Die Umsetzung der NIS-2-Richtlinie bringt für Unternehmen neue Pflichten in der Cybersicherheit mit sich – insbesondere für die Geschäftsleitung. Mit einer aktuellen Handreichung erläutert das Bundesamt für Sicherheit in der Informationstechnik (BSI), welche Anforderungen künftig gelten und wie Führungskräfte sich vorbereiten müssen. (BSI Handreichung)
Im Mittelpunkt steht die gesetzlich verankerte Schulungspflicht für Geschäftsleiter*innen besonders wichtiger und wichtiger Einrichtungen. Ziel ist es, die Unternehmensführung in die Lage zu versetzen, Cyberrisiken strategisch zu bewerten, geeignete Schutzmaßnahmen zu entscheiden und deren Umsetzung zu überwachen. Die Schulungen sollen u. a. folgende Themen abdecken:
- Grundprinzipien der NIS-2-Richtlinie und des deutschen Umsetzungsgesetzes
- Identifikation und Bewertung von Cyberrisiken
- Auswahl und Steuerung technischer und organisatorischer Sicherheitsmaßnahmen
- Melde- und Dokumentationspflichten
- Einbindung der Cybersicherheit ins Risikomanagement und in die Unternehmensstrategie
Die Trainings müssen regelmäßig – mindestens alle drei Jahre – stattfinden. Unternehmen können externe Anbieter nutzen oder interne Expert*innen einsetzen. Wichtig ist eine klare Dokumentation, um Aufsichtsbehörden bei Bedarf Nachweise vorzulegen.
Die Konsequenzen bei Nichtbeachtung sind ernst: Neben hohen Bußgeldern droht eine persönliche Haftung der Geschäftsleitung für entstandene Schäden. Gleichzeitig steigt ohne ausreichende Kompetenzen das Risiko schwerer Sicherheitsvorfälle, Imageverluste und Betriebsunterbrechungen.
Unser Tipp für Unternehmen:
Führungsebene frühzeitig schulen, interne Verantwortlichkeiten klären und Cybersecurity fest in die Unternehmensstrategie integrieren. Wer jetzt handelt, schafft Rechtssicherheit, stärkt seine digitale Resilienz – und behält die Kontrolle im Ernstfall.