Die Umsetzung der NIS2-Richtlinie bringt für Unternehmen nicht nur technische, sondern vor allem auch organisatorische Veränderungen mit sich. Eine zentrale Rolle hat dabei die Geschäftsleitung inne, indem sie die Verantwortung für das Cybersicherheitsniveau ihres Unternehmens trägt. Um Führungsebenen auf diese neuen Pflichten vorzubereiten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 30.09.2025 eine Handreichung zur NIS2-Geschäftsleitungsschulung veröffentlicht.
Hintergrund zur NIS2-Richtlinie
Schon 2016 wurde die erste NIS-Richtlinie (Network and Information Security Richtlinie) eingeführt, um ein Mindestmaß an Cybersicherheit innerhalb der EU zu gewährleisten. Die NIS-2-Richtlinie, die im Januar 2023 in Kraft trat, verschärft nun die Anforderungen an Unternehmen. Die Richtlinie wendet sich an „wesentliche Sektoren der Wirtschaft“, etwa an öffentliche elektronische Kommunikationsdienste oder den Gesundheitssektor.
Europaweite Umsetzung der Richtlinie
In einem überfälligen Schritt hat das deutsche Bundeskabinett im Sommer einen Regierungsentwurf für ein Umsetzungsgesetz vorgelegt. Eigentlich hätte eine Umsetzung schon bis Mitte Oktober letzten Jahres erfolgen müssen. Angesichts dieser Verzögerungen hatte die EU-Kommission Ende letzten Jahres den ersten Schritt des Vertragsverletzungsverfahrens eingeleitet. Als auch daraufhin in 19 Staaten, inklusive Deutschland, weiterhin kein Gesetzeserlass folgte, leitete die EU-Kommission im Mai den nächsten Schritt ein. In diesem Zusammenhang drohte die EU-Kommission unteranderem an, den EuGH anzurufen, wenn innerhalb von zwei Monaten keine gesetzgeberischen Maßnahmen zur Umsetzung ergriffen werde.
Gesetzgebungsprozess in Deutschland
Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) der ehemaligen Regierung hatte bereits letzten Juli das Kabinett passiert. Zu einer Annahme in Bundestag kam es jedoch nicht. Auch ein im Anschluss trotz Scheitern der Ampelkoalition erarbeiteter Entwurf von SPD und Grünen scheiterte Ende Januar 2025 an inhaltlichen Differenzen mit der FDP. Die neu gewählte Regierung hatte dann Ende Juli zumindest einen Regierungsentwurf verabschiedet, der insbesondere eine Überarbeitung des Bundessicherheitsgesetztes vorsieht. In § 38 Abs. 3 BISG-E wird eine Umsetzungs-, Überwachungs- und Schulungspflicht für die Geschäftsleitung in betroffenen Einrichtungen genannt. Hierbei handelt es sich um eine gesonderte Verpflichtung im Vergleich zu der Schulungspflicht für Mitarbeitende nach § 30 Abs. 2 Nr. 7 BSIG-E.
Cybersicherheit als Führungsverantwortung
Damit verfestigt sich Cybersicherheit noch mehr zum Bestandteil unternehmerischer Leitungsaufgaben. Die Richtlinie verpflichtet insbesondere „wichtige“ und „besonders wichtige Einrichtungen“, Cybersicherheitsrisiken systematisch zu managen und gegenüber den Aufsichtsbehörden Rechenschaft über ihre Sicherheitsstrukturen abzulegen. Diese neue Schulungspflicht verlangt von der Geschäftsführung nicht nur Kenntnis der regulatorischen Anforderungen, sondern auch ein fundiertes Verständnis der Risiken. Die Handreichung (abrufbar hier) des BSI knüpft genau hier an. Sie soll bei der Planung von Schulungen für Führungskräften helfen.
