Skip to main content

Geschäftsleitungsschulung nach NIS2: Cybersicherheit wird zur Chefsache

Unser Wissensbeitrag zeigt, warum die Geschäftsleitungsschulung nach NIS2 mehr ist als eine Formalität, welche Pflichten sich aus dem BSIG ergeben und wie sich Unternehmen organisatorisch sinnvoll vorbereiten können.

Online Schulung

Lange galt Cybersicherheit als Aufgabe der IT. Mit der Umsetzung der NIS2-Richtlinie ändert sich dieses Verständnis grundlegend: Informationssicherheit wird zunehmend zur Leitungs- und Organisationsaufgabe. Geschäftsleitungen betroffener Unternehmen müssen sich aktiv mit Cyberrisiken, Sicherheitsmaßnahmen und deren Umsetzung befassen.

Die Geschäftsleitungsschulung nach NIS2 ist deshalb kein reiner Formalismus. Sie soll sicherstellen, dass Entscheidungsträgerinnen und Entscheidungsträger in der Lage sind, Risiken zu erkennen, angemessene Maßnahmen einzuordnen und Informationssicherheit als Teil der Unternehmenssteuerung zu verstehen.

 

NIS2 betrifft nicht nur die IT

NIS2 verfolgt das Ziel, das Cybersicherheitsniveau in der EU zu erhöhen. Betroffen sind insbesondere Unternehmen aus wichtigen und besonders wichtigen Sektoren, etwa aus den Bereichen Energie, Gesundheit, digitale Infrastruktur, Transport, Finanzwesen oder bestimmten digitalen Diensten.

Dabei geht es nicht nur um technische Schutzmaßnahmen wie Firewalls, Backups oder Angriffserkennung. Entscheidend ist auch, ob ein Unternehmen Cyberrisiken organisatorisch steuern kann. Dazu gehören klare Verantwortlichkeiten, dokumentierte Entscheidungen, funktionierende Meldewege und eine regelmäßige Kontrolle der getroffenen Maßnahmen.

An genau solchen Beispielen setzt die Geschäftsleitungsschulung nach NIS2 an.

Kommen Sie bei Fragen zu NIS2 auf uns zu. Wir freuen uns auf Ihre Fragen.

 

Welche Pflichten treffen die Geschäftsleitung?

Die Geschäftsleitung trägt die Verantwortung dafür, dass Cybersicherheit nicht nur auf dem Papier existiert, sondern wirksam in die Organisation eingebunden wird.

Ein kleines Beispiel: Nach einem erfolgreichen Ransomware-Angriff stellt sich heraus, dass bekannte Risiken zwar dokumentiert, notwendige Sicherheitsmaßnahmen jedoch über Monate nicht umgesetzt wurden. Die Geschäftsleitung muss sich dann unter Umständen die Frage gefallen lassen, ob sie ihrer gesetzlichen Überwachungs- und Organisationsverantwortung ausreichend nachgekommen ist.

Nach § 38 Abs. 1 des BSI-Gesetzes (BSIG) muss die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen die Umsetzung der nach § 30 BSIG erforderlichen Maßnahmen zum Management von Cybersicherheitsrisiken überwachen und sich aktiv mit dem Thema Cybersicherheit auseinandersetzen. Damit macht das Gesetz Cybersicherheit ausdrücklich zu einer Leitungsaufgabe.

Außerdem sieht § 38 Abs. 3 BSIG eine regelmäßige Schulungspflicht für Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen vor. Ziel ist, dass die Geschäftsleitung ausreichende Kenntnisse und Fähigkeiten erwirbt, um Risiken zu erkennen, Risikomanagementpraktiken zu bewerten und deren Auswirkungen auf die eigenen Geschäftsabläufe einschätzen und steuern zu können. Unternehmen sollten die Durchführung der Schulung sowie die vermittelten Inhalte nachvollziehbar dokumentieren.

Verletzt die Geschäftsleitung diese Pflichten schuldhaft und entsteht der Einrichtung dadurch ein Schaden, haftet sie nach § 38 Abs. 2 BSIG gegenüber der eigenen Einrichtung nach den jeweils anwendbaren gesellschaftsrechtlichen Vorschriften. Die persönliche Organhaftung kann dabei im Einzelfall auch das Privatvermögen erfassen. Voraussetzung ist jedoch stets, dass die jeweiligen gesellschaftsrechtlichen Haftungsvoraussetzungen erfüllt sind. Daneben können Verstöße gegen die Anforderungen des BSIG auch zu aufsichtsrechtlichen Maßnahmen und Bußgeldern gegenüber dem Unternehmen führen.

Die Geschäftsleitung muss nicht selbst über tiefgehende technische Fachkenntnisse verfügen. Vielmehr soll sie in die Lage versetzt werden, fundierte Entscheidungen zu treffen, Risiken angemessen zu bewerten und ihre Überwachungs- und Organisationspflichten wirksam wahrzunehmen.

