NIS-2 Geschäftsleitung

Verantwortung übernehmen. Cybersicherheit priorisieren. Haftung minimieren.

Jetzt buchen

Überblick

Geschäftsleitungsschulung nach § 38 Abs. 3 BSIG-E
Der NIS-2 Geschäftsleitungskurs vermittelt die wesentlichen Pflichten und Verantwortlichkeiten der Geschäftsleitung nach der NIS-2-Richtlinie und dem BSIG-E.

Ziel der Schulung

Die Geschäftsleitung ist auf oberster Ebene für strategische Verantwortung, interne Kontrolle und die Überwachung der Cybersicherheitsmaßnahmen verantwortlich.

Diese Schulung richtet sich an Führungskräfte, Vorstände, Aufsichtsräte und Entscheidungsträger, um ihnen die Pflichten nach NIS-2 verständlich und praxisnah zu vermitteln.

Zielgruppe

  • Vorstandsmitglieder, Geschäftsführung, Aufsichtsrat
  • C-Level Mitglieder (z.B. CEO, CIO, CTO, COO, CRO etc.)
  • Stakeholder, die über Investitionen und Strategie entscheiden

Lernziele

  • Ihre Pflichten und Haftungsrisiken sowie gesetzliche Anforderungen im Rahmen von NIS-2 erkennen und verstehen
  • Cyberrisiken aus strategischer Perspektive erkennen und bewerten
  • Risikomanagementmaßnahmen nach § 30 Abs. 2 BSIG-E und deren Wirksamkeit und Angemessenheit bewerten
  • Auswirkungen von Risiken auf Dienstleistungen bewerten (Business Impact, Dominoeffekt, Abhängigkeiten und Business Continuity) und Ressourcenbedarf und Managemententscheidungen daraus ableiten

Kursinhalte

  • Gesetzliche Grundlagen & Bedeutung von NIS-2 für die Geschäftsleitung
  • Governance & Aufsichtspflicht
  • Grundlagen des strategischen Risikomanagements
  • Überwachung von Risikomanagementmaßnahmen gem. § 30 BSIG-E
  • Auswirkungen von Risiken & Maßnahmen
  • Lieferkettenüberwachung & Drittparteienrisiken
  • Auf die Organisation angepasste interaktive Fallstudien & Simulationen

Abschluss

  • Prüfung: keine
  • Nachweis: NIS-2 Geschäftsleitungsschulung nach § 38 Abs. 3 BSIG-E

Methoden

Aus Erfahrung entsteht Kompetenz, aus Lernen entsteht Stärke.
Aktives Lernen

Interaktion statt Frontalunterricht

Teilnehmende werden durch interaktive Übungen und Dialoge direkt eingebunden – für maximalen Lernerfolg.
Praxisnahe Inhalte
Lernen mit echtem Mehrwert
Theorie trifft auf reale Anwendungsszenarien – für sofort nutzbares, praxisorientiertes Lernen.
Prüfungsvorbereitung
Strukturiert zum Prüfungserfolg
Gezielte Übungseinheiten bereiten optimal auf die Abschlussprüfung vor.
Zerifikat
Nachweisbar qualifiziert
Ein anerkanntes Zertifikat bestätigt Ihre Kompetenz und steigert Ihre berufliche Sichtbarkeit.

FAQs

Häufig gestellte Fragen zur NIS-2 Geschäftsleitung

Wer muss an der NIS-2-Geschäftsleitungsschulung teilnehmen?
Die Schulungspflicht gilt für alle Personen, die im Sinne des BSIG-E als Geschäftsleitung gelten – also natürliche Personen, die per Gesetz, Satzung oder Vertrag zur Führung und Vertretung der Einrichtung berufen sind.Nicht betroffen sind die Leitungen von Einrichtungen der Bundesverwaltung nach § 29 BSIG-E.

Optional sinnvoll: Bereichsleitungen oder Personen in quasi-gleichwertigen Führungsrollen.
Müssen sich alle Personen der Geschäftsführung schulen lassen?
Ja.

Die Schulungspflicht gilt für jedes einzelne Mitglied der Geschäftsleitung. § 38 Abs. 3 BSIG-E spricht ausdrücklich von „den Geschäftsleitungen“ und verpflichtet damit alle Personen, die nach Gesetz, Satzung oder Vertrag zur Führung und Vertretung der Einrichtung berufen sind.

Die Pflicht ist personenbezogen und kann nicht delegiert, nicht stellvertretend wahrgenommen und nicht nur durch einzelne Mitglieder erfüllt werden.

Da jedes Geschäftsleitungsmitglied gemäß § 38 Abs. 1 und 2 BSIG-E persönlich verantwortlich ist und im Fall schuldhaften Handelns haftet, muss jede Person die erforderlichen Kenntnisse zur Risikobewertung, zu Risikomanagementmaßnahmen und zu deren Auswirkungen selbst erwerben.
Wozu dient die Schulungspflicht nach § 38 Abs. 3 BSIG-E?
Die Schulung soll sicherstellen, dass die Geschäftsleitung genügend Kenntnisse hat, um:
  • Risiken zu erkennen und zu bewerten
  • Risikomanagementmaßnahmen zu verstehen
  • Auswirkungen von Risiken und Maßnahmen auf die Dienste der Einrichtung beurteilen zu können
Damit erfüllt die Schulung eine Voraussetzung, um der gesetzlich verankerten Verantwortung der Geschäftsleitung nachzukommen.
Wie oft muss die Schulung durchgeführt werden?
Laut Gesetz: „regelmäßig“.
Laut Gesetzesbegründung: mindestens alle drei Jahre.

Abweichungen sind geboten, wenn:
  • neue Geschäftsleitungsmitglieder eintreten
  • Geschäftsprozesse sich wesentlich verändern
  • Risikoexposition sich stark verändert
  • neue oder geänderte Sicherheitsmaßnahmen relevant werden
Wie lange dauert die Schulung?
Das Gesetz gibt keine Dauer vor.
Die Gesetzesbegründung orientiert sich jedoch an ca. 4 Stunden.

Abhängig von Risikoexposition und Fähigkeit der Geschäftsleitung kann die Dauer deutlich länger ausfallen.
Wer darf die Schulung durchführen?
Grundsätzlich:
  • Externe Schulungsanbieter
  • Beauftragte Cybersicherheitsberatungen
  • Qualifiziertes internes Personal
Wichtig:
Schulungen müssen einrichtungsbezogen gestaltet sein. Reine Allgemeininhalte reichen nicht aus.
Können wir ISO 27001 mit anderen Standards kombinieren?
Ja. Typische Kombinationen sind TISAX®, NIS-2, DORA, IEC 62443 oder ISO 22301. Wir sorgen für Synergien statt Doppelarbeit.
Welche Inhalte müssen verpflichtend abgedeckt werden?
Nach Vorgaben des BSI muss die Schulung mindestens abdecken:
  • Erkennung und Bewertung von Risiken: z. B. Risikoanalyse, Schwachstellen, Bedrohungen, Schadensarten
  • Risikomanagementmaßnahmen: insbesondere die Mindestmaßnahmen gemäß § 30 Abs. 2 BSIG-E
  • Auswirkungen von Risiken und Maßnahmen auf Dienste: z. B. Business Impact, Dienstkontinuität, wirtschaftliche Folgen
Diese drei Bereiche dürfen nicht isoliert, sondern müssen miteinander verknüpft vermittelt werden.
Müssen Geschäftsleiter selbst technische Experten sein?
Nein, aber sie müssen:
  • Risiken strategisch einschätzen
  • Maßnahmen verstehen und bewerten
  • Auswirkungen auf die Geschäftstätigkeit beurteilen
  • informierte Entscheidungen treffen können
Technische Detailtiefe ist nicht erforderlich – Managementkompetenz jedoch schon.
Wie sieht der Nachweis der Schulung aus?
Die Dokumentation muss mindestens enthalten:
  • Teilnehmerliste
  • Dauer
  • behandelte Inhalte
Sie muss intern aufbewahrt und bei Aufsichtsmaßnahmen oder Audits vorgelegt werden können.

