NIS2 Geschäftsleitung: Schulungspflicht & Haftung 2025

Veröffentlicht am·Lesezeit: 12 Minuten
Julian Köhn
NIS-2 Directive

Mal ehrlich: Noch ein EU-Gesetz zur IT-Sicherheit stand vermutlich nicht ganz oben auf deiner Wunschliste. Aber seit dem 13. November 2025 ist klar:
Der Deutsche Bundestag hat das NIS2-Umsetzungsgesetz beschlossen, das neue Cybersicherheitsgesetz für Deutschland.

Kurz danach hat auch der Bundesrat zugestimmt. Damit ist die politische Entscheidung gefallen: NIS2 ist gesetzt, das novellierte BSI-Gesetz kommt, das Inkrafttreten hängt jetzt nur noch an Verkündung und Stichtag im Gesetz.

Was das für dich bedeutet:
Cybersecurity ist ab sofort keine reine IT-Frage mehr. Sie wird ausdrücklich zur Chefsache, mit Pflichten, Schulungserfordernis und persönlicher Haftung für Geschäftsleitungen.

Was das für dich bedeutet:
Cybersecurity ist ab sofort keine reine IT-Frage mehr. Sie wird ausdrücklich zur Chefsache, mit Pflichten, Schulungserfordernis und persönlicher Haftung für Geschäftsleitungen.

Die meisten Entscheider sitzen gerade mit genau diesen Fragen da:

  • Bin ich oder mein Unternehmen überhaupt von NIS2 betroffen?
  • Wer gilt alles als „Geschäftsleitung“, nur der Geschäftsführer oder auch Prokuristen, Bereichsleiter, C-Level?
  • Was genau verlangt die NIS2-Geschäftsleitungsschulung?
  • Wie oft muss ich mich schulen lassen, und wer prüft das?
  • Was passiert, wenn wir das Thema ignorieren oder „auf später“ schieben?

In diesem Artikel bekommst du einen klaren Überblick ohne Juristendeutsch:

  • was NIS2 ist, und warum plötzlich so viele Unternehmen betroffen sind,
  • wer als Geschäftsleitung im Sinne des Gesetzes gilt,
  • welche Pflichten sich aus § 38 BSIG n.F. ergeben,
  • welche konkreten Schulungsinhalte das BSI für Geschäftsleitungen erwartet,
  • welche Risiken und Bußgelder bei Verstößen drohen,
Praxis aus dem Alltag: Wie Unternehmen NIS2 heute operationalisieren

Viele Unternehmen merken gerade: NIS2 scheitert nicht an der Theorie, sondern an der operativen Umsetzung.


Genau dafür wurde Kopexa entwickelt: als zentrales System, um Risiken, Maßnahmen, Schulungen, Nachweise und Audits strukturiert abzubilden, revisionssicher und jederzeit auskunftsfähig.
Gerade bei der Geschäftsleitungsschulung zeigt sich: Ohne saubere Dokumentation fehlt später der Nachweis gegenüber Behörden und Auditoren.

Was ist NIS2, und warum betrifft dich das plötzlich direkt?#

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist der Nachfolger der ursprünglichen NIS-Richtlinie und soll ein einheitlich hohes Cybersicherheitsniveau in der EU etablieren. Sie gilt auf EU-Ebene seit 16. Januar 2023 und muss von allen Mitgliedstaaten in nationales Recht überführt werden.

Deutschland hat diese Umsetzung jetzt mit dem NIS2-Umsetzungsgesetz nachgeholt. Der Bundestag hat das Gesetz am 13. November 2025 verabschiedet, der Bundesrat hat zugestimmt; das Inkrafttreten erfolgt mit Verkündung und dem darin genannten Datum.

Der große Unterschied zu früher:

  • Unter NIS1 waren vor allem klassische KRITIS-Betreiber (z. B. Energie, Wasser, große Gesundheitsversorgung) betroffen.
  • Unter NIS2 wird der Kreis der regulierten Unternehmen massiv ausgeweitet: Schätzungen gehen von rund 29.500 Unternehmen in Deutschland aus.

