· NIS-2  · 2 min read

NIS-2 Schulungspflicht für Geschäftsführer nach § 38 BSIG

Seit Dezember 2025 ist die Geschäftsführer-Schulung nach § 38 BSIG Pflicht. Dauer, Inhalte, Fristen und warum die Schulung allein nicht reicht.

Die rechtliche Grundlage: § 38 BSIG im Kontext

Mit der Umsetzung der NIS-2-Richtlinie in deutsches Recht hat der Gesetzgeber in § 38 BSIG eine Schulungspflicht für Geschäftsführer verankert. Diese Regelung verfolgt ein klares Ziel: Die Leitungsebene soll Risiken der Informationssicherheit verstehen und fundierte Entscheidungen treffen können.

In der Praxis erleben wir häufig eine Fehleinschätzung: Die Schulung wird absolviert, doch am nächsten Tag stellt sich die Frage: “Und was mache ich jetzt konkret?” Diese Lücke zwischen Wissen und Umsetzung ist ein zentrales Thema unserer Beratung.

Was die Schulungspflicht vorsieht

Die BSI-Handreichung konkretisiert die Anforderungen:

  • Zielgruppe: Geschäftsführer und Vorstandsmitglieder betroffener Unternehmen
  • Inhalt: Grundlagen der Informationssicherheit, Risikomanagement, rechtliche Pflichten
  • Regelmäßigkeit: Auffrischung in angemessenen Abständen

Die Schulung vermittelt strategisches Verständnis. Sie befähigt nicht zur operativen Umsetzung eines ISMS.

Das Spannungsfeld: Schulung versus Umsetzung

Stellen Sie sich vor: Nach der Schulung wissen Sie, dass Ihr Unternehmen ein Informationssicherheits-Managementsystem (ISMS) benötigt. Sie verstehen die Bedeutung von Risikoanalysen und Maßnahmenkatalogen. Doch die konkrete Implementierung erfordert spezialisiertes Know-how.

Strategisches Verständnis bedeutet:

  • Risiken einschätzen können
  • Budgetentscheidungen treffen
  • Verantwortlichkeiten delegieren

Operative Umsetzung erfordert:

  • ISMS-Aufbau nach ISO 27001 oder BSI IT-Grundschutz
  • Dokumentation von Prozessen und Maßnahmen
  • Technische Implementierung von Sicherheitskontrollen

Die Meldepflichten als Praxisbeispiel

Ein konkretes Beispiel für die Diskrepanz zwischen Schulung und Praxis sind die Meldepflichten nach NIS-2:

  • 24 Stunden: Erste Meldung an das BSI bei erheblichen Sicherheitsvorfällen
  • 72 Stunden: Detaillierte Folgemeldung mit Bewertung
  • 1 Monat: Abschlussbericht mit Ursachenanalyse

Die Schulung erklärt diese Fristen. Doch wissen Sie:

  • Wie Ihr Unternehmen einen Vorfall erkennt?
  • Wer intern informiert werden muss?
  • Welche Informationen in die Meldung gehören?
  • Wie Sie das BSI-Meldeportal bedienen?

Diese operativen Fragen beantwortet die Schulung nicht. Sie erfordern vorbereitete Prozesse, geschulte Mitarbeiter und technische Monitoring-Systeme.

Der Sanktionsrahmen

Proaktives Handeln lohnt sich. Die Sanktionen bei Verstößen sind erheblich:

  • Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung bei Pflichtverletzungen
  • Untersagung der Geschäftsführertätigkeit in schweren Fällen

Handlungsempfehlungen

Kurzfristig (0 bis 3 Monate)

  1. Schulungspflicht erfüllen
  2. Betroffenheit nach NIS-2 prüfen lassen
  3. BSI-Registrierung vorbereiten

Mittelfristig (3 bis 12 Monate)

  1. Gap-Analyse zum IST-Zustand
  2. Risikomanagement aufbauen
  3. Maßnahmenplan erstellen

Langfristig (12+ Monate)

  1. ISMS implementieren
  2. Zertifizierung anstreben
  3. Kontinuierliche Verbesserung

Professionelle Unterstützung nutzen

Die Schulungspflicht ist ein Startpunkt, kein Ziel. Als externer Informationssicherheitsbeauftragter unterstütze ich Sie bei der operativen Umsetzung. Von der Bestandsaufnahme bis zur Zertifizierung, pragmatisch und ohne unnötigen Overhead.

Vereinbaren Sie eine kostenfreie Erstberatung, um Ihren individuellen Handlungsbedarf zu ermitteln.

Share:
Back to Blog

Related Posts

View All Posts »