🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

Schulungsanforderungen gemäß NIS2: Pflichten, Schwellenwerte und wer diese erfüllen muss

NIS2 im Bildungswesen

Schulen und Bildungseinrichtungen in ganz Europa geraten zunehmend ins Visier von Cyberkriminellen. Anfang 2025 hatten Hacker fünf Tage lang Zugriff auf die IT-Systeme der Technischen Universität Eindhoven (TU/e), wobei sie gestohlene Zugangsdaten und ein VPN ohne Zwei-Faktor-Authentifizierung nutzten. Der Unterricht fiel eine ganze Woche lang aus. Gleichzeitig verlangt die NIS2-Richtlinie von einem Teil des europäischen Bildungssektors, seine digitale Sicherheit nachweislich zu verbessern. Aber für welche Einrichtungen gilt sie, und was genau müssen diese tun? Dieser Artikel gibt einen Überblick.

Fällt der Bildungsbereich unter NIS2?

Die NIS2-Richtlinie gilt, wenn eine Organisation zwei Bedingungen gleichzeitig erfüllt: Sie muss in einem der in Anhang I oder II der Richtlinie genannten Sektoren tätig sein und die Größenkriterien überschreiten. Die Größe allein reicht nicht aus; die Einstufung in einen bestimmten Sektor ist die entscheidende Voraussetzung.

Die NIS2-Richtlinie umfasst den Hochschulbereich als Teil des Forschungssektors (Anhang II). Universitäten und Fachhochschulen, die Forschung betreiben, können daher als wichtige Einrichtungen eingestuft werden. Der Sekundar- und Primarbereich sind in den Anhängen nicht aufgeführt und fallen unabhängig von ihrer Größe nicht automatisch unter die NIS2-Richtlinie.

Allerdings ist es nicht so einfach, dass „große berufsbildende Einrichtungen immer ausgenommen sind“. Es gibt drei Fälle, in denen Einrichtungen der Sekundar- und Primarstufe dennoch betroffen sein können.

Welche Bildungseinrichtungen fallen (möglicherweise) unter NIS2?

Art der Einrichtung NIS2-Status Anmerkungen
Universitäten Wahrscheinlich wichtige Entität Suchfunktion + Größe; beide Bedingungen erfüllen
Fachhochschulen Möglicherweise wichtige Entität Hängt von der Größe und den Forschungsaktivitäten ab
Berufsschulen (MBO) Fällt nicht automatisch in den Geltungsbereich Sektor nicht festgelegt; eine nationale Einstufung oder eine gemischte Struktur kann dies ändern
Sekundarstufe Fällt nicht automatisch in den Geltungsbereich Sektor nicht ausgewiesen; große Schulgruppen können aufgrund einer nationalen Einstufung oder einer gemischten Struktur unter NIS2 fallen
Grundschulbildung Fällt nicht automatisch in den Geltungsbereich Sektor nicht festgelegt; indirekte Anforderungen über Partner möglich

Größenkriterien: NIS2 gilt für Organisationen mit mehr als 50 Beschäftigten oder einem Jahresumsatz bzw. einer Bilanzsumme von über 10 Millionen Euro. Die Größe allein reicht jedoch nicht aus, um eine Organisation in den Anwendungsbereich einzubeziehen – die Branchenzugehörigkeit ist stets die erste Voraussetzung.

Ab wann fallen Sekundar- und Grundschulen eigentlich unter NIS2?

„Nicht automatisch im Anwendungsbereich“ bedeutet nicht „nicht relevant“. Es gibt drei Situationen, in denen Einrichtungen der Sekundar- und Primarstufe mit NIS2 konfrontiert sind:

1. Nationale Bezeichnung

Die Mitgliedstaaten können Organisationen, die nicht in den europäischen Anhängen aufgeführt sind, als kritische Einrichtungen einstufen. Die niederländische Regierung kann beschließen, dass große Schulverbände mit einer bedeutenden gesellschaftlichen Rolle unter das Cybersicherheitsgesetz fallen. Dies gilt insbesondere für sehr große Schulverbände, die Dutzende von Schulen und Tausende von Mitarbeitern betreuen.

2. Gemischte Organisationen

Viele Schulverbände betreiben sowohl Sekundar- als auch Berufsbildung oder sind einer Fachhochschule angegliedert. Wenn der berufsbildende oder hochschulische Bereich groß genug ist und Forschungsaktivitäten durchführt, kann dieser Teil unter NIS2 fallen. In der Praxis gelten die Sicherheitsanforderungen dann für die gesamte Organisation.

3. Indirekte Anforderungen über die Lieferkette

Organisationen, die der NIS2-Richtlinie unterliegen, müssen ihre Lieferkette absichern. Wenn eine schulische Einrichtung Software bereitstellt, Daten austauscht oder mit Einrichtungen zusammenarbeitet, die der NIS2-Richtlinie unterliegen, können diese Partner Sicherheitsanforderungen weitergeben. Auch Fördermittelgeber und staatliche Auftraggeber stellen zunehmend solche Anforderungen.

Welche Pflichten haben Bildungseinrichtungen?

Wenn eine Bildungseinrichtung unter die NIS2-Richtlinie fällt, gelten dieselben grundlegenden Verpflichtungen wie für andere Sektoren. Die für den Bildungsbereich relevantesten sind:

Risikoanalyse und Sicherheitsrichtlinie

Sie sind verpflichtet, die Risiken für Ihre Netzwerke, Systeme und Daten systematisch zu erfassen, einschließlich der Systeme, die von Lieferanten wie SIS-Anbietern, Cloud-Diensten für Lernplattformen und Tools für die Zusammenarbeit genutzt werden.

Meldepflicht für Vorfälle

Schwerwiegende Vorfälle, wie beispielsweise Ransomware-Angriffe auf Verwaltungssysteme für Studierende oder Datenschutzverletzungen, die personenbezogene Daten von Studierenden betreffen, müssen der zuständigen Behörde innerhalb von 24 Stunden gemeldet werden.

Sicherheit in der Lieferkette

Software- und Dienstleister müssen nachweislich Ihre Sicherheitsanforderungen erfüllen. Denken Sie dabei an Anbieter von Lernplattformen, Studierendenverwaltungssystemen oder Cloud-Speichern.

Zugriffsverwaltung und Authentifizierung

Die Multi-Faktor-Authentifizierung ist für den Zugriff auf Systeme mit sensiblen Daten zwingend vorgeschrieben. Im Bildungsbereich gilt dies insbesondere für Mitarbeiter, die Zugriff auf Schüler- und Studentenakten, Finanzsysteme und Forschungsdaten haben. Der Angriff auf die TU Eindhoven im Januar 2025 verdeutlicht, was ohne MFA schiefgehen kann: Hacker verschafften sich über ein VPN ohne Zwei-Faktor-Authentifizierung Zugang und hatten fünf Tage lang unentdeckt Zugriff.

Schulungen zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen

Die NIS2 schreibt ausdrücklich vor, dass Einrichtungen ihre Mitarbeiter im Bereich Cybersicherheit schulen müssen. Dies betrifft nicht nur IT-Mitarbeiter, sondern auch Dozenten, Forscher und Hilfspersonal – also alle, die Zugang zu Systemen und Daten haben.

Warum Cybersicherheit im Bildungswesen besondere Aufmerksamkeit verdient

Bildungseinrichtungen sind aufgrund der Kombination aus wertvollen Forschungsdaten, großen Mengen an personenbezogenen Daten und einer relativ offenen IT-Kultur attraktive Ziele für Cyberkriminelle. Einige konkrete Herausforderungen:

  • Große Benutzergruppen – Zehntausende von Studierenden und Mitarbeitern mit unterschiedlichen Zugriffsrechten.
  • Hohe Fluktuation – jedes Jahr schreiben sich neue Studierende ein und schließen ihr Studium ab; die Konten müssen aktiv verwaltet werden.
  • Eine offene Netzwerkkultur – akademische Freiheit steht manchmal im Widerspruch zu strengen Sicherheitsrichtlinien.
  • Begrenzte IT-Budgets – insbesondere in kleineren Einrichtungen ist der Spielraum für Investitionen in die Sicherheit begrenzt.
  • Wertvolle Forschungsdaten – geistiges Eigentum und Forschungsergebnisse sind für staatliche Akteure von Interesse.

Wie Guardey Bildungseinrichtungen unterstützt

Guardey bietet Schulungen zur Sensibilisierung für Sicherheitsfragen an, deren Inhalte speziell auf den Bildungssektor zugeschnitten sind. Die Mitarbeiter lernen, Phishing-Versuche zu erkennen, sicher mit Daten umzugehen und wissen, wie sie sich verhalten sollen, wenn ihnen etwas Verdächtiges auffällt. All dies in kurzen, leicht verständlichen Modulen, die sich gut in den Arbeitsalltag integrieren lassen.

Durch die kontinuierliche Schulung ihrer Mitarbeiter erfüllen Bildungseinrichtungen die NIS2-Aufklärungspflicht und schaffen gleichzeitig eine Einrichtung, die weniger anfällig für die Angriffe ist, von denen die Branche täglich betroffen ist.

Möchten Sie genau wissen, was NIS2 für Ihre Einrichtung bedeutet? Werfen Sie einen Blick in den NIS2-Leitfaden für 2026 mit allen Verpflichtungen, Schwellenwerten und einer praktischen Checkliste.

Nicht jede Bildungseinrichtung fällt formal unter NIS2, doch die Abgrenzung ist weniger eindeutig, als es den Anschein hat. Universitäten und große Fachhochschulen unterliegen in den meisten Fällen den NIS2-Vorschriften. Bei der beruflichen Bildung sowie der Sekundar- und Primarstufe hängt dies von der nationalen Einstufung, der Organisationsstruktur und den Kooperationspartnern ab.

Beginnen Sie mit einer klaren Festlegung des Anwendungsbereichs, führen Sie eine Risikoanalyse durch und stellen Sie sicher, dass das Personal nachweislich geschult ist. Dies sind die Schritte, mit denen die meisten NIS2-Verpflichtungen direkt erfüllt werden und die zeigen, dass Ihr Institut das Thema Cybersicherheit ernst nimmt.

Schulungen zur Sensibilisierung für Sicherheitsfragen: auch ohne NIS2 sinnvoll

NIS2 gilt zwar nicht für jede Bildungseinrichtung, doch die Bedrohungen, auf die es abzielt, sind überall präsent. Schulungen zur Sensibilisierung für Sicherheitsfragen helfen Ihren Mitarbeitern, Cyberangriffe zu erkennen und darauf zu reagieren – unabhängig davon, ob eine Einhaltung der Vorschriften erforderlich ist.

Guardey für Bildung

Guardey hat spezielle Schulungsmodule für Lehrkräfte entwickelt. Laden Sie die Broschüre herunter oder informieren Sie sich darüber, wie ein maßgeschneidertes Programm für Ihre Einrichtung aussehen könnte.

Guardey für Bildung
Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung