Warum diese Schulung gesetzlich vorgeschrieben ist
Abschlussbedingungen
Anzeigen
⚠️ Warum diese Schulung gesetzlich vorgeschrieben ist – nicht optional
DORA (Art. 5), NIS2 (Art. 20) und der EU-KI-Gesetzentwurf schreiben ausdrücklich vor, dass die Leitungsorgane eine Cybersicherheitsschulung absolvieren müssen. Dies ist keine Empfehlung, sondern eine rechtliche Verpflichtung .
Die fehlende Dokumentation von Schulungen für Vorstandsmitglieder stellt an sich einen Verstoß gegen die Vorschriften dar – unabhängig davon, ob ein Verstoß vorliegt.
Nach erfolgreichem Abschluss dieses Kurses wird ein mit einem Zeitstempel versehenes, überprüfbares Zertifikat sowie ein Schulungsnachweis erstellt, der zur Vorlage bei Aufsichtsbehörden, Wirtschaftsprüfern, Versicherern und Gerichten geeignet ist.
Was „Training“ in der Praxis bedeutet
- Die Schulungen müssen dokumentiert werden – die Organisation muss schriftlich nachweisen können, dass jedes Vorstandsmitglied und jeder C-Suite-Manager ein anerkanntes Cybersicherheitsschulungsprogramm absolviert hat.
- Die Schulungen müssen aktuell sein – die Aufsichtsbehörden erwarten regelmäßige Auffrischungskurse. Die jährliche Teilnahme ist der Mindeststandard.
- Die Schulung muss angemessen sein – ein 30-minütiges Sensibilisierungsvideo genügt den Anforderungen für Vorstandsmitglieder nicht. Ein umfassendes Programm, das Governance-Pflichten, Bedrohungslandschaft und regulatorische Anforderungen abdeckt – wie dieses hier –, hingegen schon.
- Schulungsnachweise sind Beweismittel – im Rahmen einer Untersuchung durch die Aufsichtsbehörde wird diese Schulungsnachweise anfordern, um beurteilen zu können, ob die Leitungsstelle ihren Verpflichtungen nachgekommen ist.
⚖️ Rechtlicher Hinweis
Gemäß Artikel 5(4) des DORA muss das Leitungsorgan „ausreichende Kenntnisse und Fähigkeiten erwerben, um IKT-Risiken und deren Auswirkungen auf den Betrieb der Institution zu verstehen und zu bewerten“. Gemäß Artikel 20(2) des NIS2 sind die Mitglieder des Leitungsorgans verpflichtet, Schulungen zur Cybersicherheit zu absolvieren. Verstöße werden geahndet.
Gemäß Artikel 5(4) des DORA muss das Leitungsorgan „ausreichende Kenntnisse und Fähigkeiten erwerben, um IKT-Risiken und deren Auswirkungen auf den Betrieb der Institution zu verstehen und zu bewerten“. Gemäß Artikel 20(2) des NIS2 sind die Mitglieder des Leitungsorgans verpflichtet, Schulungen zur Cybersicherheit zu absolvieren. Verstöße werden geahndet.
Zuletzt geändert: Dienstag, 24. März 2026, 14:37