Betroffen sind Unternehmen in insgesamt 18 Sektoren, u. a.:

  • Energie, Verkehr, Gesundheit, Trinkwasserversorgung
  • Finanzmarktinfrastruktur, Banken, Versicherungen
  • Digitale Infrastruktur, Rechenzentren, Cloud- und Managed Services
  • Post- und Kurierdienste, Abfallwirtschaft, Herstellung kritischer Güter
  • Anbieter digitaler Dienste und Plattformen

Wichtig: Es geht nicht nur um KRITIS. Viele Mittelständler rutschen durch NIS2 erstmals in eine regulierte Cybersicherheitswelt, oft, weil sie bestimmte Größenkriterien erfüllen oder Teil kritischer Lieferketten sind.

Typische Schwellenwerte sind u. a.:

  • mindestens 50 Mitarbeitende oder
  • mehr als 10 Mio. € Jahresumsatz

kombiniert mit Zugehörigkeit zu einem der relevanten Sektoren.

Wenn du also z. B. ein mittelständisches IT-Haus bist, einen SaaS-Dienst anbietest, Zulieferer für kritische Industrien bist oder digitale Infrastruktur betreibst, ist die Wahrscheinlichkeit hoch, dass NIS2 dich direkt oder indirekt betrifft, und damit auch dich persönlich als Entscheider.

Und genau da kommt die NIS2-Geschäftsleitungsschulung ins Spiel.

Wer zählt als „Geschäftsleitung“, und ist damit schulungspflichtig?#

Die NIS2-Schulungspflicht richtet sich nicht an „die IT“, sondern ausdrücklich an die Geschäftsleitung. Im neuen BSI-Gesetz wird dieser Begriff sehr konkret gefasst:

Als Geschäftsleitung gilt jede natürliche Person, die
auf Grundlage von Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer wichtigen oder besonders wichtigen Einrichtung berufen ist (z. B. Geschäftsführer, Vorstände).

In der Praxis bedeutet das typischerweise:

  • Geschäftsführer / Geschäftsführerin (GmbH, UG etc.)
  • Mitglieder des Vorstands (AG, SE etc.)
  • geschäftsführende Gesellschafter, Komplementäre
  • C-Level-Rollen wie CEO, CFO, COO, CIO, CISO/CSO, wenn sie geschäftsleitende Funktion haben
  • ggf. Prokuristen oder leitende Personen, die faktisch geschäftsleitende Verantwortung tragen

Die NIS2-Geschäftsleitungsschulung betrifft also nicht nur „den einen Geschäftsführer“, sondern oft eine Gruppe von Personen in der Unternehmensleitung.

Für dich als Unternehmen heißt das:

  • Denke breit, wer im Haus zur Geschäftsleitung zählt.
  • Dokumentiere, wer konkret unter die Definition fällt.
  • Plane die Schulungen für alle Personen, die in diesen Kreis gehören, im Zweifel lieber eine Person zu viel als eine zu wenig.

Denn: Die Schulungspflicht ist an die Funktion gebunden, nicht an den Titel auf der Visitenkarte.

Typisches Praxisproblem: Wer ist bei euch wirklich schulungspflichtig?

In vielen Unternehmen ist gar nicht sauber dokumentiert, wer formal und faktisch zur Geschäftsleitung zählt, besonders bei Prokuristen, Bereichsleitern oder Matrix-Organisationen.
In Kopexa lassen sich diese Rollen direkt mit Pflichten, Schulungsständen und Haftungsrelevanz verknüpfen. So entsteht erstmals eine klare, revisionssichere Zuordnung der NIS2-Verantwortung auf Personenebene.

Was verlangt § 38 BSIG n.F. konkret von der Geschäftsführung?#

Der zentrale Dreh- und Angelpunkt für dich ist § 38 des novellierten BSI-Gesetzes (BSIG n.F.). Diese Vorschrift übersetzt NIS2 in klare Managementpflichten, und macht damit Cybersicherheit offiziell zu einem Bestandteil der organisatorischen Sorgfaltspflicht der Geschäftsleitung.

Im Kern musst du dir vier Punkte merken:

1. Du bist für das Risikomanagement verantwortlich#

Die Geschäftsleitung muss sicherstellen, dass das Unternehmen angemessene technische und organisatorische Maßnahmen zur IT-Sicherheit implementiert hat, und dass diese laufend überwacht und weiterentwickelt werden. Dazu gehören u. a.:

  • Risikoanalysen und -bewertung
  • Prozesse zur Behandlung von Sicherheitsvorfällen
  • Konzepte zur Betriebskontinuität und Notfallvorsorge
  • Backup- und Wiederanlaufkonzepte
  • Maßnahmen zum Schutz vor Cyberangriffen (Patch-Management, Zugangskontrolle, Verschlüsselung etc.)

Wichtig: Diese Verantwortung kannst du nicht einfach nach unten delegieren. Du kannst Aufgaben übertragen, aber nicht die Verantwortung dafür, dass das Gesamtsystem angemessen ist.

2. Du musst dich regelmäßig schulen lassen#

§ 38 BSIG n.F. schreibt vor, dass Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen müssen, um:

  • Risiken im Bereich der Cybersicherheit erkennen und bewerten zu können,
  • gängige Risikomanagementpraktiken zu verstehen,
  • und die Auswirkungen von Risiken und Maßnahmen auf die von euch erbrachten Dienste und Geschäftsprozesse beurteilen zu können.

In der Gesetzesbegründung und in BSI-Unterlagen findet sich als Richtwert:
mindestens alle drei Jahre eine Schulung, im Durchschnitt etwa vier Stunden, abhängig von Risikolage, Unternehmenskontext und Vorwissen. Bei größeren Veränderungen (z. B. neue Geschäftsmodelle, M&A, neue IT-Landschaft, massiver Bedrohungsanstieg oder Wechsel in der Geschäftsleitung) können kürzere Intervalle erforderlich sein.

Es geht also nicht um ein einmaliges „Pflichtseminar“, sondern um ein wiederkehrendes Format, mit dem du und dein Führungsteam auf Stand gehalten werden.

3. Ihr müsst die Schulungsteilnahmen nachweisen können#

Die Teilnahme an Geschäftsleitungsschulungen ist künftig nachweispflichtig. Das heißt:

  • Ihr müsst dokumentieren, wer wann in welchem Umfang geschult wurde.
  • Diese Nachweise sollten strukturiert und revisionssicher abgelegt werden.
  • Das BSI oder andere zuständige Stellen können diese Dokumentation im Rahmen von Prüfungen oder bei Vorfällen anfordern.

Ein „Wir haben da mal was gemacht, ich finde die Unterlagen nur gerade nicht“ wird hier nicht ausreichen.

4. Du trägst ein persönliches Haftungsrisiko#

Besonders relevant aus Sicht von Geschäftsführern und Vorständen:
§ 38 verankert eine gesellschaftsrechtliche Binnenhaftung. Heißt:

Wenn du deine Pflichten beim Thema Cybersicherheit schuldhaft verletzt (z. B. keine angemessenen Maßnahmen einführst, Schulungen vernachlässigst, grobe Mängel ignorierst), kannst du für entstandene Schäden persönlich in Regress genommen werden, zusätzlich zu eventuellen Bußgeldern gegen das Unternehmen.

Mit NIS2 ist das Thema IT-Sicherheit also endgültig in der Liga von Compliance, Datenschutz und Finanz-Reporting angekommen, inklusive persönlichem Risiko für Entscheider.

Haftung vermeiden heißt: Entscheidungen belastbar dokumentieren

Im Ernstfall zählt nicht, was „gefühlt richtig“ war, sondern was nachweisbar entschieden und umgesetzt wurde.
Kopexa dokumentiert Entscheidungen der Geschäftsleitung direkt im Kontext von:

  • Risiken
  • Controls
  • Maßnahmen
  • Schulungen
  • Audits

Damit entsteht ein belastbarer Verantwortungsnachweis, der im Haftungsfall den entscheidenden Unterschied machen kann.

Was erwartet das BSI in einer NIS2-Geschäftsleitungsschulung?#

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinen Hinweisen zur NIS2-Geschäftsleitungsschulung skizziert, welche Inhalte aus Sicht der Aufsicht in ein solches Format gehören.

Die Schulung für Geschäftsleitungen sollte drei Ebenen abdecken:

1. Grundlagen: Kontext, Pflichten, Rollen#

Am Anfang steht ein gemeinsames Verständnis:

  • Was ist NIS2, wie wurde sie in Deutschland umgesetzt?
  • Welche Unternehmen gelten als „wichtige“ bzw. „besonders wichtige Einrichtungen“?
  • Welche Rolle spielt das BSI als Aufsichtsbehörde?
  • Welche Pflichten treffen das Unternehmen (Registrierung, Meldepflichten, Risikomanagement)?
  • Welche Pflichten treffen dich persönlich als Geschäftsleitung (inkl. Schulungspflicht, Haftung)

Ziel ist, dass du nach dem Grundlagenblock beantworten kannst:

  • „Sind wir betroffen?“
  • „Welche Pflichten haben wir als Organisation?“
  • „Welche Pflichten habe ich persönlich?“

2. Kerninhalte: Risiko, Maßnahmen, Auswirkungen#

Der Gesetzgeber nennt ausdrücklich drei Kompetenzbereiche, die du beherrschen sollst:

a) Risiken erkennen und bewerten
Du musst keine Malware analysieren können, aber du sollst:

  • typische Cyberbedrohungen (z. B. Ransomware, Phishing, Insider, Lieferkettenangriffe) kennen,
  • deren Eintrittswahrscheinlichkeit und Schadenspotenzial für dein Geschäftsmodell grob einordnen können,
  • und verstehen, wie sich IT-Risiken in Business-Risiken übersetzen (z. B. Produktionsausfall, Reputationsschaden, Vertragsstrafen).

b) Risikomanagement-Maßnahmen verstehen
Du solltest auf Management-Level wissen:

  • welche technischen und organisatorischen Maßnahmen es gibt (von Access Management bis Notfallhandbuch),
  • was der gesetzlich definierte Mindestkatalog an Maßnahmen nach § 30 Abs. 2 BSIG n.F. umfasst (z. B. Risikoanalysen, Incident-Management, Business Continuity, Kryptografie, Lieferketten-Security),
  • wie diese Maßnahmen zusammenwirken und welches Investment vs. Risikoreduktion sie bieten,
  • und welche Strategien zur Risikobehandlung (vermeiden, mindern, übertragen, akzeptieren) es gibt, und wo Akzeptanz eben nicht mehr zulässig ist.

c) Auswirkungen von Risiken und Maßnahmen beurteilen
Schließlich sollst du:

  • die Auswirkungen eines Sicherheitsvorfalls auf Verfügbarkeit, Vertraulichkeit und Integrität eurer Dienste und Prozesse einschätzen können,
  • verstehen, wie Sicherheitsmaßnahmen (oder deren Fehlen) eure Resilienz, Umsätze und Reputation beeinflussen,
  • und in der Lage sein, auf Basis dieser Einschätzung informierte Entscheidungen zu treffen (z. B. Priorisierung von Maßnahmen, Budgetentscheidungen, Akzeptanzschwellen).

Kurz gesagt:
Nach der Schulung sollst du in der Lage sein, die richtigen Fragen zu stellen, Risiken einzuordnen und bewusst zu entscheiden, nicht aus dem Bauch heraus oder „weil es die IT so vorgeschlagen hat“.

3. Ergänzend: Branchenspezifika, Szenarien, Übungen#

Das BSI empfiehlt, Schulungen um praxisnahe Elemente zu ergänzen:

  • branchenspezifische Bedrohungslagen (z. B. Gesundheitswesen vs. Fertigung vs. Cloud-Anbieter),
  • relevante Normen und Rahmenwerke (z. B. ISO 27001, branchenspezifische Sicherheitsstandards),
  • Szenarien und Fallstudien, idealerweise aus der eigenen Branche oder Organisation,
  • kurze Tabletop-Übungen, in denen du im Team durchspielst, wie ihr auf einen Vorfall reagieren würdet.

Denn letztlich geht es nicht um Folien, sondern darum, dass du in realen Entscheidungen sicherer wirst.

Genau diese Säulen sind in Kopexa systematisch abbildbar

Die vom BSI geforderten drei Kompetenzbereiche, Risiken erkennen, Maßnahmen steuern, Auswirkungen bewerten, werden in Kopexa direkt als durchgängiger Steuerungskreislauf abgebildet.
Geschäftsleitungsentscheidungen, Maßnahmenverfolgung und Evidenzen sind dadurch nicht mehr über Excel, E-Mail und PowerPoint verteilt, sondern zentral zusammengeführt.

Welche Risiken drohen, wenn du NIS2 und die Schulungspflicht ignorierst?#

NIS2 ist nicht nur ein „nice to have“, sondern mit einem ziemlich scharfen Sanktionsregime hinterlegt.

Wenn du das Thema aussitzt oder nur pro forma abhakst, riskierst du:

1. Hohe Bußgelder#

Bei Verstößen gegen NIS2 können die Behörden, in Deutschland insbesondere das BSI, Bußgelder von bis zu

  • 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (für besonders wichtige Einrichtungen)
  • bzw. 7 Mio. € oder 1,4 % des Umsatzes (für wichtige Einrichtungen)

verhängen, je nachdem, welcher Betrag höher ist.

Das ist vergleichbar mit der DSGVO, und für viele Unternehmen existenzbedrohend.

2. Persönliche Verantwortung & Haftung#

Wenn du als Geschäftsführer, Vorstand oder sonstige Geschäftsleitung deiner Pflicht zur Einrichtung eines angemessenen Risikomanagements und zur Schulung nicht nachkommst, kann man dir organisatorisches Verschulden vorwerfen.

Das eröffnet:

  • interne Haftungsansprüche (z. B. der Gesellschaft gegen dich als Organ),
  • ggf. auch strafrechtliche Risiken in Extremfällen (z. B. grob fahrlässige Gefährdung kritischer Infrastrukturen).

NIS2 zielt ausdrücklich darauf ab, Leitungspersonen in die Verantwortung zu nehmen, nicht nur abstrakt „die Organisation“.

3. Aufsichtsrechtliche Maßnahmen und Reputationsschäden#

Das BSI erhält mit dem neuen Gesetz erweiterte Prüf- und Eingriffsrechte.

Fehlen:

  • eine saubere Registrierung,
  • ein dokumentiertes Risikomanagement,
  • oder Nachweise für Schulungen und Maßnahmen,

kann die Behörde nicht nur Bußgelder verhängen, sondern auch Anordnungen treffen, Nachbesserungen verlangen und Prüfungen anstoßen.

Hinzu kommt:
Ein Sicherheitsvorfall, bei dem sich herausstellt, dass ihr offensichtlich unterreguliert wart (kein Incident-Plan, keine Schulungen, keine Mindestmaßnahmen), ist nicht nur ein rechtliches, sondern auch ein massives Reputationsproblem, bei Kunden, Partnern, Banken, Versicherern und ggf. Medien.

4. Versicherungs- und Vertragsrisiken#

Cyber-Versicherer und große Auftraggeber achten zunehmend darauf, ob ein Unternehmen nachweislich angemessene Sicherheitsmaßnahmen umsetzt.

Fehlende NIS2-Compliance kann dazu führen, dass:

  • Versicherer im Schadenfall Leistungen kürzen oder verweigern,
  • Kunden vertraglich strengere Sicherheitsanforderungen stellen oder Anbieter wechseln,
  • Ausschreibungen verloren gehen, weil man „nicht audit-ready“ ist.

Warum gerade jetzt der richtige Zeitpunkt ist zu handeln#

Du könntest sagen: „Wir warten, bis alles 100 % final ist und schauen dann.“
Das Problem: Dafür ist es eigentlich schon zu spät.

Die Rechtslage ist politisch geklärt#

  • Die NIS2-Richtlinie gilt auf EU-Ebene längst.
  • Das deutsche Umsetzungsgesetz wurde vom Bundestag beschlossen und vom Bundesrat gebilligt.

Fehlen tun nur noch:

  • die Verkündung im Bundesgesetzblatt und
  • der konkrete Inkrafttretenszeitpunkt (voraussichtlich Ende 2025 / Anfang 2026).

Du kannst heute also bereits auf einer sehr stabilen Grundlage planen.

Es geht nicht nur um Rechtstext, sondern um Strukturen#

Zwischen „Wir wissen, dass NIS2 kommt“ und „Wir sind wirklich NIS2-ready“ liegen:

  • Betroffenheitsanalyse (fallen wir unter NIS2? Als wichtig oder besonders wichtig?)
  • Gap-Analyse gegen die neuen Anforderungen
  • Aufbau/Erweiterung des Risikomanagements
  • Überarbeitung von Prozessen, Verträgen und Meldeketten
  • Planung und Durchführung der Geschäftsleitungsschulungen
  • Dokumentation und Nachweisführung

Das braucht Zeit. Wer erst zum Inkrafttreten beginnt, wird es schwer haben, im Fall des Falles glaubhaft zu machen, man sei „angemessen vorbereitet“ gewesen.

Schulungskapazitäten werden knapp werden#

Je näher das Inkrafttreten rückt, desto mehr Unternehmen werden versuchen, kurzfristig ihre Geschäftsleitungen zu schulen. Realistisch wird es dann:

  • Engpässe bei guten Anbietern geben,
  • hektische Last-Minute-Formate geben,
  • und die Gefahr, dass Schulungen eher als „Pflichttermin“ statt als strategischer Hebel wahrgenommen werden.

Wer jetzt schon plant, kann:

  • Inhalte strukturiert auf das eigene Unternehmen zuschneiden,
  • Rollen sauber identifizieren,
  • und Schulungen als Teil einer strategischen Sicherheitsagenda aufsetzen, nicht als isolierte Maßnahme.

Zwei Szenarien aus der Praxis: Wie NIS2 im Alltag wirkt#

Um das Ganze greifbarer zu machen, schauen wir uns zwei typische Szenarien an, die in NIS2-Schulungen häufig durchgespielt werden.

Beispiel 1: Ransomware bei einem mittelständischen Produktionsbetrieb#

Ein Maschinenbauunternehmen mit 200 Mitarbeitenden (damit „wichtig“ im Sinne von NIS2) wird Opfer einer Ransomware-Attacke:

  • Produktionsanlagen fallen aus,
  • das ERP-System ist verschlüsselt,
  • Angreifer drohen, sensible Kundendaten zu veröffentlichen.

Was verlangt NIS2 und das neue BSIG jetzt von der Geschäftsleitung?

  • Innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls:
    eine Frühwarnmeldung an das BSI.
  • Nach 72 Stunden:
    eine ausführlichere Meldung mit ersten Analysen.
  • Spätestens nach einem Monat:
    ein Abschlussbericht über Ursache, Auswirkungen und getroffene Maßnahmen.

Eine geschulte Geschäftsleitung hat:

  • einen Incident-Response-Plan verabschiedet,
  • Zuständigkeiten klar geregelt,
  • Kommunikationslinien (intern/extern) definiert,
  • regelmäßig Notfallübungen durchführen lassen,
  • und weiß, wie man den Trade-off „Lösegeld zahlen vs. Backup/Neuaufbau“ bewertet.

Du als Geschäftsführer oder Vorstand musst dann nicht improvisieren, sondern kannst dich auf vorher getroffene Entscheidungen stützen, und das gegenüber BSI, Aufsichtsrat und Stakeholdern begründen.

