Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht steigen die Anforderungen an betroffene Unternehmen deutlich: Cybersicherheit muss künftig systematisch geplant, umgesetzt und kontinuierlich überwacht werden. Die Geschäftsleitung steht mit NIS2 zunehmend in der Verantwortung digitale Resilienz strategisch zu steuern und mitzudenken. Der nationale Umsetzungsprozess ist nahezu abgeschlossen und das NIS2UmsuCG wird voraussichtlich Ende 2025 oder Anfang 2026 in Kraft treten.
Cybersicherheit wird zur Chefsache – mehr denn je
NIS2 macht deutlich, dass Informationssicherheit nicht nur in der IT-Abteilung verankert sein sollte, sondern bei der Geschäftsführung beginnt. Die Schulungspflicht für Geschäftsleitungen (§ 38 Abs. 3 BSIG-E) unterstreicht diese Erwartung: Cybersicherheit ist kein delegierbares Randthema, sondern erfordert proaktives Handeln und eine ernsthafte Auseinandersetzung.
BSI-Leitfaden zur Schulungspflicht als Orientierungshilfe
Das BSI hat Ende September einen vorläufigen Orientierungsleitfaden zur Schulungspflicht (§ 38 Abs. 3 BSIG-E) mit konkreten Antworten auf zentrale Fragen veröffentlicht. Im Leitfaden werden diese Aspekte erläutert:
- Schulungspflicht für Leitungsebene: Geschäftsführende, Vorstände oder andere vertretungsberechtigte Personen müssen sich regelmäßig fortbilden.
- Regelmäßiger Turnus: Das Dokument schreibt eine Mindestfrequenz von drei Jahren vor. Empfohlen wird ein kompaktes Format von ca. 4 Stunden.
- Praxisnähe statt reiner Theorie: Die Schulungsinhalte sollen unternehmensspezifisch und anwendungsorientiert aufbereitet sein. Externe Anbieter oder interne Experten dürfen schulen.
- Nachweis nicht vergessen: Teilnahme, Dauer und Inhalte der Schulung müssen gründlich dokumentiert werden.
- Inhalte mit Relevanz: Geschult werden soll, was für die Führungsebene wirklich zählt, darunter ein Überblick über NIS2 und das BSIG-E, rechtliche Verpflichtungen, Melde- und Registrierungspflichten sowie die Verantwortung im Rahmen des Risikomanagements. Der Leitfaden gliedert die Inhalte in „Soll-“ und „Kann-Themen“.
Fazit: Der richtige Zeitpunkt ist jetzt
NIS2 ist kein weiteres Update im Gesetzesdschungel, sondern ein Handlungsauftrag an Unternehmen, Cybersicherheit nicht länger aufzuschieben und zu vernachlässigen. Wer frühzeitig reagiert, reduziert nicht nur technologische Risiken, sondern schützt auch Reputation, Haftung und Geschäftskontinuität.
Nutzen Sie jetzt die Gelegenheit, Ihr Unternehmen gezielt auf die Anforderungen von NIS2 vorzubereiten. Wir unterstützen Sie mit maßgeschneiderten Schulungskonzepten, strategischer Beratung und praktischer Umsetzung. Buchen Sie hier ein kostenloses Expertengespräch.
