Schulungspflicht und Zertifikat
DORA und NIS2 verpflichten Geschäftsleitungen nicht nur zum Handeln, sondern auch zum Wissen. Beide Gesetze enthalten eine ausdrückliche Schulungspflicht für die Leitungsebene. Wer seine Pflichten nicht kennt, kann sie nicht erfüllen — und haftet trotzdem persönlich.
Die gesetzliche Grundlage #
NIS2 / NIS2UmsuCG #
§ 38 Abs. 3 NIS2UmsuCG verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, "regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik [...] zu erwerben."
Die europäische Grundlage ist Art. 20 Abs. 2 NIS2: "Die Mitglieder der Leitungsorgane [...] müssen an Schulungen teilnehmen und [...] allen Mitarbeitern regelmäßig entsprechende Schulungen anbieten."
DORA #
Art. 5 Abs. 4 DORA fordert, dass das Leitungsorgan "ausreichende Kenntnisse und Fähigkeiten [unterhält], um [...] die IKT-Risiken und deren Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens verstehen und bewerten zu können." Art. 5 Abs. 4 verlangt zudem, dass Mitglieder des Leitungsorgans "aktiv auf dem neuesten Stand hinsichtlich der IKT-Risiken" bleiben — auch durch "ausreichend häufige Schulungen".
Was das für die Praxis bedeutet #
Die Schulungspflicht bezieht sich auf Inhalte, nicht auf Zertifikate. Das Gesetz schreibt kein bestimmtes Schulungsprogramm und keinen bestimmten Anbieter vor. Entscheidend ist, dass die Geschäftsleitung nachweisen kann, sich mit den relevanten Risiken auseinandergesetzt zu haben.
Ein Teilnahmezertifikat ist dabei kein Selbstzweck. Es dokumentiert:
- Wann die Schulung stattfand
- Welche Inhalte behandelt wurden
- Dass die gesetzlich geforderten Themenfelder abgedeckt waren
Im Haftungsfall oder bei einer Prüfung durch die Aufsichtsbehörde ist diese Dokumentation ein konkreter Nachweis dafür, dass die Geschäftsleitung ihrer Schulungspflicht nachgekommen ist.
Was das OTTRIA-Zertifikat dokumentiert #
Das Zertifikat bestätigt die Teilnahme an einem Info-Abend mit folgenden Schulungsinhalten:
- Regulatorischer Rahmen: Überblick über DORA, NIS2, CRA und Produkthaftung mit Bezug auf die persönliche Verantwortung der Geschäftsleitung
- Software-Lieferkettensicherheit: Bedeutung von Open-Source-Komponenten, Pflichten zur laufenden Überwachung und zum Risikomanagement
- Risikobewertung: Grenzen gängiger Maßnahmen (Scanner, SBOM, Dienstleister-Versprechen), Erkennung falscher Sicherheit
- Handlungsoptionen: Praktische Schritte zur Erfüllung der gesetzlichen Anforderungen
Diese Inhalte decken die in § 38 Abs. 3 NIS2UmsuCG und Art. 5 Abs. 4 DORA geforderten Kenntnisbereiche ab: Erkennung und Bewertung von IKT-Risiken, Risikomanagementpraktiken und Auswirkungen auf die Geschäftstätigkeit.
Wer erhält was? #
- DORA- und NIS2-Betroffene erhalten ein namentliches Zertifikat mit Datum, Ort, Inhalten und Unterschrift — als Nachweis für die gesetzliche Schulungspflicht
- CRA- und Produkthaftung-Betroffene erhalten ein Handout über ihre spezifischen Pflichten mit Fokus auf die Software-Lieferkette — kein Zertifikat, da diese Gesetze keine Schulungspflicht für die Geschäftsleitung vorsehen
Das Zertifikat wird sowohl in gedruckter als auch in digitaler Form bereitgestellt.
Reicht ein einzelner Info-Abend? #
Ein Info-Abend ist ein fundierter Einstieg, der die Schulungspflicht für den Bereich Open-Source-Lieferkettensicherheit dokumentiert. Die Gesetze fordern jedoch regelmäßige Schulungen — die Anforderungen entwickeln sich weiter, und die Geschäftsleitung muss auf dem aktuellen Stand bleiben.
OTTRIA bietet daher auch weiterführende Formate an, um die laufende Schulungspflicht zu erfüllen.