NIS-2-Schulungspflicht: Drei strategische Kompetenzen für die Geschäftsführung

NIS-2-Schulungspflicht: Drei strategische Kompetenzen für die Geschäftsführung

Avatar of Phil Marxhausen
Phil Marxhausen
07. Oktober 2025
7 min Lesezeit
Informationssicherheit

Executive Summary:

  • Verantwortung: Die Geschäftsleitung trägt die gesetzliche Verantwortung für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen. Ihr können bei schuldhafter Pflichtverletzung unmittelbare und schwerwiegende Konsequenzen drohen.
  • Drei NIS-2-Kernkompetenzen: Um die Haftung zu vermeiden, muss die Geschäftsleitung Kenntnisse und Fähigkeiten in der Erkennung und Bewertung von Risiken, den Risikomanagementpraktiken sowie der Beurteilung ihrer Auswirkungen auf die Dienste erlangen.
  • Schulungspflicht: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, wobei das BSI mindestens ein Intervall von alle drei Jahre empfiehlt.
  • Strategischer Fokus: Cybersicherheit muss integraler Bestandteil der Geschäfte und des Risikomanagements des Unternehmens sein.

1. Der strategische Wandel: Warum Cybersicherheit Chefsache ist

Die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungsgesetzentwurf (BSIG-E) erhöht die Anforderungen an Unternehmen erheblich. Für Entscheider (Manager, VPs, CFOs, CTOs, Geschäftsführer) ist entscheidend: Cybersicherheit ist nicht länger nur eine Aufgabe für die IT-Abteilung.

Die gesetzliche Grundlage (§ 38 BSIG-E) verpflichtet die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen dazu, die erforderlichen Risikomanagementmaßnahmen umzusetzen und deren Einhaltung aktiv zu überwachen. Verletzen Geschäftsleitungen diese Pflichten schuldhaft, haften sie für den verursachten Schaden nach den auf die Rechtsform des Unternehmens anwendbaren Regeln des Gesellschaftsrechts.

Um dieser enormen Verantwortung gerecht zu werden und Haftungsrisiken zu minimieren, sieht das Gesetz eine gesonderte Schulungspflicht für Geschäftsleitungen vor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner vorläufigen Handreichung dargelegt, welche Inhalte und Ambitionen diese Schulungen erfüllen müssen, um dem gesetzlichen Anspruch zu genügen.

Die Rolle des BSI-Leitfadens

Die Handreichung des BSI dient als erste Hilfestellung, um dem Verständnis des BSI vom Scope der Schulungen nach § 38 Abs. 3 BSIG-E zu entsprechen. Schulungen, die nur auf Risikomanagementmaßnahmen fokussieren, werden vom BSI als nicht ausreichend bewertet, da die drei geforderten Aspekte untrennbar miteinander verknüpft sind.

Schulungen müssen regelmäßig stattfinden. Als Orientierung gilt: mindestens alle drei Jahre. Sinnvolle Anlässe für eine Abweichung bzw. einer Verkürzung von diesem Mindestintervall sind:

  • Wechsel in der Geschäftsleitung
  • Signifikante Änderungen in den Geschäftsprozessen
  • Signifikante Änderungen der Risikoexposition

Zur Dauer macht der Gesetzgeber keine starren Vorgaben, geht aber von durchschnittlich halbtägigen Schulungen (vier Stunden) aus, wobei die tatsächliche Dauer die vier Stunden je nach Risikoexposition auch deutlich überschreiten kann.

Blog post image

2. Der Deep Dive: Die drei NIS-2-Kernkompetenzen

Geschäftsleitungen müssen mindestens in den folgenden drei miteinander verknüpften Bereichen mit ausreichenden Kenntnissen und Fähigkeiten ausgestattet werden:

Blog post image

2.1 Kernkompetenz 1: Risiken strategisch erkennen und bewerten (Risikoanalyse)

Die Geschäftsleitung muss in der Lage sein, an der Bewertung von Cybersicherheitsrisiken mitzuwirken und diese sinnvoll einzuschätzen, um entsprechende Maßnahmen treffen zu können. Dabei geht es nicht um technische Tiefe, sondern um die strategische Einordnung.

Was Geschäftsleitungen verstehen sollten:

  • Sinn, Ziele und zentrale Begriffe des Risikomanagements als systematischer Prozess.
  • Den Risikomanagementprozess in seinen Bestandteilen (Analyse, Bewertung, Behandlung, etc.).
  • Die Identifizierung von Assets (physisch, digital, menschlich, prozessual, immateriell).
  • Die Grundbegriffe der Risikobewertung:
    • Eintrittswahrscheinlichkeit.
    • Schadensausmaß.
    • Risikoakzeptanz.
  • Nicht-technische Risiken (z. B. durch menschliches Fehlverhalten, Lieferkettenprobleme oder organisatorische Schwächen) sind Teil der Risikobetrachtung.
  • Die möglichen Schadensarten (finanziell, reputativ, betrieblich, rechtlich). Die Risikobewertung muss stets wirtschaftliche, rechtliche und reputative Folgen berücksichtigen.

