Blog

NIS-2: Neue Verantwortung für Geschäftsleitungen – BSI veröffentlicht Schulungshandreichung

Datum

Mit der Umsetzung der NIS-2-Richtlinie steigen die Anforderungen an die Cybersicherheit in Unternehmen und Einrichtungen. Besonders im Fokus: die Geschäftsleitung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu eine Handreichung zur Schulungspflicht veröffentlicht, die Führungskräften hilft, ihre neuen Pflichten zu verstehen und umzusetzen.

Was regelt die Handreichung?

Die Publikation richtet sich an Geschäftsleitungen von wichtigen und besonders wichtigen Einrichtungen, die künftig unter die NIS-2-Regulierung fallen. Sie beschreibt:

  • Pflichten der Geschäftsleitung gemäß § 38 BSIG-E
    • Geschäftsleitungen sind verpflichtet, technische und organisatorische Maßnahmen zur Cybersicherheit umzusetzen und deren Wirksamkeit zu überwachen. Bei Verstößen drohen persönliche Haftung und Sanktionen. Die Schulungspflicht ist gesetzlich verankert und soll sicherstellen, dass Führungskräfte Risiken erkennen und bewerten können.
  • Schulungsinhalte zu Risikoerkennung, Risikomanagement und Auswirkungen
    • Die Schulungen müssen drei zentrale Themen abdecken:
      • Erkennung und Bewertung von Risiken
      • Kenntnis und Verständnis von Risikomanagementmaßnahmen
      • Beurteilung der Auswirkungen auf die Dienstleistungserbringung
    • Ziel ist es, strategisches Verständnis zu fördern – nicht technische Detailkenntnis
  • Empfehlungen zu Intervallen und Dauer der Schulungen
    • Laut Gesetzesbegründung sollen Schulungen mindestens alle drei Jahre stattfinden. Bei erhöhtem Risiko oder Veränderungen im Unternehmen sind kürzere Intervalle sinnvoll. Die empfohlene Dauer liegt bei etwa vier Stunden, kann aber je nach Bedarf angepasst werden.
  • Leitfragen zur Selbstbewertung und Vorbereitung auf Audits
    • Das BSI stellt praxisnahe Leitfragen bereit, mit denen sich Geschäftsleitungen auf Audits vorbereiten und ihre Verantwortung reflektieren können. Sie helfen, Umsetzungslücken zu erkennen und den Dialog mit IT und Sicherheitsverantwortlichen zu stärken.

Warum ist das relevant?

Die NIS-2-Richtlinie verpflichtet Geschäftsleitungen, Cybersicherheit aktiv zu steuern – nicht nur delegieren. Schulungen sollen sicherstellen, dass Führungskräfte Risiken erkennen, bewerten und geeignete Maßnahmen verstehen können. Wer diese Verantwortung ignoriert, riskiert Haftung und Sanktionen.

Jetzt handeln: Wir unterstützen Sie bei der NIS-2 Umsetzung mit unserer Software
👉 Kontaktieren Sie uns für ein unverbindliches Erstgespräch