Logo der activeMind AG
  • Geschätzte Lesezeit: 9 Minuten

Geschäftsleitungsschulungen nach NIS2

Inhalt

Mit der NIS2-Richtlinie und ihrer baldigen Umsetzung in deutsches Recht rückt die Verantwortung für Cybersicherheit stärker in den Fokus der Unternehmensführung. Viele Geschäftsleitungen sind künftig gesetzlich verpflichtet, sich regelmäßig zu Cybersicherheitsrisiken und -maßnahmen schulen zu lassen. Wir fassen die neue Handreichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) kompakt zusammen.

Die BSI-Handreichung zur Geschäftsleitungsschulung

Mit der Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht durch das neue NIS2-Umsetzungsgesetz wird Cybersicherheit zur strategischen Führungsaufgabe. Der dadurch geänderte § 38 BSIG (BSI-Gesetz) verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen nicht nur zur Umsetzung und Überwachung von Sicherheitsmaßnahmen, sondern auch zur regelmäßigen Schulung in Fragen der Informationssicherheit.

Diese Schulungspflicht ist kein formaler Akt, sondern ein zentrales Element zur Stärkung digitaler Resilienz. Cyberangriffe zählen heute zu den größten Geschäftsrisiken. Fehlentscheidungen auf Leitungsebene – etwa durch mangelndes Verständnis für IT-Risiken oder unzureichende Sicherheitsstrategien – können schwerwiegende Folgen haben, von Betriebsunterbrechungen über Reputationsverluste bis hin zu persönlicher Haftung.

Die neue Handreichung des BSI (PDF) bietet eine erste Orientierung zur Umsetzung dieser Schulungspflicht.

Warum die Geschäftsleitung geschult werden muss

Die Verpflichtung zur Schulung der Geschäftsleitung geht auf Art. 20 Abs. 2 der NIS2-Richtlinie zurück. Darin werden die EU-Mitgliedstaaten verpflichtet, sicherzustellen, dass Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen. Ziel ist es, ihnen das nötige Wissen und die Fähigkeiten zu vermitteln, um Cyberrisiken zu erkennen, Risikomanagementmaßnahmen zu bewerten und die Auswirkungen auf ihre Dienstleistungen zu verstehen.

Diese europäische Vorgabe wird in Deutschland demnächst durch den geänderten § 38 Abs. 3 BSIG konkret umgesetzt. Demnach müssen Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung, Bewertung und Steuerung von Risiken sowie zur Beurteilung von Risikomanagementmaßnahmen zu erwerben.

Hinweis: Die Schulung ist daher kein bloßes Pflichtprogramm, sondern ein zentrales Instrument, um sicherzustellen, dass Führungskräfte fundierte Entscheidungen im Bereich der Cybersicherheit treffen können. Denn gerade auf Leitungsebene können Fehleinschätzungen schwerwiegende Folgen haben – von wirtschaftlichen Schäden über Reputationsverluste bis hin zu persönlicher Haftung.

In einer zunehmend digitalisierten Welt, in der Cyberangriffe zu den größten Bedrohungen für Unternehmen zählen, ist die Schulung der Geschäftsleitung ein entscheidender Schritt. Sie trägt maßgeblich dazu bei, strategische Fehlentscheidungen zu vermeiden und die Resilienz kritischer Infrastrukturen sowie wichtiger Einrichtungen nachhaltig zu stärken.

Achtung: Wie dargestellt, lässt sich auch solange das deutsche NIS2-Umsetzungsgesetz noch nicht in Kraft ist, die Pflicht zur Schulung der Geschäftsleitung direkt aus der NIS2-Richtlinie ableiten. Betroffene Unternehmen sollten hier nicht abwarten.

Wer genau ist im Rahmen von NIS2 und BSIG zu schulen?

Die Schulungspflicht richtet sich an natürliche Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Geschäftsführung besonders wichtiger oder wichtiger Einrichtungen berufen sind. Dazu zählen insbesondere:

  • Geschäftsführer,
  • Mitglieder des Vorstands,
  • sonstige Mitglieder der Unternehmensleitung, sofern sie für strategische Entscheidungen verantwortlich sind.

Darüber hinaus empfiehlt das BSI, auch vergleichbar verantwortliche Personen in die Schulungsmaßnahmen einzubeziehen – etwa:

  • Bereichsleiter mit Verantwortung für IT oder Informationssicherheit,
  • Führungskräfte, die maßgeblich an der Umsetzung von Risikomanagementmaßnahmen beteiligt sind.

Die Handreichung betont, dass es nicht allein auf die formale Position ankommt, sondern auf die tatsächliche Verantwortung für die Sicherheit der Informationssysteme. Unternehmen sollten daher individuell prüfen, welche Personen in ihrer Organisation unter diese Verantwortung fallen und entsprechend in die Schulungspflicht einbezogen werden sollten.

Hinweis: Erfahrungsgemäß zahlt es sich aus, lieber etwas großzügiger zu schulen – also auch potenzielle Nachfolgekräfte oder Führungskräfte der zweiten Ebene einzubeziehen. Wenn etwa ein Mitglied der Geschäftsleitung das Unternehmen verlässt und die leitende Person eines Fachbereichs nachrückt, sparen Sie sich teure Nachschulungen und stellen sicher, dass das Wissen sofort verfügbar ist.

Wie oft und in welchem Umfang muss geschult werden?

Die BSI-Handreichung zur NIS2-Geschäftsleitungsschulung empfiehlt, dass Schulungen für Mitglieder der Geschäftsleitung mindestens alle drei Jahre durchgeführt werden. Dieses Intervall soll sicherstellen, dass das Wissen über aktuelle Bedrohungslagen, gesetzliche Anforderungen und bewährte Sicherheitsmaßnahmen regelmäßig aufgefrischt wird.

Allerdings weist das BSI ausdrücklich darauf hin, dass anlassbezogene Schulungen sinnvoll und in bestimmten Fällen sogar erforderlich sein können. Solche Anlässe können beispielsweise sein:

  • ein Wechsel in der Geschäftsleitung,
  • wesentliche Änderungen der Bedrohungslage,
  • ein schwerwiegender Sicherheitsvorfall,
  • Einführung neuer Technologien oder Prozesse mit erhöhtem Risiko.

Die empfohlene Dauer einer Schulung liegt laut Handreichung bei etwa vier Stunden. Diese Zeitspanne kann je nach Komplexität der Organisation, Risikolage und branchenspezifischen Anforderungen variieren. Entscheidend ist, dass die Schulung praxisnah, verständlich und auf die konkrete Verantwortung der Teilnehmenden zugeschnitten ist.

Die Schulung sollte nicht als einmalige Maßnahme verstanden werden, sondern als Teil eines kontinuierlichen Lern- und Verbesserungsprozesses im Rahmen des unternehmensweiten Risikomanagements.

Aus unserer Erfahrung bei der Errichtung zahlreicher Informationssicherheits-Managementsysteme (ISMS) bei Unternehmen unterschiedlichster Branchen lassen sich diesbezüglich vier zentrale Punkte ableiten:

Die Verantwortung für Cybersicherheit endet nicht mit einer einmaligen Schulung. Sie ist ein kontinuierlicher Prozess, der regelmäßige Auseinandersetzung mit neuen Bedrohungen, Technologien und regulatorischen Anforderungen erfordert.

Die Bedrohungslage im Cyberraum verändert sich ständig. Neue Angriffsmethoden, gesetzliche Änderungen oder technologische Entwicklungen machen es notwendig, dass sich die Geschäftsleitung regelmäßig weiterbildet, um fundierte Entscheidungen treffen zu können.

Wenn die Geschäftsleitung Cybersicherheit als strategisches Thema ernst nimmt und sich regelmäßig fortbildet, sendet sie ein starkes Signal an die gesamte Organisation. Das fördert eine Sicherheitskultur, in der Informationssicherheit als gemeinsame Aufgabe verstanden wird.

Schulungen sollten nicht isoliert betrachtet werden, sondern in die bestehenden Prozesse des unternehmensweiten Risikomanagements eingebettet sein – z. B. in Verbindung mit internen Audits, Notfallübungen oder der Einführung neuer Technologien.

Kurz gesagt: Die Schulung ist kein Selbstzweck, sondern ein Werkzeug, um die digitale Resilienz des Unternehmens langfristig zu sichern – und das beginnt ganz oben, bei der Geschäftsleitung.

Welche Inhalte sollte die NIS2-Geschäftsleitungsschulung umfassen?

Die Schulungsinhalte gliedern sich in drei Bereiche:

Vorbereitende Inhalte

  • Überblick über die NIS2-Richtlinie und ihre Umsetzung in deutsches Recht
  • Pflichten der Geschäftsleitung gemäß § 38 BSIG
  • Melde- und Registrierungspflichten
  • Einordnung der Schulungspflicht in das Risikomanagement

Kerninhalte

  • Risikoanalyse: Methoden zur Erkennung und Bewertung von Risiken
  • Risikomanagementmaßnahmen: Strategien, Standards und Mindestanforderungen
  • Auswirkungen von Risiken: wirtschaftliche, rechtliche und betriebliche Folgen

Ergänzende Inhalte

  • Sektor- und einrichtungsspezifische Anforderungen
  • Praxisnahe Übungen, Fallstudien und Planspiele zur Anwendung des Gelernten

Wie müssen Schulungen dokumentiert und nachgewiesen werden?

Die Teilnahme an Schulungen muss nachvollziehbar dokumentiert werden. Laut BSI gehören dazu:

  • Namen der Teilnehmenden
  • Datum und Dauer der Schulung
  • Inhalte sowie ggf. verwendete Unterlagen

Diese Nachweise müssen auf Anfrage der zuständigen Behörden (z.B. BSI) vorgelegt werden können. Eine Prüfung oder Zertifizierung der Teilnehmenden ist nicht vorgeschrieben, eine strukturierte und aussagekräftige Dokumentation ist aber unerlässlich, um die Einhaltung der Schulungspflicht nach § 38 Abs. 3 BSIG zu belegen. Die Unterlagen sollten revisionssicher archiviert und bei Bedarf schnell abrufbar sein.

Unserer Erfahrung nach lohnt es sich, den Schulungsprozess nicht nur gut zu dokumentierten, weil dies gesetzlich erforderlich ist, sondern weil es ein wichtiger Bestandteil eines wirksamen Sicherheits- und Compliance-Managements ist. Dies zahlt sich auch bei etwaigen weiteren Nachweisen oder Zertifizierungen eines ISMS aus.

Was droht bei Verstößen gegen die Schulungspflicht?

Die Schulungspflicht ist Teil der gesetzlichen Verantwortung der Geschäftsleitung. Bei Verstößen – etwa durch unterlassene Schulungen oder unzureichende Umsetzung von Sicherheitsmaßnahmen – drohen persönliche Haftungsrisiken. Diese können zivilrechtliche Konsequenzen nach sich ziehen, insbesondere wenn durch mangelnde Cybersicherheitsvorkehrungen Schäden entstehen.

Wie wählt man einen Schulungsanbieter aus und über welche Qualifikationen muss er verfügen?

Schulungen können durch interne Fachkräfte oder externe Anbieter, also Cybersicherheitsberatungen durchgeführt werden. Wichtig ist, dass die Inhalte:

  • auf die spezifischen Risiken und Anforderungen der Organisation zugeschnitten sind,
  • aktuelle gesetzliche Vorgaben und Bedrohungslagen berücksichtigen,
  • von qualifizierten Fachleuten mit Erfahrung in Cybersicherheit und Unternehmensführung vermittelt werden.