Eine Prüfung oder Test ist laut BSI nicht vorgeschrieben.
Welche Konsequenzen drohen bei fehlender Schulung?
Wenn die Geschäftsleitung ihre Pflicht zur Risikobeaufsichtigung nicht erfüllt, drohen:
  • persönliche Haftung für schuldhaft verursachte Schäden
  • Sanktionen gegen die Einrichtung
  • Aufsichtsmaßnahmen, Audits, Anordnungen
Eine fehlende Schulung kann als Pflichtverletzung gewertet werden.
Was unterscheidet die Schulung für Geschäftsleitung von Mitarbeiter (Awareness)?
Mitarbeiterschulungen (gem. § 30 Abs. 2 Nr. 7 BSIG-E):
  • operativ
  • praktisches Verhalten (Phishing, Passwortregeln etc.)
Geschäftsleitungsschulung (gem. § 38 Abs. 3 BSIG-E):
  • strategisch
  • Entscheidungskompetenz
  • Bewertung von Risiken und Maßnahmen
  • Verständnis gesetzlicher Pflichten und Haftung
Müssen Schulungen auf den spezifischen Sektor zugeschnitten sein?
Ja, laut BSI sollte dies erfolgen.

Branchenspezifische Themen sind wichtige Ergänzungen, z. B.:
  • Sektor-spezifische Standards (B3S, ISO, Sicherheitskataloge)
  • typische Bedrohungen des Sektors
  • zentrale Geschäftsprozesse der Einrichtung
Gehören Szenarien oder Übungen verpflichtend zur Schulung?
Nicht gesetzlich verpflichtend – aber vom BSI empfohlen.

Szenarien und Planspiele helfen:
  • Entscheidungsfähigkeit zu stärken
  • Verständnis für Zusammenhänge zu vertiefen
  • Rolle der Geschäftsleitung im Krisenfall zu verdeutlichen
Welche Rolle spielt die Geschäftsleitung im Meldewesen?
Geschäftsleitungen müssen wissen:
  • was ein meldepflichtiger Vorfall ist
  • wie das dreistufige Melderegime funktioniert
  • dass die Einrichtung fristgerecht (24h / 72h / 30 Tage) meldet
  • welche Inhalte erforderlich sind
  • dass Rückmeldungen des BSI ausgewertet werden müssen
Was muss die Geschäftsleitung über die Registrierung wissen?
Geschäftsleitungen müssen sicherstellen:
  • fristgerechte Registrierung
  • vollständige Angaben
  • laufende Aktualisierung bei Änderungen
  • ggf. besondere Registrierungspflichten (kritische Anlagen, digitale Dienste)
Welche Verantwortung trägt die Geschäftsleitung beim Risikomanagement konkret?
Geschäftsleiter müssen gewährleisten, dass:
  • alle Maßnahmen nach § 30 BSIG-E umgesetzt werden
  • Risiken regelmäßig bewertet werden
  • Maßnahmen auf Stand der Technik sind
  • dokumentiert wird, was getan wurde
  • angemessene Ressourcen bereitgestellt werden
  • Entscheidungen nachvollziehbar sind

NIS-2 Officer

Erhalten Sie einen praxisnahen Überblick über Rollen, Prozesse und Anforderungen für die operative Umsetzung von NIS-2.
Jetzt entdecken

ISO 27001 Foundation

Erhalten Sie einen klaren Überblick über Anforderungen, Struktur und zentrale Konzepte der ISO 27001.
Jetzt entdecken

Inhouse-Schulung für Ihr Team

Aus Erfahrung entsteht Kompetenz, aus Lernen entsteht Stärke.
Bringen Sie Ihr gesamtes Team auf das nächste Level – direkt bei Ihnen vor Ort. Unsere Inhouse-Schulungen können individuell an Ihre Anforderungen, Branche und Ziele angepasst werden. Praxisnah, effizient und nachhaltig wirksam.
Jetzt buchen
© 2025 Nasari Consulting GmbH
Alle genannten Marken, Standards und Frameworks sind Eigentum der jeweiligen Rechteinhaber.
TISAX® ist eine eingetragene Marke der ENX Association.
Die Verwendung der Bezeichnungen dient ausschließlich der fachlichen Einordnung und impliziert keine Partnerschaft oder Empfehlung.