NIS-2

NIS-2-Schulungspflicht nach § 38 BSIG: Warum die Geschäftsführerschulung nur der erste Schritt ist

NIS-2-Schulungspflicht nach § 38 BSIG: Warum die Geschäftsführerschulung nur der erste Schritt ist
Symbolbild NIS-2-Schulung

Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Deutschland geltendes Recht. Mit ihm tritt eine der bedeutsamsten Neuerungen im Bereich der Cybersicherheit in Kraft: die gesetzliche Schulungspflicht für Geschäftsleitungen nach § 38 Abs. 3 BSIG. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen – von Energieversorgern über Gesundheitsdienstleister bis hin zur Lebensmittelproduktion.

Doch eine häufig unterschätzte Wahrheit zeigt sich bereits wenige Tage nach Inkrafttreten des Gesetzes: Die reine Erfüllung der Schulungspflicht befähigt Unternehmen noch lange nicht dazu, die umfangreichen NIS-2-Anforderungen eigenständig umzusetzen. Dieser Artikel erläutert, warum die Geschäftsführerschulung zwar ein notwendiger, aber keineswegs hinreichender Schritt auf dem Weg zur NIS-2-Compliance darstellt.

Die rechtliche Grundlage: § 38 BSIG im Kontext

Das novellierte BSI-Gesetz verankert in § 38 eine dreistufige Verantwortungskette für die Geschäftsleitung:

Absatz 1 – Umsetzungs- und Überwachungspflicht: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen sind verpflichtet, die nach § 30 BSIG zu ergreifenden Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen.

Absatz 2 – Haftungsregelung: Bei schuldhafter Verletzung dieser Pflichten haftet die Geschäftsleitung gegenüber der Einrichtung nach den jeweils anwendbaren gesellschaftsrechtlichen Regeln.

Absatz 3 – Schulungspflicht: Die Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken im Bereich der Informationssicherheit zu erlangen.

Diese drei Absätze bilden, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Handreichung zur Geschäftsleitungsschulung betont, eine geschlossene Haftungskette. Die Logik des Gesetzgebers ist eindeutig: Wer entscheidet, muss verstehen – und wer nicht versteht, haftet trotzdem.

Was die BSI-Handreichung zur Schulungspflicht vorsieht

Das BSI hat im September 2025 eine vorläufige Handreichung veröffentlicht, die sowohl Schulungsanbietern als auch Geschäftsleitungen als Orientierung dient. Die Handreichung, abrufbar als PDF auf den Seiten des BSI, definiert drei zentrale Kompetenzbereiche:

1. Risikoerkennung und -bewertung Die Geschäftsleitung muss in der Lage sein, an der Bewertung von Cybersicherheitsrisiken mitzuwirken. Dies bedeutet ausdrücklich nicht, dass Führungskräfte technisch ebenso versiert sein müssen wie die IT-Sicherheitsverantwortlichen im Unternehmen. Sie müssen jedoch wesentliche Bedrohungen, deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen verstehen können.

2. Verständnis der Risikomanagementmaßnahmen Die zehn Mindestmaßnahmen nach § 30 Abs. 2 BSIG – von Sicherheitskonzepten über Incident Management bis zur Lieferkettensicherheit – müssen der Geschäftsleitung bekannt sein. Sie muss einordnen können, wie diese Maßnahmen in das Gesamtgefüge des Sicherheitsmanagements eingebettet sind.

3. Beurteilung der Auswirkungen Die Leitungsebene soll befähigt werden abzuschätzen, wie sich Sicherheitsmaßnahmen auf betriebliche Abläufe, Kostenstrukturen und strategische Ziele auswirken.

Die Gesetzesbegründung geht von durchschnittlich halbtägigen Schulungen aus – etwa vier Stunden Dauer. Diese können je nach Risikoexposition der Einrichtung und individuellen Vorkenntnissen der Teilnehmenden variieren.

Das Spannungsfeld: Schulungspflicht versus Umsetzungskompetenz

Hier offenbart sich das zentrale Dilemma vieler Unternehmen: Eine vierstündige Schulung kann vermitteln, was NIS-2 fordert und welche Pflichten die Geschäftsleitung treffen. Sie kann jedoch nicht leisten, was für die praktische Umsetzung erforderlich ist.

