BSI-Handreichung zur NIS-2-Geschäftsleitungsschulung

Am 30. September 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine „vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf“ veröffentlicht (siehe Infoseite des BSI).

Die vom BSI veröffentlichte Handreichung ist als Orientierungsrahmen zu verstehen. Sie beschreibt, wie die gesetzlichen Vorgaben des § 38 Abs. 3 BSIG-E inhaltlich interpretiert und in der Praxis umgesetzt werden können. Sie richtet sich sowohl an Schulungsanbieter als auch an die Geschäftsleitungen selbst. Die Handreichung erläutert, welche Kenntnisse und Fähigkeiten als wesentlich gelten, in welchen Abständen Schulungen stattfinden sollten, welche Nachweise erforderlich sind und wie Schulungsinhalte sinnvoll strukturiert werden können.

Die Handreichung selbst ist nicht rechtsverbindlich, doch die zugrunde liegenden haftungsrechtlichen Vorgaben für Geschäftsleitungen, die mit dem NIS-2-Umsetzungsgesetz voraussichtlich 2026 in Kraft treten werden, sind es sehr wohl. Die Handreichung bietet daher eine wertvolle Gelegenheit, sich frühzeitig mit den neuen Erwartungen an die Unternehmensführung auseinanderzusetzen und bestehende Governance-Strukturen entsprechend anzupassen.

Die vorläufige Handreichung hat das BSI auf seiner Website zum Download bereitgestellt (siehe BSI-Handreichung „NIS-2-Geschäftsleitungsschulung“).

§ 38 BSIG-E und die gestärkte Verantwortung der Geschäftsleitung

Mit dem Entwurf des NIS-2-Umsetzungsgesetzes wird die Verantwortung der Geschäftsleitung erheblich gestärkt. Sie muss künftig sicherstellen, dass Cybersicherheit als integraler Bestandteil des unternehmerischen Risikomanagements verstanden und umgesetzt wird. Die in § 30 BSIG-E definierten Risikomanagementmaßnahmen müssen nicht nur eingeführt, sondern auch auf Wirksamkeit und Angemessenheit überprüft werden.

Wenn diese Pflichten schuldhaft verletzt werden, kann die Geschäftsleitung künftig persönlich für entstandene Schäden haftbar gemacht werden. Damit wird Cybersicherheit endgültig zu einem integralen Bestandteil der Unternehmensführung auf einer Stufe mit finanzieller Verantwortung, Compliance oder Nachhaltigkeitsmanagement.

Eine weitere zentrale Neuerung betrifft die Schulungspflicht. Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um Risiken erkennen, Maßnahmen bewerten und Auswirkungen auf Geschäftsprozesse, Verfügbarkeit, Integrität und Vertraulichkeit von Informationen besser einschätzen zu können. Ziel ist nicht technisches Detailwissen, sondern die Fähigkeit, Cybersicherheitsrisiken als Teil der Gesamtunternehmensführung zu verstehen und verantwortungsvoll zu steuern.

Die drei zentralen Kompetenzfelder der Geschäftsleitung

Die Handreichung nennt drei Kernbereiche, in denen Geschäftsleitungen ausreichende Kenntnisse und Fähigkeiten erwerben müssen:

Erstens sollen Geschäftsleitungen befähigt werden, Risiken zu erkennen und zu bewerten. Dazu gehört ein grundlegendes Verständnis der Bedrohungslage, der potenziellen Schadensauswirkungen und der Eintrittswahrscheinlichkeiten. Entscheidend ist, dass die Leitungsebene Risiken nicht nur als technisches Problem versteht, sondern als unternehmerisches Thema, das Auswirkungen auf Finanzen, Reputation, Kundenbeziehungen und Betriebssicherheit hat. Nur wer diese Zusammenhänge erkennt, kann Prioritäten richtig setzen und die notwendigen Ressourcen bereitstellen.
Zweitens betont das BSI die Bedeutung der Kenntnisse über Risikomanagementmaßnahmen. Die Geschäftsleitung soll verstehen, welche technischen und organisatorischen Maßnahmen in ihrem Unternehmen bestehen, wie sie wirken und welche rechtlichen oder wirtschaftlichen Folgen mit deren Umsetzung oder Unterlassung verbunden sind. Die Handreichung verweist dabei auch auf die Mindestmaßnahmen des § 30 Abs. 2 BSIG-E, etwa zur Bewältigung von Sicherheitsvorfällen, zur Sicherung der Lieferkette, zum Backup-Management oder zur Nutzung von Verschlüsselung und Multi-Faktor-Authentifizierung. Die Geschäftsführung soll dabei nicht jede Maßnahme technisch erklären können, aber wissen, wie sie in das Gesamtgefüge des Sicherheitsmanagements eingebettet ist.
Der dritte Kompetenzbereich betrifft die Beurteilung der Auswirkungen von Risiken und Maßnahmen. Die Leitungsebene soll befähigt werden, abzuschätzen, wie sich Sicherheitsmaßnahmen auf betriebliche Abläufe, Kostenstrukturen und strategische Ziele auswirken. Damit wird Cybersicherheit zu einer Managementaufgabe, die stets zwischen Sicherheit, Wirtschaftlichkeit und Effizienz ausbalanciert werden muss.

Wer ist betroffen und wie häufig müssen Schulungen stattfinden?

Adressaten der Schulungspflicht sind die Mitglieder der Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen im Sinne des NIS-2-Umsetzungsgesetzes.

