KI und NIS-2: Cybersicherheit und Schulungspflichten 2026

Zwei Regulierungen treffen 2026 aufeinander: der EU AI Act mit seiner KI-Kompetenzpflicht und die NIS-2-Richtlinie mit verschärften Cybersicherheitsanforderungen. Für Unternehmen entsteht daraus eine doppelte Schulungspflicht. Denn KI verändert die Bedrohungslandschaft grundlegend und macht gleichzeitig neue Abwehrstrategien möglich.

Das Wichtigste in Kürze

Die NIS-2-Richtlinie erweitert die Cybersicherheitspflichten auf geschätzt 29.000 bis 40.000 Unternehmen in Deutschland.
Die Geschäftsführung haftet persönlich für Cybersicherheitsmaßnahmen und muss selbst an Schulungen teilnehmen.
KI-gestützte Cyberangriffe (Phishing mit Deepfakes, automatisierte Schwachstellensuche) machen klassische Sicherheitskonzepte unzureichend.
Die Schulungspflichten aus NIS-2 und EU AI Act überschneiden sich bei KI-basierten Sicherheitstools.
Die Weiterbildung zum Digitalisierungsmanager (IHK) deckt beide Bereiche ab.

Wichtig für die Geschäftsführung: NIS-2 Artikel 20 verlangt, dass Leitungsorgane persönlich an Cybersicherheitsschulungen teilnehmen. Eine Delegation an die IT-Abteilung reicht nicht aus.

NIS-2: Wen betrifft es?

Wesentliche Einrichtungen: Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung.

Wichtige Einrichtungen: Post, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung.

Schwellenwerte: Mindestens 50 Mitarbeiter oder mehr als 10 Millionen Euro Jahresumsatz. Aber: Auch als Zulieferer NIS-2-pflichtiger Unternehmen können Sie indirekt betroffen sein (Lieferketteneffekt).

KI als Angriffswaffe

KI-gestütztes Phishing: Personalisierte Phishing-Mails, kaum von echten Geschäftsmails zu unterscheiden. Laut BSI-Lagebericht steigt die Erfolgsquote um den Faktor 3 bis 5.

Deepfake-Betrug: Audio- und Video-Deepfakes ermöglichen CEO-Fraud auf neuem Niveau.

Automatisierte Schwachstellensuche: KI-Tools scannen Netzwerke in Minuten statt Tagen.

Adaptive Malware: Schadsoftware, die ihr Verhalten anpasst, um Erkennungssysteme zu umgehen.

KI als Verteidigungsinstrument

Anomalieerkennung: Ungewöhnliche Muster im Netzwerkverkehr erkennen, bevor ein Mensch den Vorfall bemerkt.

Automatisierte Reaktion: Verdächtige Verbindungen trennen, Konten sperren, Systeme isolieren.

Phishing-Erkennung: KI-basierte E-Mail-Filter erkennen auch neue, unbekannte Angriffsmuster.

Doppelte Schulungspflicht: NIS-2 und EU AI Act

Thema	NIS-2	EU AI Act
KI-gestütztes Phishing erkennen	Ja (Cyber-Schulung)	Ja (KI-Kompetenz)
KI-Sicherheitstools bedienen	Ja (Tool-Schulung)	Ja (KI-System-Kompetenz)
Deepfake-Betrug verhindern	Ja (Social Engineering)	Ja (KI-Risiken)
Incident Response mit KI	Ja (Vorfallmanagement)	Ja (KI-Monitoring)

7-Punkte-Checkliste für Unternehmen

NIS-2-Betroffenheit prüfen. Sektoren, Schwellenwerte und Lieferketteneffekt berücksichtigen.
KI-Risikobewertung im Cybersicherheitskontext. Anfälligkeit für KI-Phishing und Deepfakes bewerten.
Integrierte Schulungsstrategie. Cybersicherheit und KI-Kompetenz in einer Schulung verbinden.
Technische Maßnahmen. KI-basierte E-Mail-Filter, MFA, Deepfake-Verifizierung, Netzwerk-Monitoring.
Dokumentation. Maßnahmen, Schulungen, Vorfälle und KI-Systeme dokumentieren.
Meldeprozesse einrichten. NIS-2 verlangt: 24h Frühwarnung, 72h Vorfallmeldung, 1 Monat Abschlussbericht.
Lieferkette absichern. Cybersicherheit bei Zulieferern und KI-Dienstleistern prüfen.

Sanktionen bei Verstößen

Regelwerk	Maximale Sanktion
NIS-2 (wesentliche Einrichtungen)	10 Mio. EUR oder 2 % des Jahresumsatzes
NIS-2 (wichtige Einrichtungen)	7 Mio. EUR oder 1,4 % des Jahresumsatzes
EU AI Act (Hochrisiko-Pflichten)	15 Mio. EUR oder 3 % des Jahresumsatzes

Besonders brisant: Die persönliche Haftung der Geschäftsführung nach NIS-2. Das ist ein Novum im europäischen Cybersicherheitsrecht.

KI-Kompetenz als Wettbewerbsvorteil

Die Weiterbildung zum Digitalisierungsmanager (IHK) vermittelt beide Kompetenzbereiche: KI-Grundlagen, Prozessautomatisierung und IT-Sicherheit. 4 Monate, komplett online, DEKRA-zertifiziert und förderbar über das Qualifizierungschancengesetz.

Häufige Fragen

Ist mein Unternehmen von NIS-2 betroffen, wenn ich weniger als 50 Mitarbeiter habe?

In den meisten Fällen nicht direkt. NIS-2 erfasst generell Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Indirekt können Sie über die Lieferkette betroffen sein, wenn Ihre Kunden NIS-2-pflichtig sind und Sicherheitsnachweise verlangen.

Muss die Geschäftsführung wirklich persönlich an Cybersicherheitsschulungen teilnehmen?

Ja. NIS-2 Artikel 20 verlangt ausdrücklich, dass die Leitungsorgane an Cybersicherheitsschulungen teilnehmen. Die Geschäftsführung haftet bei Verstößen persönlich. Eine Delegation der Verantwortung an die IT-Abteilung reicht nicht aus.

Wie hängen NIS-2 und EU AI Act zusammen?

Beide Regelwerke sind eigenständig, aber sie überschneiden sich thematisch. NIS-2 verlangt Cybersicherheit, der EU AI Act verlangt KI-Kompetenz. Wer KI in der Cybersicherheit einsetzt, muss beide Regelwerke gleichzeitig erfüllen. In der Praxis empfiehlt sich eine integrierte Schulung.

Brauche ich einen CISO?

NIS-2 schreibt keinen CISO vor, aber die Verantwortlichkeiten müssen klar zugeordnet sein. Für wesentliche Einrichtungen ist ein dedizierter Sicherheitsverantwortlicher faktisch notwendig. Wichtige Einrichtungen können die Aufgabe in bestehende Rollen integrieren.

KI-Kompetenz für Ihr Team aufbauen?

Die Weiterbildung zum Digitalisierungsmanager (IHK) erfüllt die Anforderungen des EU AI Act Artikel 4. DEKRA-zertifiziert, 100 % förderbar.

Weiterbildung ansehen WhatsApp