2.2 Kernkompetenz 2: Risikomanagementmaßnahmen auf Management-Ebene verstehen

Die Geschäftsleitung muss technisch-organisatorische Risikomanagementmaßnahmen kennen. Mindestens müssen die Mindestanforderungen aus § 30 Abs. 2 BSIG-E vermittelt werden. Hierbei ist das Verständnis der Wirkweise und betriebswirtschaftlichen Auswirkung im Fokus, nicht die tiefe technische Umsetzung.

Was Geschäftsleitungen kennen sollten:

  • Die gesetzlich genannten Mindestmaßnahmen und deren Bedeutung für die eigene Einrichtung.
  • Strategien zur Risikobehandlung (Vermeidung, Minderung, Übertragung, Akzeptanz). Wichtig: Übertragung und Akzeptanz sind für wichtige und besonders wichtige Einrichtungen eher nicht akzeptabel.
  • Grundlegende Prinzipien und Ziele von Maßnahmen zur Risikominderung.
  • Maßnahmen müssen den Stand der Technik einhalten und verhältnismäßig sein.
  • Die Auswirkungen technischer und organisatorischer Maßnahmen auf Geschäftsprozesse und die Resilienz der Einrichtung.

2.3 Kernkompetenz 3: Die strategische Beurteilung der Auswirkungen (Business Impact)

Die Kombination der Kenntnisse aus Risikoerkennung und Maßnahmenverständnis ist entscheidend, um die Auswirkungen von Risiken und Risikomanagementmaßnahmen sinnvoll beurteilen zu können. Die reine Wissensvermittlung ist nicht ausreichend.

Was Geschäftsleitungen beurteilen können sollten:

  • Die Auswirkungen bestimmter Risiken auf die Verfügbarkeit, Integrität und Vertraulichkeit der erbrachten Dienste.
  • Die potenziellen wirtschaftlichen, rechtlichen und reputativen Folgen unzureichender Risikobehandlung.
  • Wie sich präventive und reaktive Maßnahmen auf Betriebsabläufe und Dienstkontinuität auswirken.
  • Abhängigkeiten und Dominoeffekte zwischen IT-Systemen, Prozessen und Dienstleistungen.
  • Cybersicherheitsrisiken müssen als Geschäftsrisiken eingeordnet werden, um Managemententscheidungen zu treffen.
  • Die Auswirkungen unzureichender Umsetzung von Risikomanagementmaßnahmen:
    • Aufsichtsrechtliche Maßnahmen.
    • Haftungsrisiken.
  • Dass ausreichend Ressourcen (Budget, Personal) für die Umsetzung des Risikomanagements bereitgestellt werden müssen.

3. Action-Oriented Conclusion

Die NIS-2-Richtlinie verschiebt die Cybersicherheitsverantwortung unmissverständlich auf die Geschäftsleitungsebene. Um die persönliche Haftung und strategische Risiken zu minimieren, ist die regelmäßige, zielgerichtete Schulung der Geschäftsleitung unverzichtbar.

Stellen Sie sicher:

  1. Dass Ihre Schulungen die drei Kernbereiche (Risikoanalyse, Maßnahmen, Auswirkungen) vollständig abdecken – ein Fokus allein auf technische Maßnahmen ist nicht ausreichend.
  2. Dass interne Experten spezifische, auf Ihre Einrichtung zugeschnittene Inhalte ergänzen, um die Wirksamkeit der Schulung zu maximieren.
  3. Dass Sie Szenarien, Übungen und Fallstudien einsetzen, um die Entscheidungs- und Beurteilungskompetenz unternehmerisch zu erproben und nicht nur theoretisches Wissen zu vermitteln.

Die Schulungspflicht ist Ihre strategische Chance, Cybersicherheit als kritischen Wettbewerbsvorteil zu verankern und die Resilienz Ihrer Organisation langfristig zu sichern. ADVISORI unterstützt Sie aktiv bei der Planung, Durchführung und Dokumentation der Schulungsmaßnahmen.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Bereit, Ihr Wissen in Aktion umzusetzen?

Dieser Beitrag hat Ihnen Denkanstöße gegeben. Lassen Sie uns gemeinsam den nächsten Schritt gehen und entdecken, wie unsere Expertise im Bereich NIS2 Risk Management Framework Ihr Projekt zum Erfolg führen kann.

Mehr über NIS2 Risk Management Framework erfahren

Unverbindlich informieren & Potenziale entdecken.

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten