Dr. Dr. Fabian Teichmann

NIS-2 und die Schulungspflicht für Geschäftsleitungen

Das NIS-2-Umsetzungsgesetz ist am 6. 12. 2026 in Kraft getreten. Bereits am 30. 9. 2025 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine bisher unveränderte vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf publiziert. Damit wird erstmals klar, welche Schulungspflichten nach dem NIS-2-Umsetzungsgesetz bestehen. Der Beitrag analysiert die neuen Leitungsverantwortlichkeiten und Schulungspflichten nach Art. 20 NIS-2 und ihrer Umsetzung in deutsches Recht (§ 38 BSIG).

I. Einleitung

Die zunehmende Digitalisierung sämtlicher Wirtschaftssektoren hat zur Folge, dass Cyberrisiken längst nicht mehr allein technische, sondern zunehmend strategische Herausforderungen darstellen. Sicherheitsvorfälle können heute nicht nur IT-Infrastrukturen, sondern ganze Geschäftsmodelle gefährden. Vor diesem Hintergrund hat die Europäische Union mit der zweiten Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-2) einen regulatorischen Wendepunkt eingeleitet. Ziel ist es, das Cybersicherheitsniveau innerhalb der Union anzuheben und eine kohärente Verantwortungsstruktur zu schaffen, die Cybersicherheit als Teil der Corporate Governance etabliert. Die Mitgliedstaaten mussten diese Richtlinie bis zum 17. 10. 2024 in nationales Recht umsetzen.1 Deutschland konnte die Frist nicht halten; ein erster Gesetzentwurf („NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“) lag zwar vor, wurde aber in der 20. Legislaturperiode und vor den Bundestagswahlen in 2025 nicht mehr verabschiedet.2 In der neuen Legislaturperiode wurde das Gesetz aber inzwischen beschlossen, am 5. 12. 2025 im Bundesgesetzblatt veröffentlicht und ist am Tag nach der Verkündung in Kraft getreten.3 Zu den zentralen Neuerungen der NIS-2 zählt eine ausdrückliche Verantwortung der obersten Unternehmensleitung für die Cybersicherheit. Geschäftsführungen und Vorstände sogenannter wichtiger und besonders wichtiger Einrichtungen (im EU-Recht: important bzw. essential entities) werden verstärkt in die Pflicht genommen, Maßnahmen zur IT-Sicherheit selbst zu steuern und zu überwachen.4 Insbesondere führt NIS-2 eine persönliche Haftung der Leitungsgremien bei Verstößen ein und verlangt eine regelmäßige Schulung aller Mitglieder der Geschäftsleitung in Fragen der Cybersecurity.5 Diese neuen Vorgaben stellen einen Paradigmenwechsel dar, da in der NIS-2 Richtlinie ausdrücklich die Leitungsorgane genannt werden und Cybersicherheit somit zur Chefsache wird, die nicht mehr allein an die IT-Abteilung delegiert werden kann.6

Die Reichweite der NIS-2-Pflichten ist erheblich erweitert. Neben den klassischen KRITIS-Betreibern (kritische Anlagen) fallen nun zahlreiche weitere Sektoren und mittlere sowie große Unternehmen unter die Kategorien der „wichtigen“ oder „besonders wichtigen“ Einrichtungen.7 Schätzungen zufolge werden in Deutschland rund 30.000 Unternehmen neu erfasst; das Bundesinnenministerium rechnet mit etwa 298.500 Geschäftsleitern, die künftig regelmäßig geschult werden müssen.8 Verstöße gegen zentrale Cybersicherheitspflichten können EU-weit mit empfindlichen Sanktionen geahndet werden – für essentielle Unternehmen etwa mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.9 Vor diesem Hintergrund sollten betroffene Unternehmen die neuen Compliance-Anforderungen verinnerlichen. Im Folgenden werden insbesondere die Cybersecurity-Pflichten der Geschäftsleitung gemäß NIS-2 und ihre Umsetzung im deutschen Recht (BSIG 2025) sowie die Inhalte und Organisation der geforderten Schulungen näher beleuchtet.

II. Cybersecurity als Führungsaufgabe: Umsetzungspflicht und Haftung

1. Billigung, Überwachung und aktive Umsetzung von Sicherheitsmaßnahmen

NIS-2 verankert die Verantwortung für Cybersecurity-Maßnahmen ausdrücklich auf Ebene der Geschäftsführung. Artikel 20 Abs. 1 NIS-2 verpflichtet die Mitgliedstaaten sicherzustellen, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Cybersicherheits-Risikomanagementmaßnahmen ihres Unternehmens billigen, deren Umsetzung überwachen und für Verstöße haftbar gemacht werden können.10 Dieser Grundsatz wird in der deutschen Umsetzung durch § 38 Abs. 1 BSIG gespiegelt: „Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen sind verpflichtet, die […] nach § 30 [BSIG] zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.“.11 Damit wird deutlich, dass IT-Sicherheitsmaßnahmen nicht nur formal von oben abgesegnet, sondern aktiv durch die Leitung initiiert und verfolgt werden müssen. In der Praxis bedeutet dies z. B., dass Vorstände oder Geschäftsführer zentrale Sicherheitskonzepte (etwa ein ISMS nach § 30 BSIG) selbst beschließen und regelmäßig Reports zur Umsetzung einholen.12 Die Verantwortung kann intern delegiert werden, beispielsweise an Chief Information Security Officer (CISO) oder Sicherheitsbeauftragte, bleibt aber letztendlich bei der Geschäftsleitung, die für ausreichende organisatorische und personelle Ressourcen sorgen und die Wirksamkeit der Maßnahmen laufend im Blick behalten muss.13

2. Persönliche Haftung der Geschäftsleitung für Cybersecurity

Ein Novum ist die persönliche Haftung der Geschäftsführung für Verletzungen der neuen Pflichten. Nach Art. 20 Abs. 1 Satz 2 NIS-2 können Mitglieder der Leitungsorgane für Verstöße ihres Unternehmens gegen die Sicherheitsauflagen zur Verantwortung gezogen werden.14 Die deutsche Umsetzung konkretisiert dies in § 38 Abs. 2 BSIG: Geschäftsleiter haften der eigenen Einrichtung auf Schadensersatz für fahrlässige Pflichtverletzungen nach Absatz 1 (Umsetzung/Überwachung) nach den gesellschaftsrechtlichen Haftungsregeln.15 Diese zivilrechtliche Innenhaftung entspricht im Kern dem bestehenden deutschen Sorgfalts- und Haftungsregime (z. B. § 93 AktG, § 43 GmbHG),16 wird aber nun ausdrücklich auf Cybersecurity-Pflichten angewendet. Dadurch entstehen mehr Rechtssicherheit und Druck auf die Geschäftsleitung, IT-Risiken ernst zu nehmen. Auch können die Aufsichtsbehörden im Extremfall leitenden Personen die Ausübung von Führungsaufgaben untersagen, wenn wiederholt gravierende Verstöße auftreten.17 Insgesamt sendet der Rahmen die klare Botschaft, dass Geschäftsleitungen für die Cybersicherheit persönlich einstehen müssen – vergleichbar der Managerhaftung unter der DSGVO im Datenschutzbereich.

III. Regelmäßige Schulungspflicht für Mitglieder der Leitungsorgane

1. Gesetzliche Grundlage: Art. 20 Abs. 2 NIS-2 und § 38 Abs. 3 BSIG

Kernstück der neuen Governance-Vorgaben ist die Pflicht zu regelmäßigen Cybersecurity-Schulungen für Geschäftsleitungen. NIS-2 verlangt in Artikel 20 Abs. 2, dass die Mitgliedstaaten sicherstellen, „dass die Mitglieder der Leitungsorgane [wesentlicher und wichtiger Einrichtungen] regelmäßig an Schulungen teilnehmen,“ um ausreichende Kenntnisse und Fähigkeiten im Bereich Cyber-Risiken und -Risikomanagement zu erlangen. Zugleich sollen die Unternehmen vergleichbare Schulungen auch ihren Beschäftigten anbieten.18 Diese Vorgabe wurde im deutschen Entwurf in § 38 Abs. 3 BSIG, ausgenommen der Hinweis auf die Schulung von Beschäftigten, nahezu wörtlich umgesetzt: „Die Geschäftsleitungen […] müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Die Schulung von Beschäftigten wird allerdings in der Gesetzesbegründung zu § 38 Abs. 3 genannt.19 Damit ist gesetzlich festgeschrieben, dass jedes Mitglied der Geschäftsführung in festen Abständen eine entsprechende Weiterbildung absolvieren muss – eine Pflicht, die es so bisher im IT-Sicherheitsrecht nicht gab.

