Geschäftsleitungsschulungen unter NIS-2: Das Ende des Führungsvakuums in der Cybersicherheit

Ohne effektive Weiterbildung bleibt die Umsetzung der NIS-2-Pflichten ein Papiertiger. Mit der gesetzlich verankerten Schulungspflicht für Geschäftsleitungen wird die Qualifizierung der Führungsebene zum entscheidenden Erfolgsfaktor. Doch nicht jede Schulung wird den Anforderungen gerecht.

Mit der Verabschiedung des NIS-2-Umsetzungsgesetzes am 13. November 2025 wachsen die Anforderungen an die IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beaufsichtigt künftig rund 29.500 Organisationen, statt bisher 4.500. Unternehmen und Behörden müssen sich registrieren, Sicherheitsvorfälle melden und ein umfassendes Risikomanagement etablieren. Das BSI übernimmt die zentrale Rolle als Aufsichtsbehörde und CISO-Bund. Die neue Gesetzeslage steigert damit die regulatorische Schlagkraft und macht Cybersicherheit zur strategischen Führungsaufgabe.

Geschäftsleitung in der Verantwortung und Haftung

Die NIS-2-Richtlinie und das novellierte BSI-Gesetz (BSIG) verankern die Verantwortung für Cybersicherheit stärker als je zuvor in der Geschäftsleitung. Die Umsetzung und Überwachung technischer und organisatorischer Sicherheitsmaßnahmen werden damit zur originären Führungsaufgabe. Das Gesetz sieht eine explizite Haftung der Geschäftsleitung für schuldhaft verursachte Schäden vor. Versäumnisse bei der Implementierung oder Kontrolle von Risikomanagementmaßnahmen können zu Sanktionen und persönlicher Haftung führen, sofern die gesellschaftsrechtlichen Bestimmungen keine abweichende Regelung enthalten.

Die Geschäftsleitung muss damit nachweislich über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen, zu bewerten und die Wirksamkeit von Maßnahmen zu beurteilen. Das Gesetz fordert daher regelmäßige und gezielte Schulungen – mindestens alle drei Jahre, bei erhöhter Risikolage auch öfter. Die Pflicht zur Teilnahme ist klar geregelt und gilt zusätzlich zu den allgemeinen IT-Sicherheitsschulungen für alle Mitarbeitenden.

Risikoexposition als Grundlage für Schulungstiefe

Für Unternehmen gibt es schon jetzt verschiedene Möglichkeiten, Geschäftsleitungsschulungen umzusetzen.

Doch nicht alle Angebote werden dabei den Anforderungen gerecht – mit ein paar Lehrvideos ist es beispielsweise nicht getan.

Ein zentrales Element der neuen Anforderungen ist die Pflicht, Schulungen in Inhalt und Umfang auf die individuelle Risikoexposition der Organisation sowie auf die Vorkenntnisse der Geschäftsleitung abzustimmen. Bei PwC kommt dafür beispielsweise ein sogenanntes Risk Exposure Assessment (REA) zum Einsatz, das Bedrohungslagen sowie das aktuelle Wissens- und Erfahrungsniveau der Führungskräfte strukturiert erfasst. Auf dieser Basis entstehen Schulungsprogramme, die tatsächlich wirksam sind und den spezifischen Bedarf eines Unternehmens adressieren. Die individuellen Rahmenbedingungen, unter denen Unternehmen und Organisationen agieren, haben somit einen direkten Einfluss auf den Schulungsumfang.

Das BSI gibt zwar als Richtwert eine Schulungsdauer von vier bis acht Stunden innerhalb von drei Jahren vor. Dieses Intervall dient aber nur zur Orientierung und muss – abhängig von der individuellen Risikoexposition – angepasst werden. Unternehmen, die beispielsweise einer erhöhten Bedrohungslage ausgesetzt sind oder deren Führungskräfte noch wenig Erfahrung im Bereich Cybersicherheit haben, müssen die Frequenz und Tiefe der Schulungen entsprechend erhöhen. Umgekehrt kann bei geringerer Exposition eine Anpassung nach unten möglich sein.

Qualifikation als strategisches Instrument für mehr Resilienz

Die Geschäftsleitungsschulungen bilden eine wichtige Grundlage für die Entwicklung eines wirksamen Cyberrisikomanagements auf Leitungsebene. Wichtig ist, dass sie nicht nur regulatorische Anforderungen vermitteln, sondern entsprechend des individuellen Gefährdungspotenzials auch ein Verständnis für branchenspezifische Bedrohungslagen, technische Schwachstellen und die betriebswirtschaftlichen Folgen von Sicherheitsvorfällen schaffen. Daher empfiehlt es sich, die Analyse der eigenen Risikoexposition gemeinsam mit spezialisierten Partnern durchzuführen. Erst eine methodische Prüfung der individuellen Risiken und Kompetenzen stellt sicher, dass Lerninhalte zielgenau auf die tatsächlichen Herausforderungen und Wissensstände der Geschäftsleitung zugeschnitten sind. Externe Partner sollten dabei eine aussagekräftige Dokumentation des gesamten Prozesses zur Verfügung stellen. Diese muss so gestaltet sein, dass sie als Nachweis im Sinne von § 61 Abs. 1 i.V.m. § 62 BSIG-E genutzt werden kann und so im Falle behördlicher Prüfungen oder Sicherheitsvorfälle eine Absicherung bietet.

Fakt ist: Die NIS-2-Umsetzung setzt neue Maßstäbe. Das bringt nicht nur neue Anforderungen mit sich, sondern schließt auch endlich das seit langer Zeit bestehende Führungsvakuum in der Cybersicherheit. Das gelingt aber nicht nur allein durch Gesetze und Vorgaben. Erst durch gezielte und wirksame Schulungen wird die Umsetzung der NIS-2-Pflichten zur gelebten Praxis – andernfalls bleibt sie ein Papiertiger. Führungskräfte erhalten so das nötige Wissen, um gesetzliche Anforderungen nicht nur zu kennen, sondern auch strategisch umzusetzen und im Alltag zu verankern. Nur wenn die Führungsebene Risiken versteht, Maßnahmen bewertet und Entscheidungen konsequent trifft, entsteht echte Sicherheit und Resilienz.

Autor: André Glenzer, Partner Cyber Security & Privacy bei PwC Deutschland

Weiterlesen

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk