Mit der NIS2-Richtlinie steigen nicht nur die Anforderungen an die technische Cybersicherheit von Unternehmen. Auch Geschäftsführungen und Leitungsorgane geraten stärker in die Verantwortung.
Aber:
- Was fordert §38 BSIG eigentlich konkret?
- Wer muss nach NIS2 geschult werden?
- Gibt es eine Schulungspflicht?
- Welche Inhalte muss eine NIS2-Schulung abdecken?
- Welche Haftungsrisiken entstehen bei fehlender Schulung?
Gerade für Management, Geschäftsführung und Sicherheitsverantwortliche wird das Thema zunehmend relevant.
Was fordert §38 BSIG von der Geschäftsführung?
§38 BSIG verpflichtet Leitungsorgane betroffener Unternehmen dazu, Maßnahmen des Risikomanagements im Bereich Cybersicherheit zu überwachen und sich regelmäßig zu den Anforderungen der NIS2-Richtlinie schulen zu lassen.
Ziel ist es, dass Geschäftsführungen Cyberrisiken und deren Auswirkungen auf das Unternehmen nachvollziehen und bewerten können.
Dazu gehören unter anderem:
- Risikomanagement
- Sicherheitsmaßnahmen
- Meldepflichten
- Incident Response
- organisatorische Verantwortlichkeiten
- Umgang mit Cybervorfällen
Die Verantwortung für Cybersicherheit liegt damit nicht mehr ausschließlich bei IT-Abteilungen oder Security-Teams.
Wer muss nach NIS2 geschult werden?
Die Schulungspflicht betrifft insbesondere Geschäftsführungen und Leitungsorgane betroffener Unternehmen.
Darüber hinaus kann es sinnvoll sein, auch weitere Rollen einzubeziehen, beispielsweise:
- IT-Verantwortliche
- Informationssicherheitsbeauftragte
- OT- und Produktionsverantwortliche
- Compliance- und Risikomanagement
- Umsetzungsverantwortliche für NIS2-Maßnahmen
Welche Personen konkret eingebunden werden sollten, hängt unter anderem von Branche, Unternehmensstruktur und Verantwortlichkeiten ab.
Welche Inhalte sollte eine NIS2-Schulung enthalten?
Eine NIS2-Schulung sollte nicht nur regulatorische Anforderungen vermitteln, sondern auch deren praktische Auswirkungen auf Unternehmen verständlich machen.
Typische Inhalte sind unter anderem:
- Anforderungen der NIS2-Richtlinie
- Pflichten von Geschäftsführung und Management
- Risikomanagement und Sicherheitsmaßnahmen
- Meldepflichten bei Sicherheitsvorfällen
- organisatorische und technische Anforderungen
- aktuelle Bedrohungslagen
- praktische Umsetzungsansätze im Unternehmen
Gerade im industriellen und KRITIS-nahen Umfeld spielen zusätzlich Themen wie OT-Sicherheit, Betreiberverantwortung und Incident Response eine wichtige Rolle.
Gibt es einen Nachweis für die Schulung?
Ja. Unternehmen sollten die Teilnahme an NIS2-Schulungen nachvollziehbar dokumentieren.
Dadurch kann im Bedarfsfall nachgewiesen werden, dass Management und verantwortliche Personen entsprechend sensibilisiert und geschult wurden.
In der Praxis erfolgt dies häufig über Teilnahmebestätigungen oder dokumentierte Schulungsnachweise.
Haftungsrisiken bei fehlender NIS2-Schulung
Mit NIS2 steigt auch die Verantwortung von Geschäftsführungen im Bereich Cybersicherheit.
Fehlende Schulungen können dazu führen, dass:
- Risiken nicht angemessen bewertet werden
- Sicherheitsmaßnahmen unzureichend umgesetzt werden
- Meldepflichten verletzt werden
- organisatorische Verantwortlichkeiten unklar bleiben
Dadurch entstehen nicht nur operative Risiken, sondern potenziell auch Haftungsrisiken für Leitungsorgane.
Deshalb wird das Thema Schulung zunehmend zu einem festen Bestandteil der NIS2-Umsetzung.
Fazit
Die NIS2-Richtlinie betrifft nicht nur technische Security-Maßnahmen, sondern ausdrücklich auch Management und Geschäftsführung.
Unternehmen sollten deshalb frühzeitig prüfen:
- welche Personen geschult werden müssen
- welche Inhalte relevant sind
- wie Schulungen dokumentiert werden
- welche organisatorischen Pflichten sich aus NIS2 ergeben
Gerade für Geschäftsführungen wird Cybersicherheit damit zunehmend zu einem festen Bestandteil unternehmerischer Verantwortung.