Die Ziele der Schulungspflicht sind klar umrissen. Die Leitung einer Einrichtung soll in die Lage versetzt werden, Cyber-Risiken zutreffend zu erkennen und zu bewerten und ein Verständnis für angemessene Risikomanagement-Praktiken zu entwickeln. Letztlich geht es darum, dass Vorstände/Geschäftsführer die Auswirkungen von Cyber-Risiken auf ihren Geschäftsbetrieb einschätzen können und fundierte Entscheidungen zur Behandlung dieser Risiken treffen.20 Die gesetzliche Begründung betont, dass dadurch die in § 38 Abs. 1 BSIG normierte Verantwortung effektiv wahrgenommen werden kann. Cybersecurity-Wissen auf Führungsebene soll kein „nice-to-have“ mehr sein, sondern zu den unverzichtbaren Managementkompetenzen zählen.

2. Intervalle: „Regelmäßig“ bedeutet mindestens alle drei Jahre

Während die Richtlinie keine feste Frequenz vorschreibt, hat der deutsche Gesetzgeber eine Richtschnur definiert. In der amtlichen Begründung zum Umsetzungsgesetz heißt es: „Als ‚regelmäßig‘ im Sinne dieser Vorschrift gelten Schulungen, die mindestens alle drei Jahre angeboten werden.“.21 Mit drei Jahren als Maximalintervall wird klargestellt, dass eine einmalige Schulung keinesfalls genügt – die Kenntnisse müssen regelmäßig aufgefrischt werden. Für Einrichtungen der Bundesverwaltung ist gemäß § 43 Abs. 2 BSIG ein kürzerer Zyklus vorgesehen, da die stetige Sensibilisierung aller Beschäftigten einer Einrichtung gefordert wird.22 Unabhängig von diesem Mindestintervall betont das BSI, dass die Schulungshäufigkeit risikobasiert festzulegen ist. Unternehmen mit hoher Gefährdungslage oder bedeutenden Änderungen, z. B. neue Geschäftsleiter oder gravierende Änderungen der IT-Risikolage, sollten die Führungskräfte öfter schulen. Die drei Jahre sind also als Untergrenze zu verstehen. Im Zweifel – so die Empfehlung – ist eher eine häufigere Schulung angebracht, um sicherzustellen, dass die Geschäftsleitung stets informierte Entscheidungen treffen kann.

3. Dauer und Format der Schulungen

Die inhaltliche Dauer der Schulungen ist gesetzlich nicht festgelegt. Allerdings geht der Gesetzgeber laut Begründung von durchschnittlich etwa einem halben Tag (4 Stunden) pro Schulung aus. Diese Annahme wurde auch der Aufwandsschätzung zugrunde gelegt. Man rechnete mit ca. 298.500 Führungskräften, die jährlich eine vierstündige Schulung absolvieren, was allein an Personalkosten rund 35 Mio. EUR pro Jahr verursache.23 Je nach Unternehmensprofil kann eine Schulung aber auch umfangreicher ausfallen – das BSI betont, dass „die vom Gesetzgeber veranschlagten vier Stunden“ bei hoher Komplexität deutlich überschritten werden dürfen. Entscheidend sei, dass alle geforderten Kenntnisse und Fähigkeiten sinnvoll vermittelt werden. In der Praxis könnten Schulungen z. B. als Tagesseminar, in mehreren Modulen oder auch als intensiver Workshop gestaltet sein. Der Gesetzgeber schreibt kein bestimmtes Format (online vs. Präsenz) vor; wichtig ist allein der Erfolg. Im Ergebnis muss die Geschäftsleitung die Lerninhalte am Ende verstanden haben und anwenden können. Eine förmliche Prüfung der Teilnehmer ist zwar nicht obligatorisch, doch Unternehmen werden im Eigeninteresse den Lernerfolg überprüfen wollen – sei es durch Feedback-Runden, Tests oder Fallstudien.

