Um die Unternehmensführungen auf diese neuen Pflichten, die sich für Unternehmen aus der Umsetzung der NIS2-Richtlinine ergeben vorzubereiten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 30.9.2025 eine Handreichung zur NIS2-Geschäftsleitungsschulung veröffentlicht.
Aktuell gibt es hinsichtlich der Umsetzung der NIS2 Richtlinie bekanntlich ja noch Verzögerungen.
Die Umsetzung soll durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) erfolgen. Das Gesetz zur Umsetzung der EU-NIS-2-Richtlinie ist weiterhin nicht final verabschiedet, befindet sich aber aktuell im parlamentarischen Verfahren. Nach Verzögerungen durch Neuwahlen und Regierungswechsel hat das Bundeskabinett den Entwurf am 30.7.2025 beschlossen und im August dem Bundesrat zur Stellungnahme vorgelegt. Eine erste Lesung im Bundestag ist für Herbst 2025 vorgesehen, mit Verabschiedung voraussichtlich Ende 2025 oder Anfang 2026. Deutschland hat damit die EU-Umsetzungsfrist (Oktober 2024) verpasst und wurde von der EU-Kommission bereits ermahnt. Im aktuellen Regierungsentwurf wurden Fristen sowie viele Definitionen und Vorgaben zu Kritischen Infrastrukturen (KRITIS) und der Bundesverwaltung angepasst, zudem gibt es eine Reduzierung der Nachweispflichten für weniger relevante Unternehmen, wobei Betreiber kritischer Anlagen weiterhin verpflichtet bleiben. In § 38 Abs. 3 BISG-E wird eine Umsetzungs-, Überwachungs- und Schulungspflicht für die Geschäftsleitung in betroffenen Einrichtungen genannt. Hierbei handelt es sich um eine gesonderte Verpflichtung im Vergleich zu der Schulungspflicht für Mitarbeitende nach § 30 Abs. 2 Nr. 7 BSIG-E. In der Handreichung wird recht klar formuliert, welche Anforderung bestehen. Ich zitieren mal:
Art. 20 Abs. 2 NIS-2-RL und § 38 Abs. 3 BSIG-E verlangen, dass Geschäftsleitungen und nach § 43 Abs. 3 BSIG-E Leitungen von bwE und wE „regelmäßig an Schulungen teilnehmen [müssen], um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“
Regelmäßig ist nicht näher definiert. Der deutsche Gesetzgeber schreibt in der Begründung zum NIS-2-Umsetzungsgesetz: “Als „regelmäßig“ im Sinne dieser Vorschrift gelten Schulungen, die mindestens alle drei Jahre angeboten werden. Für Einrichtungen der Bundesverwaltung gilt abweichend § 43 Abs. 2 BSIG-E.”
Zur Dauer der Schulungen macht der Gesetzgeber keine Vorgaben, geht aber in der Gesetzesbegründung von durchschnittlich halbtägigen Schulungen (vier Stunden) aus.
Die Dauer einer Schulung kann je nach Risikoexposition der Einrichtung und individuellen Fähigkeiten der Geschäftsleitungen die vom Gesetzgeber veranschlagten vier Stunden auch deutlich überschreiten. Es ist entscheidend, dass alle geforderten Kenntnisse und Fähigkeiten sinnvoll übermittelt werden.
Die neu herausgegebene Handreichung passt daher gut in diese aktuelle Situation, in der die Geschäftsleitungen sich befinden und klären müssen, was für Schulungen sie benötigen. Diese neue Schulungspflicht verlangt von der Geschäftsführung nicht nur Kenntnis der regulatorischen Anforderungen, sondern auch ein fundiertes Verständnis der Risiken.
Die BSI-Handreichung zur NIS-2-Geschäftsleitungsschulung gibt eine strukturierte Orientierung zur gesetzlichen Pflicht regelmäßiger Cybersicherheits-Schulungen für Geschäftsleitungen „besonders wichtiger“ und „wichtiger“ Einrichtungen nach dem neuen NIS-2-Umsetzungsgesetz. Sie beschreibt praxisnah, welche Personen geschult werden müssen, wie oft und wie Schulungen durchzuführen und nachzuweisen sind – etwa durch Dokumentation der Teilnahmen und Inhalte für Prüfungen durch Behörden wie das BSI.
Inhaltlich geht es zentral um die strategische Verantwortung der Geschäftsleitung für Cybersicherheit und Risikomanagement. Schulungen sollen auf die Erkennung und Bewertung von Cyberrisiken, das Kennen von technischen und organisatorischen Mindestmaßnahmen nach § 30 BSIG-E und deren betriebliche Auswirkungen vorbereiten. Ergänzende Themen sind Melde-, Registrierungs- und Informationspflichten, Sektor-spezifische Besonderheiten und die persönliche Haftung der Geschäftsleitung bei Pflichtverstößen.
Die Handreichung nennt konkrete Leitfragen, mit denen die Geschäftsleitung ihre Compliance praxisnah steuern kann – etwa zur Wirksamkeit von Riskoanalysen, zu Notfallplänen, Lieferkettensicherheit, Cyberhygiene und Zugangsschutz. Schulungen müssen die individuellen Rahmenbedingungen der Einrichtungen berücksichtigen und können von internen oder externen Experten angeboten werden.
Das Dokument ist als erste Hilfe zur Umsetzung der gesetzlichen Vorschriften zu verstehen und wurde im Hinblick auf das noch nicht endgültig verabschiedete Gesetz veröffentlicht. Es dient Unternehmen und Schulungsanbietern als Referenz für die praktische und rechtskonforme Gestaltung von Geschäftsleitungsschulungen im Bereich Cybersicherheit.
Die Handreichung findet Sie hier: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-geschaeftsleitungsschulung.pdf
