Mit der NIS2-Richtlinie und dem dadurch geänderten BSI-Gesetz in Deutschland rückt die Verantwortung für Cybersicherheit stärker in den Fokus der Unternehmensführung. Viele Geschäftsleitungen sind künftig gesetzlich verpflichtet, sich regelmäßig zu Cybersicherheitsrisiken und -maßnahmen schulen zu lassen. Wir fassen die neue Handreichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) kompakt zusammen.
Update, Mai 2026: Wir haben die Inhalte anhand der neuesten Version 1.0 der BSI-Handreichung vom 17. April 2026 aktualisiert.
Tipp: Wenn Sie bereits wissen, dass Sie Ihre Geschäftsführung zu NIS2 schulen müssen, finden Sie hier alle Infos zu unserer NIS2-Geschäftsleitungsschulung.
Die BSI-Handreichung zur Geschäftsleitungsschulung
Mit der Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht durch das neue NIS2-Umsetzungsgesetz wird Cybersicherheit zur strategischen Führungsaufgabe. Der dadurch geänderte § 38 BSIG (BSI-Gesetz) verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen nicht nur zur Umsetzung und Überwachung von Sicherheitsmaßnahmen, sondern auch zur regelmäßigen Schulung in Fragen der Informationssicherheit.
Diese Schulungspflicht ist kein formaler Akt, sondern ein zentrales Element zur Stärkung digitaler Resilienz. Cyberangriffe zählen heute zu den größten Geschäftsrisiken. Fehlentscheidungen auf Leitungsebene – etwa durch mangelndes Verständnis für IT-Risiken oder unzureichende Sicherheitsstrategien – können schwerwiegende Folgen haben, von Betriebsunterbrechungen über Reputationsverluste bis hin zu persönlicher Haftung.
Die neue Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen wichtiger Einrichtungen und besonders wichtiger Einrichtungen nach dem BSI-Gesetz sowie für freiwillige Schulungen von Geschäftsleitungen nicht-regulierter Unternehmen (PDF, Version 1.0) bietet eine gute Orientierung zur Umsetzung dieser Schulungspflicht.
Warum die Geschäftsleitung geschult werden muss
Die Verpflichtung zur Schulung der Geschäftsleitung geht auf Art. 20 Abs. 2 der NIS2-Richtlinie zurück. Darin werden die EU-Mitgliedstaaten verpflichtet, sicherzustellen, dass Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen. Ziel ist es, ihnen das nötige Wissen und die Fähigkeiten zu vermitteln, um Cyberrisiken zu erkennen, Risikomanagementmaßnahmen zu bewerten und die Auswirkungen auf ihre Dienstleistungen zu verstehen.
Diese europäische Vorgabe ist in Deutschland durch § 38 Abs. 3 BSIG konkret umgesetzt. Demnach müssen Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen, um
“ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können“.
Hinweis: Die Schulung ist daher kein bloßes Pflichtprogramm, sondern ein zentrales Instrument, um sicherzustellen, dass Führungskräfte fundierte Entscheidungen im Bereich der Cybersicherheit treffen können. Denn gerade auf Leitungsebene können Fehleinschätzungen schwerwiegende Folgen haben – von wirtschaftlichen Schäden über Reputationsverluste bis hin zu Bußgeldern und persönlicher Haftung.
In einer zunehmend digitalisierten Welt, in der Cyberangriffe zu den größten Bedrohungen für Unternehmen zählen, ist die Schulung der Geschäftsleitung ein entscheidender Schritt. Sie trägt maßgeblich dazu bei, strategische Fehlentscheidungen zu vermeiden und die Resilienz kritischer Infrastrukturen sowie wichtiger Einrichtungen nachhaltig zu stärken.
Wer genau ist im Rahmen von NIS2 und BSIG zu schulen?
Die Schulungspflicht richtet sich an natürliche Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Geschäftsführung und zur Vertretung besonders wichtiger oder wichtiger Einrichtungen berufen sind. Alle Personen, die dieser Definition entsprechen, sind schulungspflichtig. Dazu zählen insbesondere:
- Geschäftsführer,
- Mitglieder des Vorstands,
- sonstige Mitglieder der Unternehmensleitung, sofern sie für strategische Entscheidungen verantwortlich sind,
- Prokuristen
Darüber hinaus empfiehlt das BSI, auch vergleichbar verantwortliche Personen in die Schulungsmaßnahmen einzubeziehen – etwa:
- Bereichsleiter mit Verantwortung für IT oder Informationssicherheit,
- Führungskräfte, die maßgeblich an der Umsetzung von Risikomanagementmaßnahmen beteiligt sind.
