NIS2, Act

NIS2 und AI Act: Neue Schulungspflichten für alle Mitarbeiter ab Juli

04.07.2026 - 19:33:16 | boerse-global.de

Ab Juli 2026 gelten verschärfte Schulungspflichten für Cybersicherheit und KI-Kompetenz. Geschäftsführer haften persönlich bei Verstößen.

NIS2 & EU AI Act: Neue Schulungspflichten ab Juli 2026
NIS2 - Mitarbeiter in einem modernen Büro nehmen an einer Schulung zu Cybersicherheit und KI-Gesetzen teil, mit digitaler Anzeige von Daten und Rechtssymbolen. 04.07.2026 - Bild: über boerse-global.de

Seit Juli 2026 gelten mit dem EU AI Act und der NIS2-Richtlinie schärfere Vorschriften für Cybersicherheit und Künstliche Intelligenz. Unternehmen müssen ihre Belegschaft und Führungskräfte systematisch schulen – und das regelmäßig.

Security Awareness ist längst keine reine IT-Aufgabe mehr. Sie wird zur zentralen Managementpflicht.

NIS2: Jährliche Pflicht für alle Mitarbeiter

Die nationale Umsetzung der NIS2-Richtlinie durch das IT-Sicherheitsgesetz (BSIG) gibt klare Regeln vor. § 30 BSIG verpflichtet Unternehmen zu regelmäßigen Cybersicherheitsschulungen für alle Mitarbeiter – mindestens einmal pro Jahr.

Die Themen: Phishing-Erkennung, Passwortsicherheit, Multi-Faktor-Authentifizierung (MFA) und korrektes Verhalten bei Sicherheitsvorfällen.

Noch strenger sind die Vorgaben für die Führungsebene. Geschäftsführungen müssen laut § 38 BSIG mindestens alle drei Jahre an spezifischen Sicherheitsschulungen teilnehmen. Diese Pflicht ist nicht delegierbar. Wer sie verletzt, haftet persönlich. Unternehmen müssen Teilnahme, Inhalte und Intervalle auditfest dokumentieren.

EU AI Act: KI-Kompetenz wird Pflicht

Parallel zu den Cybersicherheitsregeln gewinnt der EU AI Act an Bedeutung. Seit dem 2. Februar 2025 verpflichtet Artikel 4 des Gesetzes Anbieter und Betreiber von KI-Systemen, Maßnahmen zur Förderung der KI-Kompetenz ihres Personals zu ergreifen.

Eine Anpassung im Juni 2026 – der sogenannte KI-Omnibus – hat die Anforderung auf eine Bemühenspflicht präzisiert. Ein direkter Bußgeldtatbestand für mangelnde KI-Schulungen existiert derzeit nicht. Wohl aber eine klare Nachweispflicht gegenüber den Aufsichtsbehörden.

Ab dem 2. August 2026 wird die allgemeine Anwendung des EU AI Act erwartet. Die Bundesnetzagentur übernimmt dann die Marktüberwachung. Branchenexperten empfehlen, die KI-Nutzung intern zu erfassen und rollenbezogene Schulungsprogramme zu implementieren.

Haftungsrisiken: 1,2 Millionen Euro pro Ransomware-Angriff

Die rechtliche Relevanz von Schulungsmaßnahmen zeigt sich besonders im Bereich der Geschäftsführerhaftung. Gemäß § 43 GmbHG und § 93 AktG sowie Artikel 20 der NIS2-Richtlinie haften Leitungsorgane persönlich für Schäden aus unzureichender IT-Absicherung.

Anzeige

Wer die neuen Schulungspflichten aus NIS2 und EU AI Act ab Juli 2026 umsetzen muss, findet im kostenlosen Report eine sofort anwendbare Checkliste – inklusive Muster-Dokumentation für auditfeste Nachweise. Jetzt kostenlosen Compliance-Report anfordern

Ein Ransomware-Angriff auf ein mittelständisches Unternehmen mit rund 200 Mitarbeitern kann Kosten von etwa 1,2 Millionen Euro verursachen.

Trotz dieser Risiken klafft eine Wahrnehmungslücke. Eine Studie von HarfangLab unter 750 europäischen Führungskräften zeigt: 73 Prozent rechnen mit erheblichen Betriebsbeeinträchtigungen durch Cybervorfälle. Doch 51 Prozent betrachten Cybersecurity weiterhin primär als IT-Aufgabe – und nicht als Priorität der Unternehmensführung.

Risikofaktor Mensch: 8 Prozent der Mitarbeiter verursachen 80 Prozent der Vorfälle

Technische Schutzmaßnahmen allein reichen oft nicht aus. Daten des Anbieters Mimecast deuten darauf hin, dass etwa 8 Prozent der Mitarbeiter für 80 Prozent der Sicherheitsvorfälle verantwortlich sind. Dennoch kombinieren bisher nur 28 Prozent der Unternehmen ihre Awareness-Programme mit einem aktiven Risikomonitoring.

Moderne E-Learning-Plattformen setzen daher verstärkt auf interaktive Ansätze. Anbieter wie reteach oder New Horizons integrieren realistische Phishing-Simulationen. Der Lerneffekt wird direkt im Moment eines Fehlverhaltens durch Erklärvideos verstärkt.

Diese Programme dienen nicht nur der Risikoreduktion. Sie erfüllen gleichzeitig die Nachweispflichten für Zertifizierungen nach ISO 27001 oder TISAX.

Neben der allgemeinen Belegschaft rücken spezialisierte Teams in den Fokus. Im Bereich kritischer Infrastrukturen und komplexer ERP-Systeme – etwa SAP-Landschaften – fordern Sicherheitsanalysten regelmäßige Fortbildungen für SOC-Teams (Security Operations Center). Nur so bleiben Bedrohungserkennungen und Incident-Response-Pläne aktuell.

Cyber Resilience Act: Neue Meldepflichten ab September

Der regulatorische Druck wird in der zweiten Jahreshälfte weiter zunehmen. Ab dem 11. September 2026 greift die erste Stufe der Meldepflichten des Cyber Resilience Act (CRA) für aktiv ausgenutzte Schwachstellen.

Anzeige

Geschäftsführer haften persönlich bei unzureichenden Schulungen – das zeigen §43 GmbHG und §93 AktG. Mit dem 3-Stufen-Plan für KI-Kompetenz und jährlichen Cybersicherheitsschulungen minimieren Sie Ihr Haftungsrisiko. Haftungsrisiko jetzt minimieren

Eine Studie von Filigran unter 550 IT-Sicherheitsverantwortlichen zeigt eine erhebliche Lücke in der operativen Umsetzung: 84 Prozent der analysierten Angriffe nutzen bekannte Schwachstellen aus. Diese wurden trotz vorhandener Informationen nicht rechtzeitig behoben.

Die Etablierung von Prozessen zur kontinuierlichen Bedrohungsvalidierung wird daher als wesentlicher Bestandteil künftiger Compliance-Strategien angesehen.

de | wirtschaft | 69690767 |