Mit dem neuen BSI-Gesetz (BSIG) in der Fassung des NIS-2-Umsetzungsgesetzes ist klar geregelt:
Cybersicherheit ist keine rein technische Aufgabe mehr, sondern eine zentrale Pflicht der Unternehmensleitung.
Für Geschäftsführungen „besonders wichtiger“ und „wichtiger“ Einrichtungen bedeutet dies nicht nur eine erweiterte Verantwortung, sondern erstmals auch eine ausdrücklich gesetzlich normierte Schulungspflicht.
Dieser Beitrag erläutert, wer zur Schulung verpflichtet ist, welche Inhalte verlangt werden und welche Haftungsrisiken bei Verstößen bestehen.
1. Wer ist von der NIS-2-Schulungspflicht betroffen?
Die Pflicht zur Teilnahme an Schulungen ergibt sich unmittelbar aus § 38 Abs. 3 BSIG. Sie richtet sich an die Geschäftsleitung betroffener Unternehmen.
Geschäftsleitung ist jede natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte oder zur Vertretung der Gesellschaft berufen ist.
Betroffen sind Unternehmen aus den in den Anlagen zum BSIG genannten Sektoren – unter anderem Energie, Gesundheit, Trinkwasser, digitale Infrastruktur sowie das verarbeitende Gewerbe –, sofern sie als „wichtige“ oder „besonders wichtige Einrichtung“ eingestuft werden.
Unabhängig von der formalen Organstellung empfiehlt das BSI, auch Personen in quasi-leitender Funktion oder mit unmittelbarer Zuarbeit zur Geschäftsleitung in die Schulungen einzubeziehen.
2. Die drei Säulen der Schulungsinhalte
Ziel der Schulung ist nicht die Ausbildung zu IT-Experten. Die Geschäftsleitung soll vielmehr über ausreichende Kenntnisse und Fähigkeiten verfügen, um Cybersicherheit strategisch steuern und überwachen zu können.
Die BSI-Handreichung nennt hierfür drei Kernbereiche:
A. Erkennung und Bewertung von Risiken
Die Geschäftsleitung muss Cybersicherheitsrisiken nachvollziehen und einordnen können. Dazu gehören insbesondere:
-
Überblick über physische, digitale und personelle Assets
-
Bewertung von Eintrittswahrscheinlichkeiten und Schadensausmaßen
-
Einbeziehung nicht-technischer Risiken wie Lieferkettenabhängigkeiten oder menschliches Fehlverhalten
B. Risikomanagementpraktiken
Erforderlich ist ein Grundverständnis der technischen und organisatorischen Maßnahmen (TOMs), insbesondere:
-
Kenntnis der gesetzlichen Mindestmaßnahmen nach § 30 Abs. 2 BSIG (z. B. Backup-Strategien, Kryptografie, Multi-Faktor-Authentifizierung)
-
Verständnis der verschiedenen Strategien der Risikobehandlung (Vermeidung, Minderung, Übertragung)
C. Beurteilung der Auswirkungen
Die Geschäftsleitung muss einschätzen können, welche Folgen Sicherheitsvorfälle oder Schutzmaßnahmen haben:
-
Auswirkungen auf Verfügbarkeit, Integrität und Vertraulichkeit der Dienste
-
wirtschaftliche, rechtliche und reputative Konsequenzen von Cybervorfällen
3. Dauer und Intervalle: Was gilt als „regelmäßig“?
Das Gesetz verlangt eine regelmäßige Teilnahme an Schulungen. Die Auslegung durch Gesetzgeber und BSI ist dabei konkret:
| Merkmal | Empfehlung |
|---|---|
| Häufigkeit | mindestens alle drei Jahre |
| Dauer | durchschnittlich ca. vier Stunden |
| Anlassbezogen | früher bei Wechseln in der Geschäftsleitung, wesentlichen Prozessänderungen oder erhöhter Risikoexposition |
Die Schulungen können durch externe Anbieter, spezialisierte Beratungen oder qualifiziertes internes Personal durchgeführt werden.
4. Haftung und Dokumentation: Warum Sie handeln müssen
Mit NIS-2 ist Cybersicherheit eindeutig im Haftungsrecht der Geschäftsleitung angekommen.
Nach § 38 Abs. 2 BSIG haftet die Geschäftsleitung gegenüber der eigenen Einrichtung für schuldhaft verursachte Schäden, wenn Pflichten zur Umsetzung oder Überwachung der Risikomanagementmaßnahmen verletzt werden.
Zudem besteht eine Dokumentationspflicht:
Teilnahme, Dauer und Inhalte der Schulungen müssen nachvollziehbar festgehalten und auf Verlangen der Aufsichtsbehörden oder Prüfer vorgelegt werden.
Bei Verstößen gegen Pflichten nach dem BSIG drohen insbesondere für besonders wichtige Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Vorjahresumsatzes.
Fazit: Cyber-Resilienz beginnt an der Spitze
Die Schulungspflicht nach dem BSIG ist kein bloßer Formalismus. Sie soll sicherstellen, dass die Unternehmensleitung in der Lage ist, fundierte und haftungssichere Entscheidungen zur Absicherung des Geschäftsbetriebs zu treffen.
Wer Schulungen unterlässt oder nur formal abhakt, riskiert nicht nur die IT-Sicherheit des Unternehmens, sondern auch erhebliche persönliche Haftungsfolgen.
Haben Sie bereits ein belastbares Konzept für die Schulung Ihrer Geschäftsleitung?
Gerne unterstütze ich Sie bei der rechtssicheren Ausgestaltung – von der Einordnung bis zur Dokumentation.
