Dr. Dr. Fabian Teichmann, LL.M. (London), EMBA (Oxford), RA

Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht und ihre Bedeutung für die betriebliche Organisation

Cybersicherheit ist mit der NIS-2-RL und dem neuen BSIG zur Führungsaufgabe geworden: § 38 Abs. 3 BSIG verpflichtet Geschäftsleitungen zu regelmäßigen Schulungen. Die BSI-Handreichung vom 30.9.2025 konkretisiert Inhalte, Intervalle und organisatorische Anforderungen und verankert IT-Sicherheit in Governance, Risikomanagement und Unternehmenskultur. Der Beitrag analysiert Rechtsgrundlagen, Umsetzungsbedarf und Haftungsfolgen – und zeigt: Cybersicherheit ist Kern verantwortungsvoller Unternehmensführung.

I. Einleitung

Cyberangriffe wie Ransomware-Attacken haben in den vergangenen Jahren nicht nur weltweit, sondern auch verstärkt in Deutschland zugenommen.1 Für Geschäftsleitungen von Unternehmen sowie Länder- und Kommunalverwaltungen bedeutet dies, dass sie angemessene und vor allem ausreichende Cybersecurity-Vorkehrungen treffen müssen, um diesem zentralen Geschäftsrisiko entgegentreten zu können.2 Seitens der EU wurde durch die sogenannte NIS-2-Richtlinie eine gesetzliche Verpflichtung geschaffen, wonach die Mitglieder von Geschäftsleitungen nunmehr verpflichtet werden, aktiv für eine Cybersicherheit im Unternehmen zu sorgen. Nach § 38 Abs. 3 BSIG besteht nunmehr die Verpflichtung, regelmäßig an entsprechenden Schulungen teilzunehmen und Cybersicherheit wie andere Compliance-Themen auch zur Chefsache zu machen.3

II. Hintergrund: NIS-2-RL und neue Pflichten der Geschäftsleitung

Die EU-Richtlinie NIS-2 erhöht die Anforderungen an Unternehmen, IT-Sicherheitsrisiken systematisch anzugehen.4 Deutschland setzte dies u. a. durch eine Novelle des BSI-Gesetzes um, welche insbesondere Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen in die Verantwortung nimmt.5 Das Gesetz wurde am 8.9.2025 dem Bundestag zur Entscheidung übersandt, wurde am 13.11.2025 beschlossen und am 5.12.2025 im BGBl.6 verkündet. Allerdings ist keine Übergangsfrist vorgesehen, das Gesetz trat unmittelbar am Tag nach der Verkündung, also am 6.12.2025 in Kraft.7 Ab sofort sind Vorstände und Geschäftsführer der betroffenen Unternehmen gesetzlich verpflichtet, technisch-organisatorische Sicherheitsmaßnahmen in ihrem Unternehmen umzusetzen und deren Wirksamkeit laufend zu überwachen (§ 38 Abs. 1 BSIG). Vernachlässigen sie diese Pflichten, können sie persönlich in Haftung genommen werden (§ 38 Abs. 2 BSIG).

Als Ausgleich sieht der Gesetzgeber eine reguläre Schulungspflicht für die Geschäftsleitung vor (§ 38 Abs. 3 BSIG). Diese Pflicht ist neu und zusätzlich zu bestehenden Mitarbeiterschulungen zu sehen. Sie soll sicherstellen, dass die Unternehmensführung ausreichende Kenntnisse und Fähigkeiten in Bezug auf Cyberrisiken und -maßnahmen erwirbt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu am 30.9.2025 eine vorläufige Handreichung veröffentlicht, die als Leitfaden für die Gestaltung solcher Management-Schulungen dient.8 Wichtig ist, dass diese Handreichung das aktuelle Verständnis des BSI zu § 38 Abs. 3 BSIG widerspiegelt, aber nach abgeschlossener NIS-2-Umsetzung nun gleichwohl eine verbindliche Vorgabe ist. Unternehmen erhalten damit eine wertvolle Orientierungshilfe, um die gesetzlichen Schulungsanforderungen schnellstmöglich in ihre betriebliche Praxis zu integrieren.

III. Cybersicherheit wird Chefsache: Integration in die Unternehmensführung

Die neue Gesetzeslage macht deutlich, dass Cybersicherheit Chefsache ist. Die Geschäftsleitung muss gewährleisten, dass IT-Sicherheit ein integrierter Bestandteil der Geschäftsprozesse und des Risikomanagements wird. Es handelt sich nicht länger um ein rein technisches Thema der IT-Abteilung, sondern um eine Führungsaufgabe, die strategische Bedeutung für das Unternehmen hat. Entsprechend verlangt § 38 BSIG von der Leitungsebene, sich aktiv mit Cyberrisiken auseinanderzusetzen und informierte Entscheidungen zu treffen (§ 38 Abs. 1 BSIG).9

Dabei ist kein tiefgehendes Technik-Know-how im Sinne eines IT-Experten erforderlich. Die BSI-Handreichung betont, dass Geschäftsleitungen nicht so technisch versiert sein müssen wie IT-Sicherheitsexperten. Dennoch müssen sie die Kernkonzepte verstehen und einordnen können, insbesondere was konkrete Sicherheitsmaßnahmen bedeuten und welche betriebswirtschaftlichen Auswirkungen es hätte, wenn solche Maßnahmen nicht umgesetzt werden. Mit anderen Worten: Die Führungskräfte müssen Cyberrisiken in Bezug auf ihr Geschäftsmodell sinnvoll einschätzen und steuern können.10

Die Verankerung der IT-Sicherheit auf Leitungsebene hat auch haftungsrechtliche Gründe (§ 38 Abs. 2 BSIG). Da die Geschäftsleitung nun für Versäumnisse bei der Cybersicherheit haften kann, steigt der Druck zur organisatorischen Verankerung von Informationssicherheit erheblich. Um diesem gesteigerten Verantwortungsumfang gerecht zu werden, ist es unumgänglich, dass Unternehmen geeignete organisatorische Vorkehrungen treffen – von klar definierten Zuständigkeiten bis hin zur regelmäßigen Berichterstattung über Sicherheitsvorfälle und Schutzmaßnahmen an Vorstand und Aufsichtsrat (§ 30 Abs. 1 BSIG).11 Kurz: Cybersecurity muss fester Bestandteil der Corporate Governance und Kultur werden.12

IV. Umsetzung der Schulungspflicht in der Unternehmenspraxis

Ein zentrales Element der neuen Vorgaben ist die regelmäßige Schulung der Geschäftsleitung. Doch wie oft ist “regelmäßig”? Das BSIG selbst lässt den Begriff offen, die Gesetzesbegründung nennt jedoch einen Mindestintervall von drei Jahren.13 Mindestens alle drei Jahre muss also eine Schulung stattfinden – eher häufiger, falls die Umstände es erfordern. Laut BSI kommt es nämlich vor allem darauf an, dass die Geschäftsleitung ihre Sicherheitsverantwortung tatsächlich effektiv wahrnehmen kann. In der Praxis sollten die Schulungsintervalle daher an das jeweilige Risikoprofil des Unternehmens angepasst werden.14 Bei hoher Bedrohungslage oder raschem technischen Wandel kann eine häufigere Schulung geboten sein. Das BSI gibt dafür Anhaltspunkte: Etwa ein Wechsel in der Geschäftsführung, wesentliche Änderungen in Geschäftsprozessen, eine veränderte Risikolage oder neue bedeutende Sicherheitsmaßnahmen können Anlass sein, den Schulungstermin vorzuziehen. Auch ohne solche besonderen Auslöser gilt: Der Turnus von drei Jahren ist das Minimum; falls nötig, sind Schulungen in kürzeren Abständen durchzuführen, um stets informierte und sichere Entscheidungen auf Führungsebene zu gewährleisten.

Inhalt und Umfang der Schulungen sind ebenfalls durch die BSI-Handreichung vorgezeichnet. Der Gesetzgeber geht von durchschnittlich halbtägigen Schulungen (ca. vier Stunden) aus.15 Entscheidend ist jedoch weniger die Dauer als die Vollständigkeit der vermittelten Kompetenzen. Laut BSI sollen Schulungen mindestens drei zentrale Themenbereiche abdecken: Risikoanalyse, Risikomanagement-Maßnahmen sowie die Bewertung von Auswirkungen.16 Nur wenn alle drei Aspekte verknüpft geschult werden – also das Erkennen von Risiken, die Kenntnis geeigneter Sicherheitsmaßnahmen und die Fähigkeit, die Auswirkungen von Risiken und Maßnahmen auf das Unternehmen zu beurteilen –, kann die Geschäftsführung ihre Pflichten voll erfüllen. Eine einseitige Fokussierung, z. B. nur auf technische Maßnahmen, greift zu kurz und würde nach Einschätzung des BSI den gesetzlichen Anforderungen nicht genügen. Unternehmen tun also gut daran, die Schulungspläne ganzheitlich auszurichten.17

Bei der Durchführung der Schulungen haben Unternehmen einen gewissen Spielraum. Das BSI betont, dass sowohl externe Schulungsanbieter als auch interne Fachleute als Trainer in Frage kommen. Wichtig ist in jedem Fall, dass die Schulungsinhalte nicht rein abstrakt bleiben, sondern die individuellen Gegebenheiten der jeweiligen Organisation berücksichtigen. Externe Seminare zu allgemeinen Cyber-Themen sollten deshalb idealerweise durch unternehmensspezifische Module ergänzt werden. Ein sinnvolles Modell kann laut BSI darin bestehen, Standardinhalte extern einzukaufen und diese durch firmenspezifisches Wissen, vermittelt durch interne Sicherheitsexperten, zu erweitern. So wird gewährleistet, dass die Führungskräfte nicht nur theoretisches Wissen erwerben, sondern verstehen, was die Empfehlungen konkret für das eigene Haus bedeuten.

Schließlich muss der Nachweis der absolvierten Schulungen geführt und aufbewahrt werden. Unternehmen sind verpflichtet, intern darüber Buch zu führen und die Dokumentation auf Verlangen den zuständigen Behörden oder unabhängigen Stellen vorzulegen (§§ 30 Abs. 1, 39 Abs. 1, 61 Abs. 3, § 62 BSIG).18 In der betrieblichen Praxis bedeutet dies, dass ein Prozess zur Dokumentation und Berichtspflicht etabliert werden sollte – beispielsweise durch Protokollierung der Schulungsinhalte, Listen mit Teilnehmenden, Zertifikate und Evaluationsergebnisse. Diese Nachweise gilt es im Audit-Fall (etwa durch das BSI als Aufsichtsbehörde) bereitzuhalten, um die Erfüllung der Schulungspflicht belegen zu können.

V. Auswirkungen auf die betriebliche Organisation

Die Einführung der Schulungspflicht für die Geschäftsleitung hat weitreichende Konsequenzen für die Organisation und Abläufe innerhalb eines Unternehmens.19 Zunächst wird deutlich, dass IT-Sicherheitsmanagement in die obersten Führungsgremien hineinwirkt. Unternehmen sollten prüfen, ob ihre internen Strukturen bereits darauf ausgerichtet sind, Cyberrisiken angemessen zu adressieren. Oftmals bedarf es einer Anpassung des Risikomanagement-Prozesses, da Cyberrisiken mit der gleichen Sorgfalt bewertet werden müssen wie klassische Geschäftsrisiken. Dabei dürfen nicht nur technische Schwachstellen betrachtet werden – auch organisatorische Defizite, menschliches Fehlverhalten20 oder Probleme in der Lieferkette (§ 30 Abs. 2 BSIG),21 können erhebliche Sicherheitsrisiken darstellen und müssen im Risiko-Assessment berücksichtigt werden. Die BSI-Handreichung unterstreicht zum Beispiel, dass Geschäftsleitungen verstehen sollen, wie technische und organisatorische Maßnahmen auf Geschäftsprozesse, Ressourcen und die Resilienz der Einrichtung wirken.22 Dieses Verständnis ist wichtig, um Sicherheitsentscheidungen immer im Lichte der betrieblichen Auswirkungen treffen zu können.

Auch die Kultur der Zusammenarbeit zwischen Management und Fachebene wird an Bedeutung gewinnen. Da die Unternehmensleitung zwar keine Tiefenkenntnisse aller IT-Details benötigt, aber dennoch fundierte Entscheidungen treffen muss, ist ein enger Austausch mit den IT-Sicherheitsverantwortlichen und dem operativen Geschäft unerlässlich.23 In vielen Organisationen empfiehlt es sich, Berichtswege und Gremien zu etablieren, die einen regelmäßigen Wissenstransfer ermöglichen – etwa quartalsweise Berichte der IT-Sicherheitsleitung an den Vorstand oder die Einrichtung eines IT-Risiko-Ausschusses im Unternehmen. So kann die Geschäftsführung jederzeit ein aktuelles Lagebild erhalten und ihre Steuerungsverantwortung wahrnehmen. Zudem fördert es eine gemeinsame Risikosprache, wenn die Führungsebene mit typischen Zielkonflikten im Risikomanagement (z. B. Sicherheit vs. Wirtschaftlichkeit) vertraut ist. Nur so können Management und Experten besser an einem Strang ziehen und gemeinsam tragfähige Lösungen entwickeln.