Beispiel 2: Schwachstelle in der Lieferkette eines Krankenhauses#

Ein Krankenhaus (Kategorie „besonders wichtig“) erfährt, dass bei einem Dienstleister, der Gebäudetechnik und Zutrittskontrolle betreibt, eine kritische Sicherheitslücke ausgenutzt wird.

Eine geschulte Geschäftsleitung hat:

  • Lieferanten nach Kritikalität klassifiziert,
  • Sicherheitsanforderungen vertraglich vereinbart,
  • ein Verfahren zur Bewertung von Lieferkettenrisiken etabliert,
  • und gemeinsam mit CISO/IT klare Abläufe für solche Meldungen definiert.

Statt hektischer Ad-hoc-Reaktionen kann das Management:

  • Systeme gezielt isolieren,
  • temporäre Maßnahmen zur Aufrechterhaltung des Betriebs treffen,
  • Meldepflichten gegenüber BSI und ggf. Datenschutzbehörden erfüllen,
  • und proaktiv gegenüber Patienten, Öffentlichkeit und Partnern kommunizieren.

Genau diese Schnittstellenkompetenz, zwischen Business, Technik, Recht und Kommunikation, ist es, die NIS2 von der Geschäftsleitung verlangt. Und genau darauf zielt eine gute NIS2-Geschäftsleitungsschulung ab.

Was du jetzt konkret tun solltest#

Wenn du bis hierhin gelesen hast, betrifft dich NIS2 sehr wahrscheinlich direkt oder zumindest über deine Lieferkette. Was kannst du jetzt tun, ohne dich sofort im Detaildschungel zu verlieren?

  1. Betroffenheit klären
    • Prüfe, ob ihr zu den NIS2-regulierten Sektoren gehört.
    • Prüfe Mitarbeiterzahlen und Umsatzschwellen.
    • Ziehe im Zweifel Rechts- oder Fachexpertise hinzu, die Einstufung ist nicht trivial, aber entscheidend.
  2. Geschäftsleitung identifizieren
    • Liste alle Personen, die nach Gesetz/Satzung/Gesellschaftsvertrag als Geschäftsleitung gelten.
    • Denk an Sonderformen (z. B. Prokuristen mit faktischer Leitungsverantwortung).
  3. Ist-Stand beim Risikomanagement bewerten
    • Gibt es schon eine Informationssicherheitsstrategie?
    • Wie reif sind Risiko-, Notfall- und Meldeprozesse?
    • Welche Standards (ISO 27001 etc.) nutzt ihr bereits?
  4. NIS2-Geschäftsleitungsschulung planen
    • Setze das Thema auf die Agenda von Geschäftsführung/Vorstand.
    • Plant ein Schulungsformat, das sowohl rechtliche Pflichten als auch praktische Entscheidungssituationen abdeckt.
    • Legt direkt ein Intervall fest (z. B. alle drei Jahre) und sorgt für saubere Dokumentation.
  5. Dokumentation & Nachweisfähigkeit aufbauen
    • Haltet Schulungen, Entscheidungen und Maßnahmen nachvollziehbar fest.
    • Denkt daran: Wenn später etwas passiert, werdet ihr zeigen müssen, dass ihr eurer Verantwortung nachgekommen seid.
  6. Thema als Chance begreifen
    • NIS2 ist unbequem, klar.
    • Aber eine gestärkte Cybersicherheit ist auch ein Business-Asset:
      weniger Ausfälle, mehr Vertrauen, bessere Position in Ausschreibungen und Audits.

Fazit:
Die NIS2-Geschäftsleitungsschulung ist kein lästiges Pflichtseminar, sondern ein zentraler Baustein dafür, dass du als Entscheider in einer zunehmend digitalen und unsicheren Welt verantwortungsvoll, haftungssicher und zukunftsfähig steuern kannst.

Je früher du das Thema aktiv adressierst, desto eher wird aus einem Risiko ein Strategie- und Resilienzhebel, für dich persönlich, für deine Organisation und für alle, die sich auf eure Dienstleistungen verlassen.

NIS2 Geschäftsleitung: Schulungspflicht & Haftung 2025 | Kopexa