4. Pflichten der Unternehmen: Dokumentation und Mitarbeiterschulungen

Es obliegt den betroffenen Unternehmen, die Schulungen für ihre Leitungsorgane rechtzeitig zu organisieren und nachzuweisen. Die Erfüllung der Schulungspflicht wird künftig Bestandteil der Aufsicht durch die Behörden sein. Nach § 61 Abs. 1 BSIG können die zuständigen Behörden oder unabhängige Prüfstellen einen Nachweis der absolvierten Geschäftsleitungsschulungen verlangen.24 Daher muss jedes Unternehmen eine sorgfältige Dokumentation führen, was typischerweise durch Teilnahmebescheinigungen oder interne Protokolle erfolgen kann, aus denen hervorgeht, wann welcher Geschäftsleiter an welcher Schulung und mit welchen Inhalten teilgenommen hat. Diese Unterlagen sind intern aufzubewahren und auf Anforderung vorzulegen. Ein Verstoß gegen die Schulungspflicht selbst wird zwar nicht mit einer festen Geldbuße in NIS-2 beziffert, könnte aber als Organisationsmangel gewertet werden und im Ernstfall z. B. bei einem Sicherheitsvorfall haftungsrelevant sein. Zudem kann die Nicht-Befolgung behördlicher Anordnungen zur Schulung (als Teil der Aufsichtsmaßnahmen) sanktioniert werden.

Neben den Führungskräften rückt auch das restliche Personal in den Fokus. Artikel 20 Abs. 2 NIS-2 verlangt ausdrücklich, dass Unternehmen ihre Mitarbeiter regelmäßig in IT-Sicherheit schulen, wenn auch etwas abgeschwächt formuliert: Die Mitgliedstaaten sollen Unternehmen dazu ermutigen. Die deutsche Umsetzung geht für Einrichtungen der Bundesverwaltung einen Schritt weiter. § 44 Abs. 1 BSIG in Verbindung mit § 43 Abs. 2 BSIG verpflichtet die Leitungen der Bundesverwaltung, allen Beschäftigten regelmäßige Cybersicherheitsschulungen anzubieten.25 Damit wird Cybersicherheits-Awareness zu einer bereichsübergreifenden Pflicht in Unternehmen. Zwar steht diese Mitarbeiterschulung nicht unter dem persönlichen Haftungsdruck wie die Geschäftsleiterschulung, doch dürfte sie aus Sicht der Aufsichtsbehörden für eine ganzheitliche Cybersecurity-Compliance mitentscheidend sein. Auch hier gilt „regelmäßig“ im Sinne von alle drei Jahre als Mindestmaß, teilweise aber auch die stetige Sensibilisierung.26 In der Aufwandsschätzung wurde angenommen, dass im Durchschnitt jedem Mitarbeiter jährlich eine einstündige Schulung (z. B. E-Learning) angeboten wird. Zu betonen ist, dass Menschen einen entscheidenden Faktor in der Cyberabwehr darstellen.27 Unternehmen, die bereits bestehende Awareness-Programme haben, können diese für NIS-2 nutzen und gegebenenfalls ausbauen.

IV. Inhalte der Schulungen: Von Risikoanalyse bis Compliance

Die Inhalte der Schulungen für Geschäftsleitungen sollten sich eng an den in § 38 Abs. 3 BSIG genannten Zielen orientieren. Demnach muss die Schulung alle Themen abdecken, die erforderlich sind, damit die Geschäftsführung ausreichende Kenntnisse erwirbt, um IT-Risiken erkennen und bewerten zu können, und um die Risikomanagement-Praktiken sowie deren Auswirkungen auf das Unternehmen zu verstehen.28 Das BSI hat in seiner Handreichung Empfehlungen entwickelt, wie solche Schulungen inhaltlich ausgestaltet werden können. Danach gliedern sich die Lernfelder im Wesentlichen in drei Bereiche:

1. Vorbereitung

Zunächst sollte ein Überblick über die NIS-2-Richtlinie und ihre nationale Umsetzung gegeben werden. Die Geschäftsleitung muss die übergreifenden Ziele und Inhalte der NIS-2 kennen, den Geltungsbereich einschätzen können (Welche Teile des Unternehmens unterliegen den Regelungen?) und die wichtigsten gesetzlichen Pflichten verstehen. Dieses Grundlagenwissen bildet den Rahmen, in den die weiteren Schulungsthemen eingebettet werden. Auch grundlegende Konzepte der Cybersicherheit (z. B. „Stand der Technik“, Schutzziele, gesetzliche Begrifflichkeiten) können hier aufgefrischt werden.

2. Kernmodule

Im Zentrum steht die Vermittlung von methodischem Risikomanagement-Wissen. Die Schulung soll der Geschäftsführung beibringen, wie Cyber-Risiken systematisch identifiziert, analysiert und bewertet werden. Dazu gehört etwa das Verständnis von Gefährdungen und Bedrohungsvektoren, der Unterschied zwischen Verwundbarkeit und Risiko, sowie gängige Methoden der Risikoanalyse (Qualitative vs. quantitative Bewertung, Szenarien, Risiko-Matrix etc.). Darauf aufbauend muss die Leitung die Maßnahmen des Cyber-Risikomanagements kennenlernen, die NIS-2 bzw. BSIG fordert – beispielsweise organisatorische und technische Schutzmaßnahmen gemäß § 30 BSIG. Die zehn in Art. 21 NIS-2 bzw. § 30 BSIG aufgelisteten Sicherheitsmaßnahmen (von IT-Sicherheitsrichtlinien und -organisation, über Incident Response, Notfallpläne, Backup- und Kontinuitätsmanagement, Supply-Chain-Security, Vulnerability-Management bis hin zu Basismaßnahmen wie Awareness und Zugangskontrolle) sollten der Geschäftsleitung zumindest in ihren Grundzügen bekannt sein.29 Wichtig ist hierbei nicht die technische Tiefe, sondern das Verständnis der strategischen Bedeutung dieser Maßnahmen und wie sie zusammenspielen. Die Schulung verfolgt letztlich das Ziel, dass die Geschäftsleitung befähigt wird, informierte Entscheidungen im Bereich Cybersecurity zu treffen – z. B. Prioritäten setzen kann, welche Risiken man akzeptieren kann und welche unbedingt behandelt werden müssen, oder Budgetentscheidungen für Sicherheitsprojekte sachgerecht abwägen kann. Zudem sollten Meldepflichten gemäß Art. 23 NIS-2, § 32 BSIG und der Umgang mit Sicherheitsvorfällen thematisiert werden, damit das Management die Wichtigkeit schneller Reaktionen und vollständiger Meldungen versteht.30

3. Ergänzungen und Praxisbezug

Über die Grundlagen hinaus empfiehlt das BSI, Schulungen mit sektorspezifischen und unternehmensindividuellen Aspekten anzureichern. Je nach Branche gibt es spezifische Bedrohungsszenarien und regulatorische Anforderungen, z. B. im Gesundheitswesen, Finanzsektor oder Energie, die relevant sind. Die Teilnehmer sollten erfahren, welche typischen Angriffsmuster in ihrem Sektor auftreten und welche bewährten branchenspezifischen Sicherheitsstandards existieren. Ebenso könnten unternehmensspezifische Risiken und Lessons Learned aus der eigenen Vergangenheit oder aus ähnlichen Organisationen diskutiert werden. Ein weiterer empfehlenswerter Bestandteil sind Übungen und Fallstudien. Anhand von konkreten Szenarien, beispielsweise ein simulierter Ransomware-Angriff auf das eigene Unternehmen, lässt sich das erworbene Wissen anwenden und vertiefen. Solche praxisnahen Übungen schärfen das Bewusstsein und helfen der Geschäftsleitung, im Ernstfall besser vorbereitet zu sein. Sie fördern zudem die Diskussion zwischen Management und Fachleuten (CISO, IT-Leitung), was für die Etablierung einer gelebten Sicherheitskultur entscheidend ist.

Zusammengefasst sollen die Schulungen also einerseits das methodische Rüstzeug vermitteln (Risk Management, Compliance-Anforderungen) und andererseits den Praxisbezug herstellen, damit die Geschäftsleitung die Theorie auf das eigene Haus übertragen kann. Die BSI-Handreichung liefert dafür einen Katalog von Themen und Leitfragen. Beispielsweise wird empfohlen, die Frage zu diskutieren: „Wie stellen wir sicher, dass die Geschäftsleitung die Inhalte, Ziele und den Geltungsbereich der NIS-2-Richtlinie kennt und versteht?“ – nur wenn dies gewährleistet ist, kann die Führung ihre Verantwortung strategisch einordnen und die Pflichten steuern. Solche Leitfragen regen zur Reflexion an und können als roter Faden durch die Schulung dienen.

V. Fazit und Ausblick

Die Einführung der NIS-2-Richtlinie markiert einen Wendepunkt in der Cybersecurity-Compliance. Erstmals wird auf EU-Ebene klargestellt, dass die oberste Unternehmensführung persönlich für die Cybersicherheit Verantwortung trägt – sowohl durch aktives Handeln wie Billigung und Überwachung von Maßnahmen als auch durch eigenes Wissen. Die Schulungspflicht für Geschäftsleitungen ist dabei ein zentrales Instrument, um dieses Wissen sicherzustellen. Vorstand und Geschäftsführung sollen in die Lage versetzt werden, die immer komplexer werdenden Cyber-Risiken angemessen zu beurteilen und als integralen Bestandteil der Unternehmensführung zu behandeln.

Für Unternehmen bedeutet dies praktisch, dass sie ein Schulungskonzept für ihre Führungsebene entwickeln müssen. Viele große Unternehmen haben zwar schon interne Awareness-Programme, diese richten sich aber meist an Mitarbeiter oder IT-Fachkräfte; spezifische Boardschulungen zu Cyberrisiken sind bislang eher die Ausnahme. Hier entsteht nun ein neues Aufgabenfeld, das gegebenenfalls mit externer Unterstützung, umgesetzt werden sollte. Wichtig ist, die Schulungen maßgeschneidert auf das Unternehmen zuzuschneiden – Standard-Folien von der Stange greifen zu kurz, wenn branchenspezifische und individuelle Risiken unberücksichtigt bleiben.

Die Erfüllung der Schulungspflicht ist Teil des IT-Compliance-Prüfkatalogs der Aufsichtsbehörden. Unternehmen sollten die Teilnahme der Geschäftsleitungsmitglieder an den Schulungen lückenlos dokumentieren und die Unterlagen bereithalten. Auch die regelmäßige Schulung der übrigen Mitarbeiter sollte fest im Sicherheitskonzept verankert werden, um eine ganzheitliche Resilienz aufzubauen.

Insgesamt führt NIS-2 damit zu einer Kulturveränderung, indem IT-Sicherheit vom rein technischen Thema zur Managementaufgabe wird. Dieser kulturwandelnde Anspruch mag zunächst bürokratischen und erheblichen finanziellen Aufwand bedeuten. Doch er trägt dem Umstand Rechnung, dass Cyber-Risiken heute Geschäftsrisiken sind. Die Regulierer erwarten, dass Führungskräfte hier mit gutem Beispiel vorangehen und eigenes Know-how aufbauen. Unternehmen, die diese Herausforderung proaktiv annehmen, können daraus sogar Vorteile ziehen, da eine informierte Geschäftsleitung schnellere und effektivere Entscheidungen im Krisenfall trifft und strategische Weichenstellungen (etwa in der Investition in Security-Maßnahmen) besser begründen kann. Letztlich zahlt die Umsetzung der NIS-2-Vorgaben auf das Vertrauen von Kunden und Partnern in die digitale Sicherheitskompetenz des Unternehmens ein – ein Faktor, der in Zeiten zunehmender Cyberbedrohungen immer wettbewerbsentscheidender wird.

---