Warum die Schulungspflicht so entscheidend ist
Die Geschäftsleitung muss gemäß § 38 BSIG nicht nur die Risikomanagementmaßnahmen nach § 30 BSIG billigen und überwachen, sondern auch über ausreichende Kenntnisse verfügen, um Risiken realistisch einschätzen zu können. Genau deshalb fordert das Gesetz regelmäßige Weiterbildung. Der Gesetzgeber geht für Mitglieder der Geschäftsleitung von einem durchschnittlichen Schulungsaufwand von mindestens einem halben Tag (vier Stunden) alle drei Jahre aus. Bundesweit betrifft diese Pflicht jährlich knapp 300.000 Führungskräfte – ein deutliches Zeichen für die zentrale Bedeutung des Themas. Die Schulungspflicht ist nicht bloß eine Formalität. Sie bildet die Grundlage dafür, dass die Geschäftsleitung ihrer Verantwortung tatsächlich nachkommen kann. Ohne entsprechende Kenntnisse können Meldepflichten sowie sonstige Vorgaben nach BSIG nicht umgesetzt und Überwachungspflichten nicht wirksam erfüllt werden – und genau hier beginnt das persönliche Haftungsrisiko.
Relevanz für die persönliche Haftung
Nach § 38 Abs. 2 BSIG haften Geschäftsleitungen bei Pflichtverletzungen gegenüber ihrer eigenen Einrichtung – im Regelfall sogar mit ihrem Privatvermögen. Eine fehlende oder unzureichende Schulung kann daher als schuldhafte Pflichtverletzung gewertet werden, insbesondere dann, wenn es zu einem Sicherheitsvorfall kommt. Vor diesem Hintergrund unterscheidet NIS‑2 klar zwischen Aufgaben, die operativ delegiert werden können, und solchen, die zwingend in der Verantwortung des Leitungsorgans bleiben. Während technische und organisatorische Maßnahmen des Risikomanagements gemäß § 30 BSIG von Fachabteilungen oder Dienstleistern umgesetzt werden dürfen, sind die Pflichten der Geschäftsleitung als persönliche Organpflichten ausgestaltet – und damit nicht übertragbar. Zu den nicht übertragbaren Pflichten zählen insbesondere die Umsetzung der Risikomanagementmaßnahmen, deren kontinuierliche Überwachung und die regelmäßige persönliche Schulungspflicht der Geschäftsleitung. Damit ist eindeutig: Die kontinuierliche Weiterbildung der Geschäftsleitung ist keine Option, sondern ein verbindlicher gesetzlicher Auftrag.
Registrierungsfrist abgelaufen – jetzt besteht dringender Handlungsbedarf
Die Frist zur Registrierung im BSI‑Portal ist am 6. März 2026 abgelaufen. Unternehmen, die sich bislang nicht registriert haben, erfüllen damit eine zentrale Verpflichtung aus § 33 BSIG nicht. Eine verspätete Registrierung kann gemäß § 65 Abs. 2 Nr. 6 BSIG mit einem Bußgeld geahndet werden. Darüber hinaus steigt das Risiko, dass Aufsichtsbehörden auch weitere NIS‑2‑Pflichten – insbesondere Schulungs‑, Melde‑ und Risikomanagementanforderungen – genauer prüfen. Eine sofortige Nachmeldung im BSI‑Portal ist zwingend erforderlich, inklusive der dafür notwendigen digitalen Identität über das „Mein Unternehmenskonto (MUK)“. Eine verspätete Registrierung kann zudem im Rahmen einer späteren Prüfung als Organisationsverschulden gewertet werden – ein weiterer Grund, die persönlichen Leitungspflichten sorgfältig wahrzunehmen.
Unser Angebot: NIS2‑Schulung für Geschäftsleitungen
Wir unterstützen Geschäftsführungen, Vorstände und andere Leitungsorgane mit einer praxisnahen und rechtssicheren NIS‑2 Schulung, die exakt auf die gesetzlichen Anforderungen zugeschnitten ist. In rund vier Stunden erhalten Sie das entscheidende Wissen, um Ihre Pflichten als Leitungsorgan wirksam wahrnehmen zu können und persönliche Haftungsrisiken zu reduzieren. Die Schulung vermittelt insbesondere
- die Pflichten der Geschäftsleitung nach § 38 BSIG, inklusive Umsetzung und Überwachung der Risikomanagementmaßnahmen,
- die Voraussetzungen für eine zulässige Delegierung von Aufgaben,
- die persönlichen Haftungsrisiken der Leitungsorgane, die Nicht‑Delegierbarkeit der Pflichten und die Folgen schuldhafter Pflichtverletzungen, insbesondere bei Sicherheitsvorfällen,
- die Anforderungen an das Risikomanagement nach § 30 BSIG, einschließlich Mindestmaßnahmen und dem aktuellen Stand‑der‑Technik, Verhältnismäßigkeit sowie Dokumentations‑ und Governance‑Pflichten,
- einen kompakten Überblick über aktuelle Cyberbedrohungen, Schwachstellenarten, technische & organisatorische Gefährdungen, Lieferkettenrisiken sowie deren Auswirkungen auf kritische Dienste und Geschäftsprozesse,
- praxisnahe Fallbeispiele, konkrete Maßnahmen der Risikobehandlung (Vermeidung, Minderung, Übertragung, Akzeptanz), Priorisierung und Risikoberichterstattung sowie klare Handlungsempfehlungen für die Leitungsebene.
Die Schulung ist ein zentraler Baustein Ihrer NIS‑2‑Compliance und ein wichtiger Nachweis zur Erfüllung der persönlichen Schulungspflicht gemäß § 38 Abs. 3 BSIG. Ihre Teilnahme wird von uns dokumentiert und mit einem Zertifikat bestätigt.
