Cybersicherheit, Schulungen

Cybersicherheit: 30.000 Unternehmen ab 2026 zu jährlichen Schulungen verpflichtet

05.07.2026 - 06:20:43 | boerse-global.de

Arbeitsschutz, Cybersicherheit und KI-Kompetenz: Neue Pflichten für Firmen. Verstöße können teuer werden und die Geschäftsführung haftbar machen.

Neue Gesetze: Unternehmen drohen hohe Bußgelder bei Schulungsmängeln
Cybersicherheit - Mitarbeiter in einem modernen Büro nehmen an einer Sicherheitsschulung teil, ein Trainer zeigt auf einen Bildschirm mit Cybersicherheitssymbolen. 05.07.2026 - Bild: über boerse-global.de

Neben klassischem Arbeitsschutz stehen jetzt Cybersicherheit und KI-Kompetenz auf dem Schulungsplan. Wer die Pflichten ignoriert, riskiert hohe Bußgelder und persönliche Haftung.

Arbeitsschutz bleibt Basis

Das Arbeitsschutzgesetz verlangt bereits seit 1996 regelmäßige Unterweisungen. Nach § 12 ArbSchG müssen Arbeitgeber ihre Mitarbeiter bei Einstellung, Aufgabenwechsel oder neuen Arbeitsmitteln schulen. Die Inhalte leiten sich aus der Gefährdungsbeurteilung ab.

Die wirtschaftliche Relevanz ist enorm: Die Bundesanstalt für Arbeitsschutz und Arbeitsmedizin bezifferte die Produktionsausfälle durch Arbeitsunfähigkeit für 2018 auf 85 Milliarden Euro. Der Bruttowertschöpfungsausfall lag bei 145 Milliarden Euro.

Ab dem ersten Mitarbeiter müssen Unternehmen eine Fachkraft für Arbeitssicherheit und einen Betriebsarzt bestellen. Kleinbetriebe mit bis zu zehn Beschäftigten nutzen oft das Unternehmermodell. Ab elf Mitarbeitern gilt die Regelbetreuung mit festen Einsatzzeiten. Verstöße kosten bis zu 25.000 Euro Bußgeld.

NIS2 erweitert den Kreis der Betroffenen massiv

Seit Anfang 2026 gilt die NIS2-Richtlinie in Deutschland. Zusammen mit dem KRITIS-Dachgesetz vom März 2026 sind jetzt schätzungsweise 30.000 Organisationen betroffen. Die Schwelle liegt bei 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz – betroffen sind Branchen wie das verarbeitende Gewerbe, die Abfallwirtschaft oder Lebensmittelproduktion.

Das aktualisierte BSIG konkretisiert die Schulungspflichten. Nach § 30 BSIG müssen Mitarbeiter jährlich zu Cyberhygiene geschult werden. Die Themen: Phishing-Prävention, Multi-Faktor-Authentifizierung und mobiles Arbeiten.

Anzeige

Die Gefährdungsbeurteilung bildet das rechtliche Fundament für alle betrieblichen Schutzmaßnahmen und Schulungen. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie rechtssichere Beurteilungen erstellen, die von Aufsichtsbehörden sofort anerkannt werden. Gefährdungsbeurteilung: Jetzt kostenlose Vorlagen und Checklisten sichern

Besonders brisant: § 38 BSIG verpflichtet die Geschäftsleitung zu Schulungen im Risikomanagement – mindestens alle drei Jahre. Diese Pflicht ist nicht delegierbar. Bei Verstößen droht persönliche Haftung.

Der Bedarf ist real: Laut Marktforschung waren 2025 rund 87 Prozent der deutschen Unternehmen von Cyberattacken betroffen. Der Gesamtschaden überstieg 289 Milliarden Euro. Ein einzelner Ransomware-Angriff auf ein mittelständisches Unternehmen mit 200 Mitarbeitern verursachte Schäden im siebenstelligen Bereich – vor allem durch Betriebsunterbrechungen.

KI-Kompetenz wird zur Pflicht

Die EU-KI-Verordnung bringt eine weitere Schulungspflicht. Artikel 4 verpflichtet Unternehmen seit Februar 2025, ihren Mitarbeitern KI-Kompetenz zu vermitteln. Seit Juni 2026 gilt eine Bemühenspflicht. Ab August 2026 greift die allgemeine Anwendung – die Bundesnetzagentur überwacht die Einhaltung.

Der VdS startete zum 1. Juli 2026 spezielle Web-Trainings. Experten raten Unternehmen, die KI-Nutzung systematisch zu erfassen, rollenbezogene Kompetenzprofile zu erstellen und alle Schulungen revisionssicher zu dokumentieren.

Anzeige

Neben dem Arbeitsschutz stellt die EU-KI-Verordnung Unternehmen vor neue Herausforderungen bei der Dokumentation und Kennzeichnung. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den nötigen Überblick über alle Fristen und Pflichten des EU AI Acts. Kostenloses E-Book zur KI-Verordnung herunterladen

Reformpaket verändert die Rahmenbedingungen

Die Bundesregierung beschloss am 2. Juli 2026 ein umfassendes Reformpaket. Wesentliche Änderungen: Die telefonische Krankschreibung entfällt, und die Arbeitspflicht gilt bereits ab dem ersten Krankheitstag.

Gleichzeitig wurden sachgrundlose Befristungen ausgeweitet. Für Neueingestellte gelten bis Ende 2030 maximal 48 Monate mit bis zu sechs Verlängerungen. Das verlängert die Phase der Mitarbeiterbindung unter Befristungsaspekten – und unterstreicht die Bedeutung gründlicher Onboarding-Unterweisungen.

Der TÜV-Verband mahnte: Bürokratieabbau sei wichtig, dürfe aber nicht die betrieblichen Sicherheitsstrukturen schwächen. Eine lückenlose Dokumentation bleibt zentral für die Enthaftung der Arbeitgeber.

de | wirtschaft | 69692861 |