Am 6. März 2026 endet die dreimonatige Registrierungsfrist für Einrichtungen, die von der NIS-2-Richtlinie betroffen sind. Hierrüber hinaus erfährt die Informationssicherheit mit der Umsetzung der NIS‑2‑Richtlinie in das BSIG einen Paradigmenwechsel.
Sie erweitert sich von einer primär technischen Disziplin zu einer strategischen Managementaufgabe. Im Zentrum steht ausdrücklich die Geschäftsleitung. Sie trägt künftig die Verantwortung, Informationssicherheit als integralen Bestandteil der Unternehmensstrategie und des unternehmensweiten Risikomanagements zu verankern.
Diese Verantwortung ist rechtlich verbindlich normiert: § 38 Abs. 3 BSIG verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen zu regelmäßigen Schulungen im Bereich der Informationssicherheit. Die Verletzung dieser Pflicht kann im Zusammenspiel mit den Haftungsregelungen des § 38 Abs. 2 BSIG und den Sanktionsvorschriften zu persönlichen Haftungs- und Sanktionsrisiken führen.
Im klassischen IT-Sicherheitsumfeld war die Rolle der Geschäftsleitung häufig indirekt ausgestaltet; operative Entscheidungen wurden weitgehend an die IT delegiert. Mit NIS‑2 ändert sich dieser Ansatz. Die Geschäftsleitung ist nun gefordert, Informationssicherheit aktiv zu steuern, zu überwachen und als festen Bestandteil zielgerichteter Unternehmensführung zu begreifen.
Die Geschäftsleitungen müssen sich insbesondere in folgenden Kompetenzfeldern qualifizieren:
Erkennung und Bewertung von Risiken
Geschäftsleitungen müssen relevante Bedrohungslagen, Eintrittswahrscheinlichkeiten und potenzielle finanzielle, rechtliche oder reputationsbezogene Schäden auf strategischer Ebene bewerten können, ohne sich in technischen Details zu verlieren.
Steuerung von Risikomanagementmaßnahmen
Zu vermitteln sind die gesetzlichen Mindestanforderungen nach § 30 BSIG‑E, zentrale technische und organisatorische Schutzmaßnahmen sowie deren Auswirkungen auf Prozesse, Ressourcen und die organisatorische Resilienz.
Governance, Incident‑ und Meldepflichten
Die Geschäftsleitung muss ihre Steuerungs- und Entscheidungsrolle bei Sicherheitsvorfällen kennen, einschließlich Meldepflichten gegenüber Behörden und der Sicherstellung einer prüfungsfesten Dokumentation.
Auswirkungen auf Dienste und Unternehmensstabilität
Zentral ist auch das Verständnis, wie Risiken und Sicherheitsmaßnahmen die Verfügbarkeit, Integrität und Vertraulichkeit der Leistungen sowie Compliance und wirtschaftliche Stabilität beeinflussen – als Bestandteil wirksamer Corporate Governance auf Leitungsebene.
Vor diesem Hintergrund genügt es nicht mehr, Informationssicherheit als unterstützende Fachdisziplin zu betrachten. Gefordert ist eine nachweisbare Führungsrolle der Geschäftsleitung im Informationssicherheitsmanagement.
Wir unterstützen Geschäftsleitungen dabei, die Schulungspflicht nach § 38 Absatz 3 BSIG zielgerichtet, effizient und prüfungssicher zu erfüllen. Unsere NIS‑2‑Geschäftsleitungsschulung orientiert sich eng an den BSI-Empfehlungen und berücksichtigt die spezifischen Rahmenbedingungen Ihres Hauses. Didaktisch setzen wir auf eine kompakte, verständliche Aufbereitung der Anforderungen, ergänzt durch interaktive Leitfragen und praxisnahe Szenarien.
Kommen Sie gerne auf uns zu. Wir stehen Ihnen gerne zur Verfügung. Jetzt Kontakt aufnehmen!