IT-Sicherheit

Reicht ein BSI-IT-Grundschutz-Zertifikat aus, um NIS-2-Pflichten der Geschäftsleitung zu erfüllen?

Am 20. November 2025 hat das BSI ein Webinar zur NIS-2-Geschäftsleitungsschulung durchgeführt. Im Mittelpunkt stand die Frage, wie die neue Schulungspflicht der Geschäftsleitung aus § 38 BSIG konkret zu verstehen ist und welche Rolle die Unternehmensleitung bei der Cybersicherheit künftig einnimmt. Die Veranstaltung richtete sich ausdrücklich an Geschäftsleiterinnen und Geschäftsleiter sowie an Organisationen, die von der NIS-2-Regulierung betroffen sind.

Markus K. Liermann
TYPO3 Developer & Product Owner

Was NIS-2 und § 38 BSIG zusätzlich von der Geschäftsleitung verlangen

Mit der NIS-2-Richtlinie und ihrer Umsetzung in deutsches Recht durch das neue BSI Gesetz wird Cybersicherheit ausdrücklich als Leitungsverantwortung verankert. Der Kreis der betroffenen Unternehmen vergrößert sich deutlich. Viele mittlere und große Unternehmen aus verschiedensten kritischen und wichtigen Sektoren fallen nun unter NIS-2, nicht nur klassische Kritische Infrastrukturen.

§ 38 BSIG verpflichtet die Geschäftsleitung sich Cyberrisiken als Teil des unternehmerischen Gesamtrisikos zu verstehen. Dazu gehört die Pflicht, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zu erlangen. Die Mitglieder der Geschäftsleitung sollen Risiken erkennen, Risikomanagementpraktiken verstehen und die Auswirkungen von Störungen auf die erbrachten Dienste einschätzen können.

Damit rückt die Person in der Leitungsfunktion in den Fokus. Es geht nicht mehr nur darum, dass ein Unternehmen formal ein Information Security Management System (ISMS) betreibt. Entscheidend ist, ob die Geschäftsleitung inhaltlich in der Lage ist, dieses System zu steuern, zu hinterfragen und strategische Entscheidungen zur Informationssicherheit zu treffen.

Warum reichen Zertifikate und Dokumentation allein nicht aus?

Im Webinar wurde deutlich gemacht, dass sich Unternehmen nicht darauf verlassen sollten, mit einem BSI IT Grundschutz Zertifikat und umfangreicher Dokumentation automatisch alle Pflichten aus NIS-2 abzudecken. Zertifikate und Richtlinien sind wichtige Elemente, aber sie beantworten nicht die zentrale Frage, ob die Geschäftsleitung selbst ausreichend befähigt ist.

Ein Zertifikat bestätigt die erfolgreiche Durchführung eines Auditprozesses sowie das erreichte Sicherheitsniveau im Geltungsbereich. Es bescheinigt jedoch nicht, dass jedes Mitglied der Geschäftsleitung die Risiken im Detail versteht, Prioritäten setzen kann oder strategische Entscheidungen auf Basis dieses Wissens trifft. Die Verantwortung aus § 38 BSIG ist an die handelnden Personen geknüpft, nicht an das Papier.

Ähnlich verhält es sich mit reiner Dokumentation. Auch wenn Policies, Protokolle und Risikoberichte sauber erstellt und abgelegt sind, stellt sich im Ernstfall immer die Frage, wie die Geschäftsleitung mit diesen Informationen umgegangen ist. Wurden Risiken nur zur Kenntnis genommen oder aktiv bewertet und gesteuert. Wurden Entscheidungen begründet, Budgets angepasst, Maßnahmen priorisiert. Wenn hier keine substanziellen Spuren erkennbar sind, helfen Zertifikate und Dokumente allein nur begrenzt.

Die Rolle der NIS-2-Geschäftsleitungsschulung und das Drei-Jahres-Intervall

Die vom BSI veröffentlichte Handreichung zur NIS-2-Geschäftsleitungsschulung, die im Webinar vorgestellt wurde, beschreibt, wie die Schulungspflicht praktisch umzusetzen ist. Dort wird sehr klar, dass die Schulung nicht als einmalige Einstiegsschulung verstanden werden soll, sondern als wiederkehrende Fortbildung.

Als angemessener Rhythmus wird ein Intervall von etwa drei Jahren genannt. Diese Fortbildung alle drei Jahre ist als Minimum zu verstehen. Sie bildet die Untergrenze dessen, was als regelmäßige Aktualisierung des Wissensstandes gilt. In vielen Fällen wird ein kürzerer Abstand sinnvoll sein, etwa wenn sich Bedrohungslage, Technik, gesetzlicher Rahmen oder Geschäftsmodell stark verändern. Hinzu kommen anlassbezogene Schulungen, zum Beispiel nach schweren Sicherheitsvorfällen oder bei größeren Umstrukturierungen.