Die Handreichung betont, dass es nicht allein auf die formale Position ankommt, sondern auf die tatsächliche Verantwortung für die Sicherheit der Informationssysteme. Unternehmen sollten daher individuell prüfen, welche Personen in ihrer Organisation unter diese Verantwortung fallen und entsprechend in die Schulungspflicht einbezogen werden sollten.
Hinweis: Erfahrungsgemäß zahlt es sich aus, lieber etwas großzügiger zu schulen – also auch potenzielle Nachfolgekräfte oder Führungskräfte der zweiten Ebene einzubeziehen. Wenn etwa ein Mitglied der Geschäftsleitung das Unternehmen verlässt und die leitende Person eines Fachbereichs nachrückt, sparen Sie sich teure Nachschulungen und stellen sicher, dass das Wissen sofort verfügbar ist.
Wie oft und in welchem Umfang muss geschult werden?
Das BSIG macht zu Intervall und Dauer der verpflichtenden Schulungen keine konkreten Vorgaben über den Begriff „regelmäßig“ hinaus. Das BSI empfiehlt daher, Schulungsintervalle und -dauer risikoorientiert festzulegen – ausgerichtet an der Risikoexposition der Einrichtung und den individuellen Kenntnissen der Geschäftsleitung, wobei gewährleistet sein muss, dass informierte Entscheidungen getroffen werden können.
Empfohlen wird eine ausführliche initiale Schulung mit anschließenden regelmäßigen Folgeschulungen. Bestehende Formate können um die empfohlenen Inhalte erweitert werden.
Gemäß BSI-Handreichung zur NIS2-Geschäftsleitungsschulung sind entscheidende Anhaltspunkte für die Wahl der Art und Dauer sowie des Intervalls der nachfolgenden Schulungen folgende Punkte:
- Wechsel in der Geschäftsleitung,
- Signifikante Änderungen in den Geschäftsprozessen,
- Signifikante Änderungen der Risikoexposition,
- Signifikante Änderungen bei implementierten oder geplanten Risikomanagementmaßnahmen.
Die Dauer einer Schulung sowie das Intervall für die Wiederholung solcher Schulungen können je nach Risikoexposition der Einrichtung und den individuellen Fähigkeiten der Geschäftsleitung gewählt werden, dabei muss sich an den oben genannten Kriterien orientiert werden. Entscheidend ist, dass alle geforderten Kenntnisse und Fähigkeiten auf sinnvolle Weise vermittelt werden.
Achtung: Wichtig ist auch eine lückenlose Dokumentation über Datum, Zeitraum und Inhalte der durchgeführten Schulungen.
Die Schulung sollte nicht als einmalige Maßnahme verstanden werden, sondern als Teil eines kontinuierlichen Lern- und Verbesserungsprozesses im Rahmen des unternehmensweiten Risikomanagements.
Aus unserer Erfahrung bei der Errichtung zahlreicher Informationssicherheits-Managementsysteme (ISMS) bei Unternehmen unterschiedlichster Branchen lassen sich diesbezüglich vier zentrale Punkte ableiten:
Verantwortung ist dauerhaft
Die Verantwortung für Cybersicherheit endet nicht mit einer einmaligen Schulung. Sie ist ein kontinuierlicher Prozess, der regelmäßige Auseinandersetzung mit neuen Bedrohungen, Technologien und regulatorischen Anforderungen erfordert.
Wissen muss aktuell bleiben
Die Bedrohungslage im Cyberraum verändert sich ständig. Neue Angriffsmethoden, gesetzliche Änderungen oder technologische Entwicklungen machen es notwendig, dass sich die Geschäftsleitung regelmäßig weiterbildet, um fundierte Entscheidungen treffen zu können.
Vorbildfunktion und Kulturwandel
Wenn die Geschäftsleitung Cybersicherheit als strategisches Thema ernst nimmt und sich regelmäßig fortbildet, sendet sie ein starkes Signal an die gesamte Organisation. Das fördert eine Sicherheitskultur, in der Informationssicherheit als gemeinsame Aufgabe verstanden wird.
Integration in das Risikomanagement
Schulungen sollten nicht isoliert betrachtet werden, sondern in die bestehenden Prozesse des unternehmensweiten Risikomanagements eingebettet sein – z. B. in Verbindung mit internen Audits, Notfallübungen oder der Einführung neuer Technologien.
Kurz gesagt: Die Schulung ist kein Selbstzweck, sondern ein Werkzeug, um die digitale Resilienz des Unternehmens langfristig zu sichern – und das beginnt ganz oben, bei der Geschäftsleitung.
Welche Schulungsformate sind empfehlenswert?
Schulungen für Geschäftsleitungen sollten sich an der BSI-Handreichung orientieren und Inhalte praxisnah vermitteln – etwa über Beispielszenarien, interaktive Übungen oder Case Studies. Um der Schulungspflicht nachzukommen, gibt es dabei verschiedene geeignete Ansätze: Statt ausschließlich mehrstündiger Unterrichtsblöcke können Inhalte auch in alternativen Formaten vermittelt werden, insbesondere in interaktiven oder zeitlich dezentralen Settings.
Gerade solche Formate helfen, den entscheidenden Bezug zwischen Schulungsinhalten und gelebtem Risikomanagement herzustellen. Sie ermöglichen es Geschäftsleitungen, Wissen auf konkrete Situationen zu übertragen und die eigene Entscheidungs- und Beurteilungskompetenz realitätsnah zu trainieren. Besonders wirksam sind Beispiele, die typische Bedrohungslagen, Schwachstellen oder Entscheidungssituationen im eigenen Sektor bzw. der eigenen Organisation abbilden. Ziel ist, die Wechselwirkungen zwischen Risiken, Maßnahmen und Auswirkungen nachvollziehbar zu machen und Geschäftsleitungen zu befähigen, Risiken unternehmerisch einzuordnen und auf Basis begrenzter Informationen tragfähige Entscheidungen zu treffen.
Die BSI-Handreichung stellt folgenden Beispiele für Schulungsformate vor. Diese Formate können beliebig kombiniert oder abgewandelt werden:
Risikomanagement-Quarterly
Ein fester Termin jedes Quartal, in dem der Informationssicherheitsbeauftragte (ISB) mit der gesamten Geschäftsleitung an konkreten Problemen und Fragestellungen der Einrichtung Konzepte des Risikomanagements und der Informationssicherheit vermittelt.
Tabletop Exercise/Planspiel
Moderierte Übung anhand von typischen Szenarien im Risikomanagement, um die wechselseitigen Beziehungen von Informationssicherheit (Risiken/Maßnahmen) und Management-Entscheidungen aufzuzeigen.
Audit-Simulation
Eine typische Prüfungssituation entsprechend der Methodik relevanter Audits (z. B. ISO 27001-Audit, KRITIS-Nachweisprüfung, künftiges Audit nach § 61 BSIG etc.) wird mit Beteiligung der Geschäftsleitungen als Teilnehmenden simuliert.
Management Red-/Blue-Teaming
Abwandlung von herkömmlichen Cyber-Übungen: Blue Team spielt Unternehmenssteuerung/Geschäftsleitung, Red Team spielt Angreifer/Krisenentwicklung. Fokus nicht auf tatsächliche technische Simulation, sondern Management-Entscheidungen vor/während Krisensituationen durch das Erleben von möglichen Angriffsszenarien und dem Erkennen geeigneter Maßnahmen.
Szenarien
Illustrierung von abstrakten Inhalten in konkreten sektor- und einrichtungsspezifischen Szenarien sollten regelmäßiger Bestandteil von Schulungen sein, um den Bezug zur eigenen Einrichtung und die Relevanz der vermittelten Inhalte darzulegen.
Übungen
Krisen-/Notfallübungen sind sinnvoll, nicht nur als Teil von Schulungen. Dies ist insbesondere effektiv, wenn die Geschäftsleitung und die IT-Sicherheitsexperten Übungsszenarien gemäß ihrer jeweiligen Rolle gemeinsam üben.
Case-Studies
Das Aufzeigen von Entscheidungen und Fehlentscheidungen im Risikomanagement anhand von konkreten Case-Studies ist eine weitere sinnvolle Möglichkeit, Inhalte zu konkretisieren und deren Relevanz für Geschäftsleitungen greifbarer zu machen.
Live-Hacking
Um Risiken konkret und unmittelbar aufzuzeigen, kann ein Live-Hacking effektiv sein. Diese Demonstration ist eher als Zusatz zu anderen Schulungsformaten zu sehen.
Welche Inhalte sollte die NIS2-Geschäftsleitungsschulung umfassen?
Das BSI gibt folgende Empfehlungen für Schulungsinhalte und setzt ein übergreifendes Ziel:
„[W]ichtige und besonders wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen umsetzen und deren Geschäftsleitungen müssen ihren gesetzlichen Pflichten zur Umsetzung der Maßnahmen und zur Überwachung der Umsetzung nachkommen können. Die Befähigung der Geschäftsleitungen dazu ist das eigentliche und übergreifende Ziel der Geschäftsleitungsschulungen.“
Die BSI-Handreichung stellt klar, dass es nur Empfehlungen ausspricht.
Hinweis: Diese Empfehlungen gelten für alle Geschäftsleitungen, auch Geschäftsleitungen von nicht regulierten Einrichtungen.
Aus Sicht des BSI sollten alle Schulungen so aufgebaut sein, dass die Kerninhalte (also die in § 38 Absatz 3 BSIG geforderten) sinnvoll eingebettet werden. Dies ist wichtig, um die Verantwortung der Geschäftsführung durch unterstützende Schulungsinhalte zu kontextualisieren und zu illustrieren.
Bei der Vermittlung der Schulungsinhalte muss personen- und funktionsangemessen priorisiert werden. Nicht alle Mitglieder der Geschäftsleitung müssen die gleichen Inhalte in gleicher Detailtiefe vermittelt bekommen. Die Schulungsinhalte müssen sich primär am übergreifenden Ziel orientieren, die Geschäftsleitungen auf ihre gesetzliche Rolle vorzubereiten. Wenn in Teilbereichen schon „ausreichende Kenntnisse und Fähigkeiten“ vorhanden sind, müssen diese nicht in Schulungen oder Folgeschulungen vermittelt werden.
Achtung: Einrichtungen müssen all diese Entscheidungen und deren Begründung aber nachvollziehbar dokumentieren.
Die Schulungsinhalte gliedern sich in folgende Bereiche:
Kerninhalte
Kerninhalte der Schulung sind: Erkennung und Bewertung von Risiken, Risikomanagementmaßnahmen sowie die Beurteilung ihrer Auswirkungen.
- Risikoanalyse: Methoden zur Erkennung und Bewertung von Risiken
- Risikomanagementmaßnahmen: Strategien, Standards und Mindestanforderungen
- Auswirkungen von Risiken und Risikomanagementmaßnahmen: wirtschaftliche, rechtliche und betriebliche Folgen
- Sektor- und einrichtungsspezifische Anforderungen
- Praxisnahe Übungen, Fallstudien und Planspiele zur Anwendung des Gelernten
Unterstützende Inhalte
- Überblick über die NIS2-Richtlinie und ihre Umsetzung in deutsches Recht
- Pflichten der Geschäftsleitung gemäß § 38 BSIG im Kontext der Einrichtung
- Melde- und Registrierungspflichten
- Einordnung der Schulungspflicht in das Risikomanagement
Wie müssen Schulungen dokumentiert und nachgewiesen werden?
Die regelmäßige Teilnahme an Geschäftsleitungsschulungen muss nachvollziehbar und aussagekräftig dokumentiert werden. Laut BSI gehören dazu mindestens:
- Angaben zum Schulungsanbieter bzw. zur internen Stelle
- Angaben zu den geschulten Teilnehmenden (Name, Rolle/Funktion in der Organisation)
- Datum, Uhrzeit, Dauer der Schulungseinheiten
- Behandelte Unterrichtsinhalte/-formate und Bezüge zu den gesetzlichen Vorgaben aus § 38 Absatz 3 BSIG
Eine solche aussagekräftige Dokumentation kann nur die regelmäßige Teilnahme an Schulungen belegen, nicht aber die Vermittlung „ausreichender Kenntnisse und Fertigkeiten“.
Laut BSI wird sich der Lernerfolg der Schulungen in den Dokumentationen zur Entscheidungsfindung und Umsetzung aller anderen Pflichten des BSIG, insbesondere der Umsetzung der Risikomanagementmaßnahmen, widerspiegeln: Die Geschäftsleitung hat dann „ausreichend Kenntnissen und Fähigkeiten“ erlangt, wenn sie aktiv und nachvollziehbar an Entscheidungen im Risikomanagement mitwirkt und somit ihrer gesetzlichen Pflicht aus § 38 Absatz 1 BSIG nachkommt.
Diese Nachweise müssen auf Anfrage der zuständigen Behörden (z.B. BSI, den vom BSI beauftragten „unabhängigen Stellen“) vorgelegt werden können. Eine Prüfung oder Zertifizierung der Teilnehmenden ist nicht vorgeschrieben, eine strukturierte und aussagekräftige Dokumentation ist aber unerlässlich, um die Einhaltung der Schulungspflicht nach § 38 Abs. 3 BSIG zu belegen. Die Unterlagen sollten revisionssicher archiviert und bei Bedarf schnell abrufbar sein.