Die zehn Mindestmaßnahmen nach § 30 Abs. 2 BSIG umfassen:

  1. Konzepte für Risikoanalyse und Informationssicherheit
  2. Bewältigung von Sicherheitsvorfällen (Incident Response)
  3. Aufrechterhaltung des Betriebs und Krisenmanagement
  4. Sicherheit der Lieferkette
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen
  6. Konzepte zur Bewertung der Wirksamkeit von Maßnahmen
  7. Grundlegende Cyberhygiene und Schulungen
  8. Kryptografie und Verschlüsselung
  9. Sicherheit des Personals und Zugriffskontrolle
  10. Multi-Faktor-Authentifizierung und sichere Kommunikation

Jede einzelne dieser Maßnahmen erfordert spezifisches Fachwissen für die praktische Implementierung. Eine Risikoanalyse nach anerkannten Standards durchzuführen, ein Incident-Response-Konzept zu entwickeln oder die Lieferkettensicherheit systematisch zu bewerten – diese Aufgaben gehen weit über das hinaus, was in einer Geschäftsführerschulung vermittelt werden kann und soll.

Die Unterscheidung: Strategisches Verständnis versus operative Umsetzung

Die BSI-Handreichung formuliert diesen Unterschied explizit: Die Geschäftsleitung soll nicht jede Maßnahme technisch erklären können. Sie muss aber wissen, wie diese in das Gesamtgefüge des Sicherheitsmanagements eingebettet ist.

Diese Abgrenzung ist bedeutsam: Die Schulungspflicht nach § 38 Abs. 3 BSIG zielt auf strategisches Verständnis und Entscheidungsfähigkeit ab. Die Umsetzungspflicht nach § 38 Abs. 1 BSIG erfordert hingegen operative Kompetenz – entweder im eigenen Unternehmen oder durch externe Unterstützung.

Für Unternehmen ergibt sich daraus eine zentrale Erkenntnis: Nach einer Standard-Pflichtschulung verfügt die Geschäftsleitung über einen Nachweis für die Aufsichtsbehörde. Das Unternehmen ist danach jedoch nicht in der Lage, die zehn Mindestmaßnahmen eigenständig umzusetzen.

Die Meldepflichten als Praxisbeispiel

Ein anschauliches Beispiel für die Diskrepanz zwischen Wissen und Können bieten die Meldepflichten nach § 32 BSIG. Die Fristen sind klar definiert:

  • 24 Stunden: Frühwarnung an das BSI nach Bekanntwerden eines erheblichen Sicherheitsvorfalls
  • 72 Stunden: Detaillierte Meldung mit Bewertung des Vorfalls
  • 1 Monat: Abschlussbericht mit durchgeführten Maßnahmen

In einer Geschäftsführerschulung lernen Teilnehmende diese Fristen kennen. Die eigentliche Herausforderung liegt jedoch in der praktischen Umsetzung: Wer im Unternehmen erkennt einen meldepflichtigen Vorfall? Welche Bewertungskriterien werden angelegt? Wie ist der interne Eskalationsprozess gestaltet? Welche Informationen müssen für die Meldung zusammengetragen werden?

Diese operativen Fragen erfordern etablierte Prozesse, klare Verantwortlichkeiten und geschultes Personal – weit über die Geschäftsleitung hinaus.

Nutzen Sie unseren Cybervorfall-Meldefristenrechner, um die konkreten Fristen für Ihr Unternehmen zu ermitteln.

Der Personenkreis: Wer muss geschult werden, wer muss umsetzen?

Das Gesetz definiert den Adressatenkreis der Schulungspflicht präzise: Geschäftsleitungen im Sinne des § 2 Nr. 13 BSIG sind Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung berufen sind.

Konkret bedeutet dies:

  • Geschäftsführer (GmbH)
  • Vorstände (AG)
  • Geschäftsführende Gesellschafter
  • CFOs, CIOs und CSOs mit Geschäftsleitungsfunktion

Beamte und Angestellte in der öffentlichen Bundesverwaltung nach § 29 BSIG gelten ausdrücklich nicht als Geschäftsleitung im Sinne dieser Vorschrift.

Für die Umsetzung der NIS-2-Anforderungen im Tagesgeschäft sind hingegen andere Personengruppen entscheidend:

  • Informationssicherheitsbeauftragte (ISB)
  • IT-Leiter und IT-Sicherheitsverantwortliche
  • Compliance-Manager
  • Risikomanager
  • Projektleiter für die NIS-2-Implementierung

Diese Mitarbeitenden benötigen tiefergehende Schulungen und praktische Umsetzungskompetenz. Wie der Bundesverband der Deutschen Industrie (BDI) in seiner Stellungnahme zum Gesetzentwurf betonte, scheitert NIS-2 in der Praxis häufig nicht an der Theorie, sondern an der operativen Umsetzung.

Die Registrierungspflicht: Ein weiterer Zeitdruck

Parallel zur Schulungspflicht müssen betroffene Unternehmen eine weitere Frist beachten: Die Registrierung beim BSI ist ab Januar 2026 möglich und muss innerhalb von drei Monaten nach Inkrafttreten des Gesetzes erfolgen.

Für Unternehmen, die ihre NIS-2-Betroffenheit noch nicht abschließend geprüft haben, entsteht damit zusätzlicher Handlungsdruck. Die Registrierung setzt voraus, dass das Unternehmen seine Einordnung als "besonders wichtige" oder "wichtige" Einrichtung bereits vorgenommen hat.

Der Sanktionsrahmen: Warum proaktives Handeln lohnt

Die Konsequenzen bei Verstößen sind erheblich und differenziert nach Einrichtungstyp:

Besonders wichtige Einrichtungen:

  • Bußgelder bis zu 10 Millionen Euro oder
  • 2 Prozent des weltweiten Jahresumsatzes

Wichtige Einrichtungen:

  • Bußgelder bis zu 7 Millionen Euro oder
  • 1,4 Prozent des weltweiten Jahresumsatzes

Hinzu kommt die persönliche Haftung der Geschäftsleitung nach § 38 Abs. 2 BSIG. Anders als in vielen anderen Rechtsbereichen ist ein Verzicht auf Ersatzansprüche gegen die Geschäftsleitung oder ein Vergleich hierüber durch die Einrichtung unwirksam – es sei denn, die Geschäftsleitung ist zahlungsunfähig und vergleicht sich zur Abwendung eines Insolvenzverfahrens mit ihren Gläubigern.

Diese Regelung unterstreicht: Der Gesetzgeber nimmt die Verantwortung der Geschäftsleitung ernst. Die Schulung ist dabei kein Freibrief, sondern das notwendige Fundament für informierte Entscheidungen.

Der Weg zur eigenständigen Umsetzungsfähigkeit

Wie kann ein Unternehmen von der reinen Pflichterfüllung zur echten Handlungsfähigkeit gelangen? Die Antwort liegt in einem mehrstufigen Ansatz:

Stufe 1: Geschäftsführerschulung (Pflicht) Erfüllung der gesetzlichen Anforderung nach § 38 Abs. 3 BSIG. Vermittlung des strategischen Verständnisses für Risiken, Maßnahmen und Auswirkungen. Unsere NIS-2-Schulung erfüllt diese Anforderung und geht bewusst darüber hinaus.

Stufe 2: Qualifizierung des Umsetzungsteams (Befähigung) Praktische Schulung der Personen, die NIS-2 im Alltag umsetzen. Vermittlung von Methoden zur Risikoanalyse, Konzeptentwicklung und Vorfallbewältigung. Mit unserer Inhouse-Schulung befähigen wir nicht nur die Geschäftsleitung, sondern das gesamte Umsetzungsteam.

Stufe 3: Etablierung eines Managementsystems (Nachhaltigkeit) Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder BSI IT-Grundschutz als strukturelle Basis für kontinuierliche NIS-2-Compliance.

Dieser Dreiklang verdeutlicht: Die Schulungspflicht ist der Startpunkt, nicht das Ziel. Unternehmen, die NIS-2 als Chance begreifen, ihre Cybersicherheit strukturell zu verbessern, werden langfristig profitieren – unabhängig von regulatorischem Druck.

BSI IT-Grundschutz als bewährte Basis

Das BSI selbst bietet mit dem IT-Grundschutz einen methodischen Rahmen, der sich hervorragend für die NIS-2-Umsetzung eignet. Der Referentenentwurf des NIS-2-Umsetzungsgesetzes sieht in § 44 Abs. 2 BSIG explizit vor, dass die Einhaltung des IT-Grundschutzes als Nachweis für die Erfüllung der NIS-2-Anforderungen dienen kann.

Die vier BSI-Standards bieten dabei eine vollständige Methodik:

  • BSI-Standard 200-1: Managementsysteme für Informationssicherheit
  • BSI-Standard 200-2: IT-Grundschutz-Methodik
  • BSI-Standard 200-3: Risikoanalyse auf Basis von IT-Grundschutz
  • BSI-Standard 200-4: Business Continuity Management

Erfahren Sie mehr über die Verbindung von NIS-2 und BSI IT-Grundschutz in unserer detaillierten Übersicht.

Synergien nutzen: DSGVO und NIS-2

Für Unternehmen, die bereits ein robustes Datenschutzmanagement nach der DSGVO etabliert haben, bieten sich erhebliche Synergien.

  • Technische und organisatorische Maßnahmen (Art. 32 DSGVO / § 30 BSIG)
  • Meldepflichten bei Sicherheitsvorfällen
  • Risikoorientierter Ansatz
  • Dokumentationspflichten

Eine detaillierte Analyse dieser Schnittmengen finden Sie in unserem Magazinbeitrag zu DSGVO und NIS-2.

Handlungsempfehlungen für Unternehmen

Basierend auf der aktuellen Rechtslage und der Praxiserfahrung ergeben sich folgende konkrete Handlungsempfehlungen:

Kurzfristig (bis Q1 2026):

  1. Betroffenheitsprüfung durchführen oder validieren
  2. Geschäftsführerschulung nach § 38 Abs. 3 BSIG absolvieren
  3. BSI-Registrierung vorbereiten

Mittelfristig (bis Q3 2026): 4. Umsetzungsteam identifizieren und qualifizieren 5. Gap-Analyse gegen die zehn Mindestmaßnahmen durchführen 6. Priorisierte Maßnahmenroadmap entwickeln

Langfristig (kontinuierlich): 7. ISMS nach ISO 27001 oder BSI IT-Grundschutz aufbauen oder erweitern 8. Regelmäßige Schulungen für Geschäftsleitung und Mitarbeitende etablieren 9. Kontinuierliche Verbesserung der Sicherheitsmaßnahmen

Für Unternehmen, die einen externen Informationssicherheitsbeauftragten (ISB) in Betracht ziehen, kann dies eine ressourceneffiziente Alternative zur internen Stellenbesetzung darstellen.

Die Schulungspflicht als Startpunkt verstehen

Die NIS-2-Schulungspflicht nach § 38 Abs. 3 BSIG ist ein notwendiger, aber nicht hinreichender Schritt zur Cybersicherheits-Compliance. Sie befähigt die Geschäftsleitung zu informierten Entscheidungen und schützt vor dem Vorwurf der Unwissenheit. Sie ersetzt jedoch nicht die praktische Umsetzungskompetenz, die für die zehn Mindestmaßnahmen nach § 30 BSIG erforderlich ist.

Unternehmen, die über die reine Pflichterfüllung hinausgehen und ihr Team zur eigenständigen Umsetzung befähigen möchten, benötigen einen erweiterten Schulungsansatz. Die Kombination aus strategischer Geschäftsführerschulung und praktischer Qualifizierung des Umsetzungsteams schafft die Grundlage für nachhaltige NIS-2-Compliance.