Wichtig ist auch die Art der Schulung. Das BSI setzt auf verständliche, unternehmensbezogene Inhalte und auf einen Ansatz, der Reflexion und Diskussion fördert. Es geht nicht um eine anonyme Standardpräsentation, sondern um eine Schulung, in der die Geschäftsleitung ihr eigenes Risikoprofil, die Abhängigkeiten kritischer Prozesse und die Wirksamkeit vorhandener Maßnahmen nachvollziehen kann. Genau hier unterscheidet sich eine wirksame NIS-2 Geschäftsleitungsschulung von einer formalen Pflichtveranstaltung mit Teilnahmebescheinigung.

Was sollten Unternehmen jetzt konkret tun?

Ein erster Schritt ist die Klärung, ob das eigene Unternehmen in den Geltungsbereich von NIS-2 fällt. Wenn dies der Fall ist, besteht ein unmittelbarer Handlungsbedarf, auch wenn das Thema Informationssicherheit intern bereits gut strukturiert ist.

Im nächsten Schritt sollte ein Schulungskonzept speziell für die Geschäftsleitung entwickelt werden. Darin sollte festgelegt werden, wie häufig geschult wird, welche Mitglieder der Leitungsebene teilnehmen und welche Inhalte zwingend abgedeckt werden. Sinnvoll ist eine enge Verzahnung mit dem vorhandenen ISMS. Die Geschäftsleitung sollte verstehen, wie das eigene IT Grundschutz Konzept aufgebaut ist, wo die wichtigsten Risiken liegen, welche Restrisiken bewusst akzeptiert wurden und an welchen Stellen strategische Entscheidungen notwendig sind.

Ein weiterer wichtiger Punkt ist die Dokumentation der Schulungen. Neben den formalen Angaben zu Datum, Teilnehmern und Agenda sollten auch die Ergebnisse und Konsequenzen festgehalten werden. Welche neuen Risiken wurden erkannt? Welche Prioritäten haben sich verschoben? Welche Maßnahmen oder Projekte wurden beschlossen? Dadurch entsteht ein nachvollziehbarer Zusammenhang zwischen Schulung, Managemententscheidungen und der Weiterentwicklung des Sicherheitsniveaus.

Fazit: IT-Grundschutz als Basis, nicht als Ausrede

Die zentrale Botschaft des BSI Webinars zur NIS-2-Geschäftsleitungsschulung ist klar. Ein BSI IT-Grundschutz Zertifikat bleibt ein wichtiges und wertvolles Element der Unternehmenssicherheit, aber es entbindet die Geschäftsleitung nicht von der eigenen Verantwortung. NIS-2 und § 38 BSIG fordern, dass die Personen an der Spitze eines Unternehmens die Risiken verstehen, Entscheidungen begründen und Maßnahmen aktiv steuern.

Fortbildung der Geschäftsleitung mindestens alle drei Jahre ist dabei kein Luxus, sondern der Mindeststandard, der sich aus der Handreichung und der Gesetzesbegründung ableiten lässt. Wer diese Pflicht ernst nimmt und mit Leben füllt, stärkt nicht nur die Compliance, sondern ganz konkret die Widerstandsfähigkeit des Unternehmens.

Zum Abschluss können Sie sich intern einige einfache Fragen stellen, um den eigenen Status realistisch einzuschätzen:

  • Weiß unsere Geschäftsleitung genau, ob wir unter NIS-2 fallen und welche Pflichten sich daraus ergeben?
  • Hat die Geschäftsleitung in den letzten drei Jahren eine gezielte Schulung zu NIS-2, BSIG und unserem eigenen Risikoprofil erhalten?
  • Sind aus Schulungen messbare Entscheidungen entstanden, etwa in Form von Budgets, Projekten oder organisatorischen Anpassungen?
  • Würden wir einem Aufsichtsorgan oder einer Behörde überzeugend darlegen können, dass unsere Geschäftsleitung ihrer Schulungspflicht nachkommt und Cybersicherheit aktiv führt?

Wenn Sie eine dieser Fragen nur zögerlich mit “Ja” beantworten können, ist das ein deutlicher Hinweis darauf, dass der nächste Schritt nicht ein weiteres Zertifikat ist, sondern eine klare, strukturierte Fortbildung der Geschäftsleitung.

Zurück
Jetzt Kontakt aufnehmen