EN
Bild: Schulung der Geschäftsführung

ADVISORI

Themen

Internet & Digitalisierung
Frankfurt am Main, 27.01.2026

NIS-2 in Kraft: Schulungspflicht für Geschäftsleitungen konkretisiert

BSI-Handreichung nennt drei Kompetenzen nach § 38 BSIG

Autorin: Sarah Richter

Mit Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) Anfang Dezember 2025 gelten in Deutschland neue Anforderungen an das Cybersicherheits-Risikomanagement.

§ 38 des novellierten BSI-Gesetzes (BSIG) verpflichtet Geschäftsleitungen „besonders wichtiger“ und „wichtiger“ Einrichtungen zur Umsetzung und Überwachung von Cybersicherheits-Risikomanagementmaßnahmen sowie dazu, Cybersicherheitsrisiken und entsprechende Managementpraktiken fachlich bewerten zu können.
Regelmäßige Schulungen dienen der Sicherstellung dieser erforderlichen Management-Urteilsfähigkeit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Oktober 2025 eine vorläufige Handreichung zur „NIS-2-Geschäftsleitungsschulung“ veröffentlicht.

ADVISORI unterstützt Unternehmen bei Planung, Durchführung und Dokumentation entsprechender Schulungen.

Pflichten und Haftungsbezug

§ 38 BSIG sieht vor, dass Geschäftsleitungen bei schuldhafter Pflichtverletzung ihrer Einrichtung nach den Regeln des Gesellschaftsrechts für verursachte Schäden haften können.

Die Schulungspflicht zielt darauf, Risiken und Risikomanagementpraktiken der IT-Sicherheit einordnen und deren Auswirkungen auf die erbrachten Dienste beurteilen zu können.

Drei Kompetenzfelder für die Geschäftsleitung

  1. Risiken erkennen und bewerten (Risikoanalyse): Bewertung von Cybersicherheitsrisiken anhand von Eintrittswahrscheinlichkeit und Schadensausmaß.
  2. Risikomanagementmaßnahmen einordnen: Verständnis für Zweck, Angemessenheit und Wirksamkeit technischer und organisatorischer Maßnahmen sowie deren Bedeutung für Geschäftsprozesse und Zielerreichung.
  3. Auswirkungen beurteilen (Business Impact): Einordnung der Auswirkungen von Cybersicherheitsrisiken auf die Verfügbarkeit, Integrität und Vertraulichkeit der erbrachten Dienste sowie auf wirtschaftliche, rechtliche und reputative Belange.

„Gefordert ist Management-Urteilsfähigkeit – nicht technisches Detailwissen“, erklärt ADVISORI.

Rhythmus und Dokumentation

Als Orientierung wird ein Wiederholungsintervall von mindestens drei Jahren genannt; bei wesentlichen Veränderungen können zusätzliche Schulungen erforderlich werden.

Über ADVISORI

ADVISORI FTC GmbH berät Unternehmen zu Cybersecurity, Informationssicherheit, Regulatorik und Risikomanagement.

Kontakt
Advisori FTC GmbH, Frankfurt am Main
Boris Friedrich, Geschäftsführer
Sarah Richter, Director Information Security
Tel.+49 69 91 31 13 01
kontakt@advisori.de
https://www.advisori.de

Zum Mitgliedsprofil: Advisori FTC GmbH
 

Verwandte Artikel

https://www.youtube.com/watch?v=-76

BVMW Talk – Dr. Philip Ferstl – Christine Matheja

Gesundheit
Gruppenfoto Jenner 2026; Kornelia Kirchermeier feiert 5 Jahre Mittelstandsarbeit mit von links MdL Michael Koller (FW), Caroline de la Rosa (BVMW) und Landrat Bernhard Kern(CSU) auf dem Jenner

Gipfeltreffen des Mittelstands: Fünf Jahre BVMW-Arbeit in der Region

Illustre Gäste, Alphornbläser und eine Traumkulisse zum Frühstück. So feiert man im Chiemgau und Berchtesgadener Land die Arbeit für und mit dem Mittelstand.

Unternehmertum