Cybersicherheit ist Chefsache – NIS-2-Schulungspflicht für Führungskräfte

Viele Unternehmen investieren seit Jahren in Awareness-Trainings für ihre Mitarbeitenden – Phishing, Passwortsicherheit, Datenschutz, sichere Passwörter. Das ist wichtig.

Aber mit der NIS-2-Richtlinie und ihrer Umsetzung in deutsches Recht ändert sich etwas Grundlegendes: Diesmal reicht es nicht mehr, „die Belegschaft zu sensibilisieren“.

Denn die Verantwortung liegt jetzt ausdrücklich auch bei der Geschäftsleitung selbst.

Mitarbeitende müssen wissen, wie sie sicher handeln. Die Geschäftsleitung muss wissen, welche Risiken sie verantwortet.

Das ist der entscheidende Unterschied:

• Mitarbeitende handeln auf operativer Ebene.
• Die Geschäftsleitung trifft strategische und haftungsrelevante Entscheidungen – etwa zur Risikobewertung, zu Investitionen oder zur Auswahl von Sicherheitsmaßnahmen.

Nur wenn die Führungsebene versteht, wie Cyberrisiken wirken, kann sie Budgets richtig priorisieren, Maßnahmen wirksam steuern und gesetzliche Pflichten erfüllen. Ein Schulungsvideo zum Thema Passwortsicherheit reicht hier nicht mehr.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Ende September 2025 eine Handreichung veröffentlicht, die genau beschreibt, was von Geschäftsleitungen künftig erwartet wird.

Danach müssen Führungskräfte in die Lage versetzt werden,

1. Risiken zu erkennen und zu bewerten,
2. Risikomanagementmaßnahmen zu verstehen,
3. deren Auswirkungen auf den Geschäftsbetrieb zu beurteilen.

Die Schulungen müssen regelmäßig (mindestens alle drei Jahre) stattfinden – häufiger, wenn sich die Risiken oder Prozesse im Unternehmen ändern. Sie können intern oder extern durchgeführt werden, müssen aber dokumentiert werden und konkret auf das eigene Unternehmen eingehen.

Oft heißt es lapidar: „Die Geschäftsführung muss geschult werden.“ Das stimmt – ist aber zu kurz gegriffen. Im BSIG-E (Entwurf) steht in §2 (13): „Geschäftsleitung“ eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist; Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung nach § 29 gelten nicht als Geschäftsleitung.

Damit sind alle Personen schulungspflichtig, die in deinem Unternehmen dieser Definition entsprechen – unabhängig von Jobtitel oder operativer Rolle. Typische Beispiele für schulungspflichtige Positionen sind unter anderem:

• Geschäftsführer / Geschäftsführerin
• Vorstand / Vorständin
• Mitglied des Vorstands
• Chief Executive Officer (CEO)
• Chief Financial Officer (CFO)
• Chief Operating Officer (COO)
• Chief Information Officer (CIO)
• Chief Security Officer (CSO)
• Komplementär / Komplementärin
• geschäftsführender Gesellschafter / geschäftsführende Gesellschafterin

Kurz gesagt: Alle Personen, die das Unternehmen rechtlich vertreten und wesentliche Entscheidungen verantworten, müssen geschult werden – nicht nur die „klassische“ Geschäftsführung.

Die NIS-2-Umsetzung verlangt ausdrücklich, dass die Geschäftsleitung ausreichende Kenntnisse und Fähigkeiten besitzt, um Risiken im Bereich Informationssicherheit zu erkennen, zu bewerten und angemessen zu steuern. Maßgeblich ist § 38 Abs. 3 NIS2UmsuCG (Entwurf) – und der macht klar: Es geht nicht um einmalige Schulungen, sondern um einen kontinuierlichen Kompetenzaufbau.

Gesetzliches Minimum:

• mindestens alle 3 Jahre,
• mindestens 4 Stunden Umfang.

Aus der Praxis heraus empfehlt das BSI: deutlich häufiger schulen (z. B. jährlich), idealerweise mit umfangreicheren Sessions, damit strategische Verantwortlichkeiten wirklich abgedeckt werden.

In diesen Fällen muss zusätzlich geschult werden

Unabhängig vom regulären Intervall sind weitere Schulungen verpflichtend, wenn sich wesentliche Rahmenbedingungen ändern. Eine Pflicht ergibt sich insbesondere bei:

• Wechsel in der Geschäftsleitung
• Signifikanten Änderungen in den Geschäftsprozessen
• Signifikanten Änderungen der Risikoexposition
• Änderungen bei implementierten oder geplanten Risikomanagementmaßnahmen
• Individuellen Kompetenzunterschieden innerhalb der Geschäftsleitung (z. B. wenn neue Mitglieder weniger Vorerfahrung in IT- oder Cybersicherheit haben)

Die Geschäftsleitung muss künftig grundlegende Fragen beantworten können wie:

• Welche Cyberrisiken bedrohen unsere Organisation - technisch, organisatorisch und wirtschaftlich?
• Wie effektiv sind unsere bestehenden Sicherheitsmaßnahmen?
• Welche Melde- und Haftungspflichten gelten bei Sicherheitsvorfällen?
• Welche Folgen hätte ein längerer IT-Ausfall für den Betrieb, Kunden und Reputation?

Kurz gesagt: Cybersicherheit wird Chefsache – auch inhaltlich.

So unbequem die neue Pflicht zunächst klingt – sie ist ein Schritt in die richtige Richtung.
Denn zu viele Sicherheitslücken entstehen nicht aus Unwissen, sondern aus falscher Priorisierung. Nur wer die Risiken versteht, kann auch die richtigen Entscheidungen treffen: beim Budget, bei der Strategie, bei der Reaktion auf Vorfälle.

Datenschutzrisiken wirken oft theoretisch – Bußgelder eher wie ein Gewinn im Lotto. Bei der Cybersicherheit sieht das anders aus: Hier geraten Unternehmen deutlich häufiger und sehr schnell in ernsthafte Schwierigkeiten – von Betriebsunterbrechungen über Datenverlust bis hin zur Insolvenz.

Die NIS-2-Richtlinie führt erstmals eine verbindliche Schulungspflicht für Geschäftsleitungen ein. Wer sie ignoriert, riskiert nicht nur Bußgelder, sondern auch persönliche Haftung.

Jetzt ist der richtige Zeitpunkt, diese Pflicht als Chance zu begreifen – für mehr Bewusstsein, bessere Entscheidungen und ein nachhaltiges Sicherheitsniveau im Unternehmen.