Illustration Absmeier foto freepik aa

Cyberangriffe treffen Unternehmen immer häufiger und entwickeln sich zum zentralen Geschäftsrisiko. Aktuell schärfen die NIS2-Richtlinie und der Entwurf eines neuen BSI-Gesetzes die Verantwortung der Chefetagen und verpflichten Geschäftsleiter zu regelmäßigen Schulungen im Cyberrisikomanagement.

»Die neue Schulungspflicht macht Cybersecurity zur Kernaufgabe der Geschäftsleitung und rückt die persönliche Verantwortung in den Mittelpunkt«, weiß Rechtsanwalt André Schenk, Gründungspartner der Hamburger Wirtschaftskanzlei SBS Legal. Wer die Vorgaben unterschätzt, riskiert hohe Bußgelder und Regressansprüche.

Was es mit der NIS2-Richtlinie auf sich hat

Die NIS2-Richtlinie der Europäischen Union setzt einen einheitlichen Rahmen für Cybersicherheit in 18 Sektoren. Sie richtet sich an besonders wichtige Einrichtungen und wichtige Einrichtungen ab mittlerer Unternehmensgröße mit mehr als 50 Beschäftigten oder einem Umsatz ab 10 Millionen Euro. Im Zentrum stehen ein belastbares Risikomanagement und klare Meldewege bei Sicherheitsvorfällen, die das Management führend verantwortet.

Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz überträgt der deutsche Gesetzgeber diese Vorgaben in das BSI-Gesetz (BSIG). Das BSIG konkretisiert technische und organisatorische Maßnahmen und umfasst Risikoanalyse, Notfall- sowie Wiederanlaufpläne, Lieferkettensicherheit, Schulungen zur Cyberhygiene, Personalsicherheit und Zugriffskontrollen. Außerdem richtet das BSIG den Blick direkt auf die Geschäftsleitung und verankert ihre Aufgaben im Cyberrisikomanagement. Die Vorgaben führen dazu, dass Vorstände und Geschäftsführer das Thema Cybersicherheit kontinuierlich auf der Agenda halten müssen. BSIG E verlangt unter anderem auch die Teilnahme an Schulungen, die Überwachung der Schutzmaßnahmen und die Einbindung der richtigen Fachleute im Unternehmen.

BSI-Leitfaden macht Cyber-Schulung und Krisensimulation zur Chefsache

»Die Geschäftsleitung trägt die Verantwortung für den Kurs im Cyberrisikomanagement und benötigt fundierte Entscheidungsgrundlagen durch gezielte Schulung«, erklärt Rechtsanwalt André Schenk von SBS Legal. Die vorläufige Orientierungshilfe des BSI vom 30. September 2025 konkretisiert die Schulungspflicht – ersetzt aber keine unternehmensspezifische, rechtssichere Umsetzung, für die die Geschäftsleitung begleitende Rechtsberatung in Anspruch nehmen sollte.

Sie definiert die Mitglieder der obersten Geschäftsleitung als Adressaten und empfiehlt darüber hinaus die Einbindung von Führungskräften mit Verantwortung für Informationstechnologie. Der Gesetzgeber legt ein Mindestintervall von drei Jahren fest, das BSI empfiehlt je nach Risikolage häufigere Formate bis zu jährlichen Terminen.

Inhaltlich legt der Leitfaden einen Schwerpunkt auf ein Verständnis der NIS2-Regulierung, der Pflichten aus dem BSIG sowie der Auswirkungen von Sicherheitsvorfällen auf Geschäftsprozesse. Dazu kommen Übungen mit Fallstudien, Planspielen und Simulationen von Cyberangriffen, die die Handlungsfähigkeit der Leitungsorgane stärken. »Gut vorbereitete Geschäftsleiter erleben eine Krisensimulation als Chance und üben Abläufe, bevor der Ernstfall eintritt«, erläutert Schenk.

Die Dokumentation der Schulungen gewinnt vor diesem Hintergrund besondere Bedeutung. Teilnahmeunterlagen, Anwesenheitslisten und Materialien dienen als Nachweis gegenüber Aufsichtsbehörden und Prüfstellen und schaffen zugleich Transparenz im Unternehmen. Wer strukturierte Nachweise führt, stärkt seine Position in Haftungssituationen und zeigt gelebte Governance.

NIS2-Verstöße führen zu hohen Bußgeldern und persönlichen Haftungsrisiken

Verstöße gegen die Vorgaben aus NIS2 und BSIG E können zu erheblichen Bußgeldern führen. Für besonders wichtige Einrichtungen sieht der Entwurf Obergrenzen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor. In vielen Konstellationen drohen darüber hinaus Regressansprüche an die Geschäftsführer oder die Vorstände der Gesellschaft auf Grundlage der Sorgfaltspflichten nach Aktienrecht und GmbH-Recht.

Aus Sicht von SBS Legal entwickelt sich damit eine neue Haftungsfalle im Management. »Cybersicherheit gehört zur unternehmerischen Kernstrategie und zur persönlichen Risikosteuerung der Organmitglieder«, betont André Schenk. Er rät Geschäftsleitungen zu einem strukturierten Programm aus Schulungen, Notfallübungen und klaren Zuständigkeiten, das die Anforderungen von NIS2 mit den eigenen Geschäftsmodellen verbindet.

Die Anwaltskanzlei hat sich unter anderem auf das Internetrecht spezialisiert und ist im Zuge aller Anforderungen der NIS2-Richtlinien nebst Schulungen einer der ersten Ansprechpartner, wenn es um rechtliche Sicherheit geht. »Für jeden, der jetzt professionelle Unterstützung sucht, haben wir ein Kontingent an kostenlosen Erstberatungen eingerichtet«, weist der Rechtsanwalt auf das derzeitige Angebot der Kanzlei hin. Zahlreiche Unternehmen und Betriebe haben dies bereits in Anspruch genommen und sich damit für NIS2 sowie die Zukunft gewappnet. »Es sind nur noch wenige Plätze frei, daher sollten Interessenten rechtzeitig Kontakt aufnehmen«, fügt Schenk abschließend hinzu.

Orientierungshilfe des BSI vom 30. September 2025

Die Orientierungshilfe des BSI vom 30. September 2025 bietet eine Handlungshilfe für Autoren branchenspezifischer Sicherheitsstandards (B3S) und beschreibt die Anforderungen an Systeme und Prozesse zur Angriffserkennung bei KRITIS-Betreibern. Diese Hilfestellung ist eine wichtige Ressource für Unternehmen, die in der Industrie 4.0 tätig sind, um die Cybersicherheits-Regulierung zu verstehen und ihre Cyber-Sicherheitsstrategie proaktiv zu entwickeln.

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/KRITIS-Nachweise/OH_Nachweise/orientierungshilfe_node.html

585 Artikel zu „NIS2“

Trends 2025 | News | Trends Security | IT-Security | Whitepaper

NIS2 kommt – Wie ist die Sicherheitslage im Mittelstand?

16. November 2025

Eine neue Studie offenbart eine deutliche Diskrepanz in der Informationssicherheit des deutschen Mittelstands. Die Erhebung wurde kurze Zeit vor der Verabschiedung von NIS2 im Bundestag durchgeführt. Während die Unternehmen ihren eigenen Reifegrad als hoch einschätzen, stand dies im Kontrast zu einer hohen Zahl schwerwiegender Sicherheitsvorfälle und erheblicher Unsicherheit bezüglich der EU-Regulierung NIS2. Die Studie »Lage…