Die größte Ersparnis liegt dabei nicht in vermiedenen Bußgeldern, sondern in der reduzierten Abhängigkeit von externer Unterstützung und der gesteigerten Reaktionsfähigkeit im Ernstfall. Ein Team, das die Anforderungen versteht und umsetzen kann, ist im Krisenfall sofort handlungsfähig – ohne erst externe Berater hinzuziehen zu müssen.

Häufig gestellte Fragen (FAQ)

Wer ist von der NIS-2-Schulungspflicht betroffen?

Die Schulungspflicht nach § 38 Abs. 3 BSIG gilt für alle Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen. Dazu zählen Geschäftsführer, Vorstände, geschäftsführende Gesellschafter sowie CFOs, CIOs und CSOs mit Geschäftsleitungsfunktion. Betroffen sind rund 29.500 Unternehmen in 18 Sektoren – von Energie über Gesundheit bis zur Lebensmittelproduktion.

Wie lange dauert eine NIS-2-Geschäftsführerschulung?

Die Gesetzesbegründung geht von durchschnittlich vier Stunden (halbtägig) aus. Die tatsächliche Dauer kann je nach Risikoexposition der Einrichtung und individuellen Vorkenntnissen der Teilnehmenden variieren. Das BSI betont, dass alle geforderten Kenntnisse und Fähigkeiten sinnvoll vermittelt werden müssen – unabhängig von einer starren Zeitvorgabe.

Wie oft muss die Schulung wiederholt werden?

Das Gesetz verlangt „regelmäßige" Schulungen, ohne ein festes Intervall vorzuschreiben. Die Gesetzesbegründung orientiert sich an einem Drei-Jahres-Rhythmus als Mindeststandard. Bei erhöhter Risikoexposition, wesentlichen Änderungen der Bedrohungslage oder organisatorischen Veränderungen im Unternehmen können häufigere Schulungen erforderlich sein.

Reicht die Geschäftsführerschulung aus, um NIS-2 umzusetzen?

Nein. Die Schulungspflicht nach § 38 Abs. 3 BSIG vermittelt strategisches Verständnis für Risiken und Maßnahmen. Die praktische Umsetzung der zehn Mindestmaßnahmen nach § 30 BSIG – von Risikoanalysen über Incident Response bis zur Lieferkettensicherheit – erfordert zusätzliche operative Kompetenz im Unternehmen oder durch externe Unterstützung.

Welche Strafen drohen bei Verstößen gegen die Schulungspflicht?

Bei Verstößen gegen NIS-2-Pflichten drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Hinzu kommt die persönliche Haftung der Geschäftsleitung nach § 38 Abs. 2 BSIG. Ein Verzicht auf Ersatzansprüche durch das Unternehmen ist gesetzlich ausgeschlossen.

Read more

Zero-Trust-Architektur: Eine Möglichkeit für NIS2- und DORA-Compliance

Zero-Trust-Architektur: Eine Möglichkeit für NIS2- und DORA-Compliance

Die fortschreitende Digitalisierung, Cloud-Migration und der Wandel zur hybriden Arbeitswelt erfordern ein fundamentales Umdenken in der IT-Sicherheitsstrategie europäischer Unternehmen. Die Zero-Trust-Architektur (ZTA) etabliert sich als maßgebliches Sicherheitsparadigma, das die Prämisse „niemals vertrauen, immer verifizieren" in den Mittelpunkt stellt. Dieser Artikel analysiert die theoretischen Grundlagen, praktischen Implementierungsstrategien und die Auswirkungen
OT-Security für Produktionsunternehmen: IT und OT sicher verbinden

OT-Security für Produktionsunternehmen: IT und OT sicher verbinden

Die fortschreitende digitale Transformation im Produktionsumfeld, insbesondere durch Industrie 4.0-Initiativen, führt zu einer zunehmenden Konvergenz von klassischer Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT). Diese Entwicklung eröffnet zwar erhebliche Effizienzpotenziale, schafft jedoch gleichzeitig neue Angriffsvektoren für Cyber-Bedrohungen. Die sichere Integration beider Welten erfordert ein fundiertes Verständnis der spezifischen Anforderungen