 

Warum ist eine Schulung erforderlich?

Cyberrisiken sind heute echte Unternehmensrisiken. Ein erfolgreicher Angriff kann Geschäftsprozesse unterbrechen, Kundendaten gefährden, Lieferketten beeinträchtigen, Meldepflichten auslösen und erhebliche finanzielle oder reputative Folgen haben.

Eine Geschäftsleitung kann solche Risiken nur angemessen steuern, wenn sie die grundlegenden Zusammenhänge versteht. Dazu gehört zum Beispiel:

  • Welche Systeme, Prozesse und Dienste sind besonders kritisch?
  • Welche typischen Angriffsszenarien bestehen?
  • Welche organisatorischen und technischen Schutzmaßnahmen sind angemessen?
  • Welche Melde- und Eskalationswege gelten bei Sicherheitsvorfällen?
  • Wie wird die Umsetzung von Sicherheitsmaßnahmen dokumentiert und überprüft?

Die Schulung soll damit eine Brücke schlagen zwischen technischer Informationssicherheit und unternehmerischer Verantwortung.

 

Welche Inhalte sollte eine Geschäftsleitungsschulung nach NIS2 abdecken?

Eine wirksame Geschäftsleitungsschulung sollte nicht zu technisch sein, aber die wesentlichen Steuerungsfragen verständlich vermitteln. Sinnvolle Inhalte könnten insbesondere sein:

  • Grundlagen von NIS2 und BSIG
  • Rolle und Verantwortung der Geschäftsleitung
  • Cyberrisiken und typische Angriffsszenarien
  • Anforderungen an das Risikomanagement
  • organisatorische und technische Sicherheitsmaßnahmen
  • Meldepflichten bei Sicherheitsvorfällen
  • Dokumentation und Nachweisführung
  • mögliche Haftungs- und Organisationsrisiken

Wichtig ist dabei der Praxisbezug. Die Schulung sollte nicht nur rechtliche Anforderungen erklären, sondern vor allem zeigen, welche Fragen die Geschäftsleitung im Unternehmen stellen und welche Entscheidungen sie nachvollziehbar treffen sollte.

Tipp: Sie möchten die Anforderungen des § 38 BSIG rechtssicher erfüllen? Wir bieten praxisnahe Geschäftsleitungsschulungen an, die speziell auf die Anforderungen Ihres Unternehmens zugeschnitten sind.

 

Was sollten Unternehmen organisatorisch vorbereiten?

Die Schulung ist ein wichtiger Baustein, ersetzt aber keine Umsetzung im Unternehmen. Unternehmen sollten deshalb prüfen, ob ihre internen Strukturen zur neuen Verantwortung der Geschäftsleitung passen.

Dazu gehören insbesondere:

  • klare Zuständigkeiten für Informationssicherheit
  • regelmäßige Berichte an die Geschäftsleitung
  • dokumentierte Risikoentscheidungen
  • definierte Eskalationswege bei Sicherheitsvorfällen
  • nachvollziehbare Prozesse für Meldepflichten
  • ein wirksames Berechtigungs- und Zugriffskonzept
  • Notfall- und Wiederanlaufpläne
  • regelmäßige Überprüfung der Sicherheitsmaßnahmen
  • Einbindung von Datenschutz, IT, Legal, Compliance und Geschäftsleitung

Entscheidend ist, dass Informationssicherheit nicht isoliert betrachtet wird. Sie sollte Teil des allgemeinen Risikomanagements und der Unternehmensführung sein.

 

Fazit: Schulung ist der Anfang, nicht das Ziel

Die Geschäftsleitungsschulung nach NIS2 ist mehr als ein Pflichttermin. Sie soll Geschäftsleitungen befähigen, Cyberrisiken einzuordnen, angemessene Maßnahmen zu verantworten und deren Umsetzung wirksam zu überwachen.

Für Unternehmen bedeutet das: NIS2 sollte nicht nur als IT-Projekt verstanden werden. Es geht um Governance, Risikomanagement und die Frage, wie widerstandsfähig ein Unternehmen gegenüber digitalen Bedrohungen aufgestellt ist.

Cybersicherheit wird damit endgültig zur Chefsache. Wer frühzeitig schult, Zuständigkeiten klärt und Entscheidungswege dokumentiert, schafft nicht nur Compliance, sondern stärkt auch die eigene Resilienz.

 

Sie möchten Ihre Geschäftsleitung auf die Anforderungen der NIS2-Regelungen vorbereiten?

Wir bieten speziell auf Geschäftsführungen und Vorstände zugeschnittene Schulungen an. Verständlich, praxisnah und mit Fokus auf Governance, Haftung und Risikomanagement.

Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

 

Autor

Markus Vatter, Head of Compliance, 26.06.2026

Sprechen Sie mit unseren Experten.

Wir beraten Sie gerne und freuen uns auf Ihre Fragen.