Unserer Erfahrung nach lohnt es sich, den Schulungsprozess nicht nur gut zu dokumentierten, weil dies gesetzlich erforderlich ist, sondern weil es ein wichtiger Bestandteil eines wirksamen Sicherheits- und Compliance-Managements ist. Dies zahlt sich auch bei etwaigen weiteren Nachweisen oder Zertifizierungen eines ISMS aus.
Was droht bei Verstößen gegen die Schulungspflicht?
Die Schulungspflicht ist Teil der gesetzlichen Verantwortung der Geschäftsleitung. Bei Verstößen – etwa durch unterlassene Schulungen oder unzureichende Umsetzung von Sicherheitsmaßnahmen – drohen persönliche Haftungsrisiken. Diese können zivilrechtliche Konsequenzen nach sich ziehen, insbesondere wenn durch mangelnde Cybersicherheitsvorkehrungen Schäden entstehen.
Wie wählt man einen Schulungsanbieter aus und über welche Qualifikationen muss er verfügen?
Schulungen können durch interne Fachkräfte oder externe Anbieter, wie bspw. Cybersicherheitsberatungsunternehmen, durchgeführt werden. Wichtig ist, dass die Inhalte:
- auf die spezifischen Risiken und Anforderungen der Einrichtung, u. a. kritische Geschäftsprozesse, Governance-Strukturen, die aktuelle Risikolage sowie konkrete Entscheidungsanlässe, zugeschnitten sind,
- aktuelle gesetzliche Vorgaben und Bedrohungslagen berücksichtigen,
- von qualifizierten Fachleuten mit Erfahrung in Cybersicherheit und Unternehmensführung vermittelt werden.
Ein guter Anbieter sollte zudem Referenzen bei der Errichtung von ISMS vorweisen können und idealerweise bereits Erfahrung mit NIS2-relevanten Schulungen haben.
Hinweis: Allgemeine NIS2-Schulungen von externen Bildungsträgern sind allein nicht ausreichend. Sinnvoll kann daher ein Modell sein, in dem allgemeine Inhalte von externen Anbietern oder Dienstleistern durch spezifische Inhalte ergänzt werden, die durch interne Cybersicherheitsexperten vermittelt werden. Alternativ führt die schulende externe Fachkraft zuerst ein ISMS-Audit oder eine NIS2-Gap-Analyse durch und kann dann auf einrichtungsindividuelle Aspekte in der NIS2-Schulung eingehen.
Das BSI weist darauf hin, dass bei internen Schulungen die unabhängige Wissensgrundlage nicht aus den Augen verloren werden sollte. Erfolgt die Schulung ausschließlich durch interne Stellen, besteht die Gefahr struktureller Erkenntnisdefizite: Die Geschäftsleitung erfährt, wie Prozesse umgesetzt werden, kann jedoch deren rechtliche und risikotechnische Angemessenheit nicht eigenständig beurteilen. Beiträge externer, unabhängiger Risiko-, Compliance- und Rechtsexpertise können daher ein wesentlicher Bestandteil effektiver Governance sein.
Tipp: Wir empfehlen daher, die Schulung etwa durch den externen Informationssicherheitsbeauftragten durchführen zu lassen.
Fazit und Handlungsempfehlung
Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht wird klar: Cybersicherheit ist Führungsaufgabe. Die Schulungspflicht ist Ausdruck einer neuen Verantwortungskultur. Geschäftsleitungen müssen in der Lage sein, Cyberrisiken zu verstehen, zu bewerten und angemessen zu steuern. Nur so lassen sich Sicherheitsvorfälle vermeiden, regulatorische Anforderungen erfüllen und Haftungsrisiken minimieren.
Wir raten Unternehmen daher, dringend folgende Schritte anzugehen:
- Prüfen Sie, ob Ihre Einrichtung unter die Regelungen der NIS2-Richtlinie fällt. Nutzen Sie dafür einfach unseren interaktiven NIS2-Check.
- Planen Sie frühzeitig Schulungen für die Geschäftsleitung – idealerweise im Rahmen eines kontinuierlichen Risikomanagements.
- Wählen Sie qualifizierte Schulungsanbieter, die branchenspezifisches Know-how mitbringen und die Anforderungen des BSI erfüllen.
- Dokumentieren Sie alle Schulungsmaßnahmen sorgfältig und revisionssicher.
- Verankern Sie Cybersicherheit dauerhaft als strategisches Thema auf Leitungsebene – nicht nur zur Erfüllung gesetzlicher Pflichten, sondern als Investition in die Zukunftsfähigkeit Ihres Unternehmens.