Das BSI gibt als Orientierung vor, dass Schulungen mindestens alle drei Jahre stattfinden sollten. Darüber hinaus sollten zusätzliche Schulungen stattfinden, wenn sich wesentliche Veränderungen ergeben – bspw. bei einem Wechsel in der Geschäftsleitung, bei erheblichen Änderungen von Geschäftsprozessen oder der Risikoexposition oder bei der Einführung neuer Risikomanagementmaßnahmen.

Die Schulungsdauer wird im Durchschnitt mit etwa vier Stunden veranschlagt, kann aber je nach Komplexität und Risikolage variieren.

Schulungen können sowohl intern durch qualifiziertes Personal als auch extern durch spezialisierte Anbieter durchgeführt werden. Entscheidend ist, dass die Inhalte auf die spezifischen Rahmenbedingungen der jeweiligen Einrichtung zugeschnitten sind und die Geschäftsleitung befähigen, Risiken realistisch einzuschätzen und sicherheitsrelevante Entscheidungen fundiert zu treffen. Das BSI empfiehlt ausdrücklich, Schulungen praxisnah zu gestalten mit realen Fallbeispielen, Entscheidungsübungen und einem klaren Bezug zur strategischen Verantwortung der Geschäftsführung.

Auch die DSN Akademie bietet eine entsprechende Schulung für Geschäftsleitungen an, die sich inhaltlich an den Vorgaben der BSI-Handreichung orientieren. Der Kurs „NIS-2-Geschäftsleitungsschulung“ vermittelt die gesetzlichen Anforderungen des NIS-2-Umsetzungsgesetzes, verknüpft sie mit praktischen Beispielen aus der Unternehmenspraxis und gibt Führungskräften konkrete Handlungssicherheit im Umgang mit ihren Pflichten und Verantwortlichkeiten.

Nachweis und Dokumentation

Die Teilnahme an Geschäftsleitungsschulungen ist zu dokumentieren und auf Anfrage gegenüber Aufsichtsbehörden oder externen Auditoren nachzuweisen.

Das BSI empfiehlt in seiner Handreichung mindestens die Teilnehmenden, den Zeitpunkt, die Dauer und die behandelten Inhalte der Schulung zu erfassen. Eine formale Prüfung oder Zertifizierung der Teilnehmenden ist hingegen nicht vorgesehen.

Der Leitfragenansatz des BSI: Dialog statt Checkliste

Ein zentrales Element der Handreichung ist der vom BSI entwickelte Leitfragenkatalog. Er soll Geschäftsleitungen dazu befähigen, den eigenen Stand der Cybersicherheit kritisch zu reflektieren und den Austausch mit Fachabteilungen zu fördern. Die Fragen zielen darauf ab, Verantwortlichkeiten zu klären, Umsetzungslücken zu erkennen und die Wirksamkeit bestehender Prozesse zu überprüfen. Sie sind nicht als einfache Prüfliste zu verstehen, sondern als Instrument für den strategischen Dialog zwischen dem Management und den operativen Ebenen.

Ein Beispiel aus der Handreichung verdeutlicht, wie dieser Dialog in der Praxis aussehen kann: Wenn es um das Management von Zugriffsrechten geht, genügt es nicht, sich darauf zu verlassen, dass ein Berechtigungskonzept vorhanden ist. Entscheidend ist, dass die Geschäftsleitung nachvollziehen kann, ob dieses Konzept regelmäßig überprüft wird, ob Zugriffe nach Funktionswechseln oder Austritten zeitnah entzogen werden und ob kritische Systeme dem Prinzip der minimalen Berechtigung folgen. Nur wenn diese Prozesse nachvollziehbar dokumentiert und getestet sind, kann die Leitung sicherstellen, dass der Zugriff auf sensible Informationen tatsächlich kontrolliert und Missbrauchsrisiken wirksam reduziert werden.

Der Leitfragenansatz soll somit nicht zu einer formalen Kontrolle führen, sondern zu einer bewussten Auseinandersetzung mit der Wirksamkeit bestehender Schutzmaßnahmen. Ziel ist, dass Geschäftsleitungen Cybersicherheit als dynamischen Prozess verstehen, den sie aktiv steuern und regelmäßig hinterfragen.

Praxisrelevanz: Was sollten Unternehmen jetzt tun?

Unternehmen, die von der NIS-2-Richtlinie betroffen sind, sollten jetzt prüfen, ob ihre Geschäftsleitung bereits über ein aktuelles Verständnis der neuen Pflichten verfügt. Ebenso sollte geklärt werden, ob ein geeignetes Schulungskonzept existiert oder beauftragt wurde und wie die Nachweisführung im Rahmen des bestehenden Informationssicherheits-Managementsystems (ISMS) oder Risikomanagements erfolgen soll.

Fazit

Mit der Handreichung „NIS-2-Geschäftsleitungsschulung“ schafft das BSI erstmals einen klaren Orientierungsrahmen für Führungskräfte. Die neuen gesetzlichen Pflichten verdeutlichen: Cybersicherheit ist Chefsache. Wer sich frühzeitig vorbereitet und auf praxisorientierte Schulungskonzepte setzt, schafft nicht nur Cybersecurity-Compliance, sondern stärkt nachhaltig die Resilienz seines Unternehmens.

Esha Kheni | 6. November 2025 | Informationssicherheit | besonders wichtige Einrichtungen, Compliance, Cybersicherheit, Geschäftsleitung, Informationssicherheit, NIS 2, NIS-2-Geschäftsleitungsschulung, Risiken, Risikomanagement, Schulung, technische und organisatorische Maßnahmen, Weiterbildung, wichtige Einrichtungen

BSI-Handreichung zur NIS-2-Geschäftsleitungsschulung: Was Geschäftsführungen jetzt wissen müssen