Die betriebliche Organisation sollte darüber hinaus dafür sorgen, dass das Wissen um Cybersicherheit breit verankert wird. Zwar richtet sich die gesetzliche Schulungspflicht formal nur an die eng definierte “Geschäftsleitung”, d. h. Personen, die kraft Gesetz oder Satzung zur Geschäftsführung und Vertretung berufen sind (§§ 2 Ziff. 13, 38 Abs. 3 BSIG). Das BSI regt jedoch ausdrücklich an, diesen eng umrissenen Adressatenkreis im eigenen Interesse zu erweitern. Auch weitere Führungskräfte in vergleichbaren Positionen oder mit zentraler Verantwortung sollten in die Schulungsmaßnahmen einbezogen werden.24 Beispielsweise können Direktoren von Tochtergesellschaften, Bereichsleiter oder Mitglieder des erweiterten Managements von einem entsprechenden Training profitieren, wenn sie maßgeblich zur Informationssicherheit beitragen. Eine solche freiwillige Ausweitung der Schulungskultur stärkt die gesamte Sicherheitskompetenz im Unternehmen. Jeder relevante Entscheidungsträger entwickelt so ein besseres Verständnis für Cyberrisiken, was die Abstimmung über Hierarchieebenen hinweg erleichtert.

Nicht zuletzt wird die Rolle des Aufsichtsrats indirekt berührt. Zwar richtet sich § 38 BSIG primär an die Geschäftsführungen, doch der Aufsichtsrat – soweit vorhanden – muss im Rahmen seiner Überwachungsfunktion sicherstellen, dass die Geschäftsleitung diesen Pflichten nachkommt. In der betrieblichen Organisation könnte dies etwa durch regelmäßige Berichte der Geschäftsführung an den Aufsichtsrat über durchgeführte Schulungen und den Status der IT-Sicherheit erfolgen. So wird Cybersicherheit auch auf dieser Ebene zum festen Tagesordnungspunkt und Teil der Unternehmenskontrolle.

Insgesamt erfordert die Schulungspflicht eine vernetzte Herangehensweise: Personalentwicklung für die Planung der Management-Schulungen, Compliance/Rechtsabteilung für die Dokumentation und Nachverfolgung der gesetzlichen Vorgaben und IT-Security-Teams für die inhaltliche Zuarbeit und Umsetzung von Maßnahmen müssen eng zusammenarbeiten. Die betriebliche Organisation, ob in Unternehmen oder Verwaltungen, wird dadurch gezwungen, Silostrukturen aufzubrechen – Cybersicherheit wird zur Querschnittsaufgabe, an der alle Unternehmens- und Verwaltungsbereiche mitwirken.25

VI. Fazit

Die vorläufige BSI-Handreichung zur NIS-2-Schulungspflicht der Geschäftsleitungen macht unmissverständlich klar, dass Informationssicherheit in Unternehmen künftig ganz oben auf der Agenda stehen muss. Für die Praxis der betrieblichen Organisation bedeutet dies, dass Cybersecurity nicht mehr nur ein “IT-Thema”, sondern integraler Bestandteil von Unternehmensführung und -strategie ist. Die Implementierung der neuen Vorgaben mag anfänglich ressourcenintensiv erscheinen – von der Etablierung regelmäßiger Schulungen über die Anpassung interner Prozesse bis hin zur erweiterten Dokumentationspflicht. Doch diese Investition zahlt sich aus, denn ein Management, das die Bedrohungen der digitalen Welt versteht und vorausschauend steuert, erhöht die Resilienz und Wettbewerbsfähigkeit des gesamten Unternehmens.

Die Handreichung des BSI bietet dabei einen wichtigen Leitfaden, um die Schulungsinhalte und -abläufe sachgerecht zu gestalten und an die eigenen Bedürfnisse anzupassen. Unternehmen sind gut beraten, diese Empfehlungen zeitnah in ihre Organisationsstrukturen einzuarbeiten, da nunmehr die gesetzliche Umsetzung der NIS-2-Richtlinie erfolgte. Wer frühzeitig für eine fundierte Ausbildung der Geschäftsleitung sorgt, schafft damit eine Kultur, in der Sicherheit mitgedacht wird und informierte Entscheidungen getroffen werden können. Dies kommt letztlich nicht nur der rechtlichen Compliance zugute, sondern auch der nachhaltig erfolgreichen Unternehmensführung in einer digitalisierten Wirtschaft.