Mit der Umsetzung der NIS-2-Richtlinie und der Novellierung des BSI-Gesetzes ist Cybersicherheit ausdrücklich zur Aufgabe der Geschäftsleitung geworden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konkretisiert nun mit einer aktuellen Handreichung (April 2026) die Anforderungen an die Schulung von Leitungsorganen im Rahmen der NIS2-Vorgaben. § 38 Abs. 3 BSIG verpflichtet Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen, regelmäßig an Schulungen zur Informationssicherheit teilzunehmen.
Die Handreichung entfaltet keine unmittelbare Bindungswirkung, wird jedoch die Aufsichtspraxis prägen. Für Unternehmen bedeutet dies, dass die darin enthaltenen Anforderungen faktisch als Prüfungsmaßstab herangezogen werden. Abweichungen sind möglich, müssen aber begründet werden. Zugleich besteht ein enger Zusammenhang mit der Organverantwortung. Geschäftsleitungen sind verpflichtet, Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen. Diese Verantwortung ist nicht delegierbar.
Welche Inhalte müssen Geschäftsleitungen künftig verstehen?
Im Zentrum der Handreichung stehen klar definierte Kerninhalte, die Geschäftsleitungen beherrschen sollen. Ziel ist nicht technisches Detailwissen, sondern Entscheidungsfähigkeit. Die folgenden Inhalte sind davon umfasst:
- Erkennung und Bewertung von Risiken
Geschäftsleitungen müssen Risiken erkennen und bewerten können. Dazu gehört ein grundlegendes Verständnis, wie Cyberrisiken entstehen, wie sie eingeordnet werden und welche Faktoren wie Eintrittswahrscheinlichkeit oder Schadenshöhe eine Rolle spielen. - Risikomanagementmaßnahmen
Geschäftleistungen soll ein Überblick über technische und organisatorische Maßnahmen zur Risikobehandlung vermittelt werden, ohne selbst operative Umsetzung zu leisten. Dazu zählen insbesondere Maßnahmen zur Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit sowie Strategien wie Risikovermeidung, -minderung oder -übertragung. - Auswirkungen von Risiken und Maßnahmen
Geschäftsleitungen müssen in der Lage sein, Risiken als Geschäftsrisiken zu bewerten. Dies umfasst insbesondere betriebliche, wirtschaftliche und regulatorische Auswirkungen sowie Wechselwirkungen zwischen IT-Systemen und Geschäftsprozessen
Alle drei Bereiche sind untrennbar miteinander verbunden und müssen gemeinsam vermittelt werden.
Welche Rolle spielen Leitfragen für die Geschäftsleitung?
Ein zentrales Element der Handreichung sind die Leitfragen, die als praxisnahes Steuerungsinstrument dienen. Diese Fragen zielen darauf ab, die Geschäftsleitung in die aktive Rolle zu bringen. Sie sollen nicht nur Inhalte aufnehmen, sondern die richtigen Fragen stellen und Entscheidungen hinterfragen.
Typische Leitfragen sind etwa:
- Wie werden Risiken in der Organisation systematisch identifiziert und bewertet?
- Wie wird sichergestellt, dass Risikomanagementmaßnahmen wirksam und angemessen sind?
- Wie funktioniert der Umgang mit Sicherheitsvorfällen und Meldepflichten?
- Wie wird die Wirksamkeit von Maßnahmen überprüft?
- Welche Auswirkungen haben Cyberrisiken auf zentrale Geschäftsprozesse?
Die Leitfragen ersetzen keine Prozesse, sondern strukturieren die Verantwortung der Geschäftsleitung. Sie dienen zugleich als Maßstab dafür, ob Schulungsinhalte tatsächlich praxisrelevant vermittelt wurden.
Wie sollen Schulungen ausgestaltet werden?
Die aktualisierte Handreichung verzichtet bewusst auf starre Vorgaben zu Dauer und Intervallen. Stattdessen verfolgt das BSI einen risikobasierten Ansatz. Schulungen sollen sich an der konkreten Risikoexposition der Organisation sowie an den Kenntnissen der Geschäftsleitung orientieren. Dies erhöht die Flexibilität, führt aber zugleich zu mehr Begründungsaufwand. Inhaltlich werden stärker fokussierte und zielgruppengerechte Schulungen gefordert. Ergänzend empfiehlt das BSI interaktive Formate wie Szenarioübungen, Krisensimulationen oder Live-Hacking, um die Entscheidungsfähigkeit unter realistischen Bedingungen zu stärken. Zudem weist das BSI darauf hin, dass rein interne Schulungen strukturelle Defizite aufweisen können. Die Einbindung externer Expertise kann daher ein wesentliches Element wirksamer Schulungskonzepte sein.
Wie sollten Unternehmen jetzt vorgehen?
Unternehmen sollten ihre Schulungskonzepte gezielt überprüfen und anpassen. Zentral ist die Ausrichtung an den vom BSI definierten Kerninhalten. Schulungen sollten darauf abzielen, dass die Geschäftsleitung Risiken versteht, Maßnahmen bewerten kann und Auswirkungen einordnen kann. Die Leitfragen können als strukturierendes Element genutzt werden, um Inhalte praxisnah zu gestalten und interne Steuerungsprozesse zu unterstützen. Ein risikobasiertes Schulungskonzept sollte initiale und regelmäßige Schulungen vorsehen, deren Umfang nachvollziehbar begründet ist. Praxisnahe Formate sollten gezielt eingesetzt werden, um Entscheidungsfähigkeit zu fördern. Ergänzend kann externe Expertise eingebunden werden, um eine unabhängige Perspektive sicherzustellen. Schließlich ist eine belastbare Dokumentation erforderlich, die im Prüfungsfall als Nachweis dient.
Fazit: Vom Pflichttermin zur Führungsaufgabe
Die BSI-Handreichung macht deutlich, dass Schulungen der Geschäftsleitung kein formaler Pflichttermin mehr sind. Sie sind ein zentrales Instrument, um die nicht delegierbare Verantwortung der Geschäftsleitung im Cyberrisikomanagement wahrnehmen zu können. Unternehmen, die Schulungen strategisch und inhaltlich fundiert ausgestalten, schaffen nicht nur regulatorische Sicherheit, sondern stärken auch ihre Resilienz im Umgang mit Cyberrisiken.