Orientierung für strukturierte Schulungsprogramme
Die Handreichung stellt eine inhaltliche Struktur bereit, die Schulungsinhalte zielgerichtet befüllen soll. Ein erster Schwerpunkt solle auf dem regulatorischen Rahmen liegen. Führungskräfte müssten die rechtlichen Grundlagen der NIS2-Richtlinie, ihre nationale Umsetzung und die daraus resultierenden Pflichten verstehen. Dazu gehören Registrierungspflichten, Meldeprozesse und die Befugnisse der Aufsichtsbehörden.
Zu den Kerninhalten gehöre der Umgang mit Risiken. Das beinhalte zum einen eine Risikoanalyse, in der Gefahren erkannt und bewertet werden sollten. Hinzu würden dann Risikomanagementmaßnahmen kommen, durch die die identifizierten Risiken gesteuert werden. Zuletzt solle die Leitung auch über die Auswirkungen von Risiken und Managementmaßnahmen aufgeklärt werden.
Ein weiterer Schwerpunkt betreffe die Meldepflichten. Geschäftsleitungen müssten über den Unterschied und die Anforderungen von Erst-, Detail- und Abschlussmeldungen bei Sicherheitsvorfällen aufgeklärt werden. Führungsebenen müssten sicherstellen, dass diese Prozesse intern klar definiert und organisatorisch abgesichert sind.
Ebenfalls zentral sei das Lieferketten- und Dienstleistermanagement. Die NIS2-Richtlinie verlange, dass Unternehmen auch externe Risiken kontrollieren, etwa durch vertragliche Verpflichtungen oder Sicherheitsprüfungen von Partnern.
Zur Praxisorientierung empfiehlt das BSI Simulationen und Fallstudien. Diese sollen den Teilnehmern ermöglichen, auf reale Bedrohungsszenarien zu reagieren und Entscheidungsprozesse zu trainieren.
Umsetzung in der Praxis
Die Handreichung richte sich primär an Mitglieder der Geschäftsleitung, könne aber auch leitende Personen mit Entscheidungs- oder Kontrollbefugnissen unterstützen.
Das BSI stützt sich bezüglich der Regelmäßigkeit der Schulungen auf die Gesetzesbegründung, nach der diese mindestens alle drei Jahre zu wiederholen ist. Daneben gebe es sinnvolle Anhaltspunkte, bei denen das Intervall angepasst werden solle. Etwa bei einem Wechsel der Geschäftsleitung oder wesentlichen gesetzlichen Anpassungen sei dies geboten. Auch bei signifikanten Änderungen der Risikoexposition oder der Risikomanagementmaßnahmen könne ein kürzeres Intervall gefordert sein.
Aus der Gesetzesbegründung ergebe sich zudem eine angedachte Dauer von einer durchschnittlich halbtägigen Schulung, also vier Stunden. Die konkrete Dauer müsse aber anhand der individuellen Risikosituation und der Kenntnisse der Leitungspersonen je nach des Einzelfall festgelegt werden.
Unternehmen könnten die Schulungen intern durchführen, etwa durch ihre Informationssicherheits- oder Compliance-Abteilungen, oder externe Fachstellen beauftragen. Von Bedeutung sei hier insbesondere, dass das ausgewählte Schulungsangebot auf die individuellen Bedürfnisse des Unternehmens zugeschnitten sei. Für Unternehmen, die bereits durch einen Externen Datenschutzbeauftragten beraten werden, kann es sich deshalb empfehlen, die Schulung auch von diesem durchführen zu lassen.
Fazit
Mit der Handreichung zur NIS2-Geschäftsleitungsschulung sendet das BSI ein deutliches Signal. Cybersicherheit ist Chefsache. Die NIS2-Richtlinie macht die Unternehmensleitung zur zentralen Instanz für strategische Sicherheitsentscheidungen. Die vom BSI bereitgestellte Orientierungshilfe bietet Unternehmen eine praktische Grundlage, um den Aufbau von Schulungsprogrammen auszuarbeiten. Da es hier aber insbesondere auf fundierte fachliche Expertise ankommt, bietet es sich an, für die Durchführung der Schulung auf Experten zurückzugreifen.
