Weitere Leistungen & Informationen
Datenschutz: Unsere Leistungen
IT-Sicherheit: Unsere Leistungen
KI & KI-VO: Unsere Leistungen
Akademie: Unsere Leistungen
Mit der neuen NIS-2-Richtlinie ändert sich alles: Erstmals sind Geschäftsleitungen gesetzlich verpflichtet, sich regelmäßig zu Cybersicherheitsrisiken fortzubilden.Warum das weit über klassische Awareness-Schulungen hinausgeht – und was das BSI von Unternehmenslenkern jetzt erwartet.
Viele Unternehmen investieren seit Jahren in Awareness-Trainings für ihre Mitarbeitenden – Phishing, Passwortsicherheit, Datenschutz, sichere Passwörter. Das ist wichtig.
Aber mit der NIS-2-Richtlinie und ihrer Umsetzung in deutsches Recht ändert sich etwas Grundlegendes: Diesmal reicht es nicht mehr, „die Belegschaft zu sensibilisieren“.
Denn die Verantwortung liegt jetzt ausdrücklich auch bei der Geschäftsleitung selbst.
Mitarbeitende müssen wissen, wie sie sicher handeln. Die Geschäftsleitung muss wissen, welche Risiken sie verantwortet.
Das ist der entscheidende Unterschied:
Nur wenn die Führungsebene versteht, wie Cyberrisiken wirken, kann sie Budgets richtig priorisieren, Maßnahmen wirksam steuern und gesetzliche Pflichten erfüllen. Ein Schulungsvideo zum Thema Passwortsicherheit reicht hier nicht mehr.
Mit dem neuen § 38 des IT-Sicherheitsgesetzes (BSIG-E) wird festgelegt:
Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung, Bewertung und Steuerung von Risiken in der Informationssicherheit zu erlangen.
Das ist kein „nice to have“ – sondern eine gesetzliche Pflicht, die für alle wichtigen und besonders wichtigen Einrichtungen gilt. Wer diese Pflicht vernachlässigt, kann persönlich haftbar gemacht werden, wenn durch unzureichende IT-Sicherheitsmaßnahmen ein Schaden entsteht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Ende September 2025 eine Handreichung veröffentlicht, die genau beschreibt, was von Geschäftsleitungen künftig erwartet wird.
Danach müssen Führungskräfte in die Lage versetzt werden,
Die Schulungen müssen regelmäßig (mindestens alle drei Jahre) stattfinden – häufiger, wenn sich die Risiken oder Prozesse im Unternehmen ändern. Sie können intern oder extern durchgeführt werden, müssen aber dokumentiert werden und konkret auf das eigene Unternehmen eingehen.
NOVIDATA Updates
Newsletter Datenschutz, IT-Sicherheit & KI
Mit unserem Newsletter erhälst du aktuelle Informationen zu den Themen Datenschutz, IT-Sicherheit & KI regelmäßig bequem in dein Postfach!
Die Geschäftsleitung muss künftig grundlegende Fragen beantworten können wie:
Kurz gesagt: Cybersicherheit wird Chefsache – auch inhaltlich.
So unbequem die neue Pflicht zunächst klingt – sie ist ein Schritt in die richtige Richtung.Denn zu viele Sicherheitslücken entstehen nicht aus Unwissen, sondern aus falscher Priorisierung. Nur wer die Risiken versteht, kann auch die richtigen Entscheidungen treffen: beim Budget, bei der Strategie, bei der Reaktion auf Vorfälle.
Datenschutzrisiken wirken oft theoretisch – Bußgelder eher wie ein Gewinn im Lotto. Bei der Cybersicherheit sieht das anders aus: Hier geraten Unternehmen deutlich häufiger und sehr schnell in ernsthafte Schwierigkeiten – von Betriebsunterbrechungen über Datenverlust bis hin zur Insolvenz.
Erst wenn die Geschäftsleitung in einer NIS-2-Schulung live durch ein Angriffsszenario geht, wird klar, dass IT-Sicherheit kein Technik-, sondern ein Managementthema ist.
Die NIS-2-Richtlinie führt erstmals eine verbindliche Schulungspflicht für Geschäftsleitungen ein. Wer sie ignoriert, riskiert nicht nur Bußgelder, sondern auch persönliche Haftung.
Jetzt ist der richtige Zeitpunkt, diese Pflicht als Chance zu begreifen – für mehr Bewusstsein, bessere Entscheidungen und ein nachhaltiges Sicherheitsniveau im Unternehmen.
Inhalt