn’t directly affected: large clients increasingly demand evidence from their suppliers. Security awareness is becoming a competitive factor in the supply chain.

Was Auditoren sehen wollen

What Auditors Want to See

• Nachweis, dass Schulungen stattfinden — regelmäßig, nicht nur einmal jährlich
• Dokumentation der Teilnahme — Zertifikate, Completion-Logs oder ein Abschluss-Report
• Messung der Wirksamkeit — Phishing-Simulationen mit konkreten Klickraten

• Evidence that training takes place — regularly, not just once a year
• Participation documentation — certificates, completion logs, or a summary report
• Effectiveness measurement — phishing simulations with concrete click rates

Wie der Cyber-Fitness-Check die NIS2-Schulungspflicht abdeckt

How the Cyber Fitness Check Covers NIS2 Training Obligations

• Part 1 Training für alle Mitarbeitenden — interaktives E-Learning im Comic-Format
• Eine realistische Phishing-Kampagne — zeigt, wie viele Mitarbeitende klicken
• Ein Abschluss-Report — verwendbar als Audit-Nachweis
• Eine persönliche Besprechung — wir gehen den Report gemeinsam durch

• Part 1 training for all employees — interactive e-learning in comic format
• A realistic phishing campaign — shows how many employees click
• A summary report — usable as audit evidence
• A personal review meeting — we walk through the report together