Ein guter Anbieter sollte zudem Referenzen bei der Errichtung von ISMS vorweisen können und idealerweise bereits Erfahrung mit NIS2-relevanten Schulungen haben.

Fazit und Handlungsempfehlung

Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht wird klar: Cybersicherheit ist Führungsaufgabe. Die Schulungspflicht ist Ausdruck einer neuen Verantwortungskultur. Geschäftsleitungen müssen in der Lage sein, Cyberrisiken zu verstehen, zu bewerten und angemessen zu steuern. Nur so lassen sich Sicherheitsvorfälle vermeiden, regulatorische Anforderungen erfüllen und Haftungsrisiken minimieren.

Wir raten Unternehmen daher, dringend folgende Schritte anzugehen:

  • Prüfen Sie, ob Ihre Einrichtung unter die Regelungen der NIS2-Richtlinie fällt. Nutzen Sie dafür einfach unseren interaktiven NIS2-Check.
  • Planen Sie frühzeitig Schulungen für die Geschäftsleitung – idealerweise im Rahmen eines kontinuierlichen Risikomanagements.
  • Wählen Sie qualifizierte Schulungsanbieter, die branchenspezifisches Know-how mitbringen und die Anforderungen des BSI erfüllen.
  • Dokumentieren Sie alle Schulungsmaßnahmen sorgfältig und revisionssicher.
  • Verankern Sie Cybersicherheit dauerhaft als strategisches Thema auf Leitungsebene – nicht nur zur Erfüllung gesetzlicher Pflichten, sondern als Investition in die Zukunftsfähigkeit Ihres Unternehmens.

Compliance mit der NIS2-Richtlinie

Erfüllen Sie die Vorgaben der NIS2-Richtlinie und des deutschen NIS2-Umsetzungsgesetzes - und wahren Ihre Compliance.
Jetzt beraten lassen

Weiterlesen

  • Datensicherheit

Vereinfachter IKT-Risikomanagementrahmen nach DORA

Für Unternehmen, die aufgrund des FinmadiG gewisse DORA-Anforderungen erfüllen müssen, gilt ein vereinfachter IKT-Risikomanagementrahmen. Wir erklären die Vereinfachungen und was betroffene Unternehmen tun müssen.
  • Datensicherheit

Das DORA-Informationsregister

Wie müssen Unternehmen der Finanzbranche unter DORA ihre eingesetzten IKT-Drittdienstleister dokumentieren? Ein Überblick!
  • Beschäftigtendatenschutz, Datensicherheit, New Work, Technischer Datenschutz

Bring Your Own Device (BYOD) datenschutzkonform umsetzen

Wie können Unternehmen ihren Mitarbeitenden BYOD so ermöglichen, dass Datenschutz, Anwendbarkeit und Effizienz gleichzeitig gewahrt werden?
  • Datensicherheit, KRITIS

Das deutsche NIS2-Umsetzungsgesetz

Was besagt der neue Entwurf vom 25. Juli 2025 für ein Gesetz zur Umsetzung der NIS2-Richtlinie? Welche Organisationen sind betroffen und müssen dann was tun?
  • Datensicherheit, KRITIS

CER und KRITIS, NIS2, DORA – welche Vorschriften gelten für wen?

Welches Unternehmen muss welche Vorgaben zur digitalen und physischen Resilienz erfüllen? Ein Überblick zu EU-Verordnungen und nationaler Gesetzgebung.
  • Datensicherheit, Medizinischer Datenschutz

Bedeutung der BSI C5-Gleichwertigkeitsverordnung für Gesundheitsunternehmen

Bietet die C5-Gleichwertigkeitsverordnung echte Alternativen für Cloud-Anbieter im Gesundheitsbereich?
Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Jetzt kostenfrei anmelden!
Anmeldeschluss: 30. Sept. 2025!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.