Die NIS-2-Richtlinie, die seit dem 18. Oktober 2024 verpflichtend ist, fordert nach Art. 20 Abs. 2 von Leitungsorganen (bzw. Geschäftsleitungen) wesentlicher und wichtiger Einrichtungen an Schulungen teilzunehmen. Was konkret diese Schulungen beinhalten sollten, wer teilnehmen muss, wie oft eine solche Schulung erfolgen muss, usw., bestimmt die NIS-2-Richtlinie hingegen nicht weiter.
Auch der derzeitige Entwurf des NIS-2-Umsetzungsgesetzes (BSIG-E) bringt insofern keine weiteren Erkenntnisse.
Die neue BSI-Handreichung als strategischer Kompass für die Geschäftsleitung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nunmehr aber eine vorläufige BSI-Handreichung zur neuen Schulungspflicht für Geschäftsleitungen nach dem NIS-2-Umsetzungsgesetz (BSIG-E) veröffentlicht. Dieses Dokument ist unverbindlich, nicht aber das korrespondierende, voraussichtlich ab 2026 geltende Haftungsregime für Geschäftsleitungen. Daher ist die BSI-Handreichung ein Anlass, sich die neue Erwartungshaltung an die Führungsebene vor Augen zu führen.
Gegenstand dieses Artikels ist es, die Kernaussagen dieser BSI-Handreichung zu analysieren und Geschäftsleitungen dabei zu unterstützen, sie korrekt zu interpretieren: Nicht als Checkliste, sondern als Grundlage für fundierte, unternehmensspezifische Risikoentscheidungen.
Gesetzliche Grundlagen der Verantwortung
Der Entwurf des NIS-2-Umsetzungsgesetzes (BSIG-E) verankert die Pflichten der Geschäftsleitung in § 38 unmissverständlich. Daraus ergeben sich drei zentrale Verantwortungsbereiche:
Umsetzungs- und Überwachungspflicht: Die Geschäftsleitung ist gesetzlich verpflichtet, die im Unternehmen erforderlichen Risikomanagementmaßnahmen gemäß § 30 BSIG-E nicht nur zu billigen, sondern deren Implementierung aktiv umzusetzen und die Wirksamkeit fortlaufend zu überwachen.
Persönliche Haftung: Bei einer schuldhaften Verletzung dieser Pflichten haftet die Geschäftsleitung persönlich für den entstandenen Schaden. Diese Haftung ist nicht abstrakt, sondern knüpft direkt an die für Ihre Unternehmensform geltenden gesellschaftsrechtlichen Regeln an (z.B. GmbHG, AktG), was die Durchsetzbarkeit erheblich erhöht.
Schulungspflicht: Das Gesetz fordert von den Mitgliedern der Geschäftsleitung die regelmäßige Teilnahme an Schulungen. Ziel ist es, ausreichende Kenntnisse zu erlangen, um Cybersicherheitsrisiken und die Wirksamkeit von Gegenmaßnahmen adäquat bewerten und deren Auswirkungen auf die Geschäftstätigkeit beurteilen zu können.
Die drei zentralen Kompetenzfelder der Geschäftsleitung laut BSI
Die BSI-Handreichung macht deutlich, dass die gesetzliche Schulungspflicht für die Geschäftsleitung (§ 38 Abs. 3 BSIG-E) darauf abzielt, Geschäftsleitungen mit spezifischen Kenntnissen und Fähigkeiten auszustatten.
Zum einen müssen Geschäftsleitungen allgemeine Inhalte über die Pflichten unter der NIS-2-Richtlinie/dem NIS-2-Umsetzungsgesetz (BSIG-E) vermittelt werden. Zum anderen müssen die Geschäftsleitungen auch mit den daran anknüpfenden spezifischen Anforderungen und Umständen ihres eigenen Unternehmens vertraut gemacht werden. Während ersteres in der Regel gut durch externe Schulungsangebote vermittelt werden kann, erfordert letzteres einen intensiven Austausch zwischen der Geschäftsleitung und deren IT-Abteilung (und ggf. weitere Abteilungen).
Bei beiden hierüber genannten Aspekten geht es nicht um tiefes technisches Detailwissen, sondern um strategische Managementkompetenz in drei miteinander verknüpften Bereichen:
- Erkennung und Bewertung von Risiken: Die Geschäftsleitung muss fähig sein, an der Bewertung von Cybersicherheitsrisiken mitzuwirken und diese sinnvoll einzuschätzen, um entsprechende Maßnahmen treffen zu können.
- Kenntnis von Risikomanagementpraktiken: Ein Verständnis für die Art, den Zweck und die Wirkungsweise technisch-organisatorischer Maßnahmen ist erforderlich. Dies umfasst jedenfalls die zehn ausdrücklich genannten Mindestmaßnahmen aus § 30 Abs. 2 BSIG-E.
- Beurteilung der Auswirkungen von Risiken und Maßnahmen: Laut BSI ist dies der entscheidende Punkt. Die Geschäftsleitung muss bewerten können, wie sich Risiken und Maßnahmen auf die Verfügbarkeit, Integrität und Vertraulichkeit der erbrachten Dienste sowie auf die betriebliche Realität auswirken und inwiefern hieraus Handlungsschritte erwachsen.
Das BSI betont, dass eine Schulung, die sich nur auf einen dieser Aspekte fokussiert, hinter den gesetzlichen Anforderungen zurückfällt und als nicht ausreichend bewertet würde9. Daran anknüpfend enthält die BSI-Handreichung eine Auflistung von sog „Soll“- (diese Inhalte müssen aus Sicht des BSI in einer Schulung immer vermittelt werden) und „Kann“-Inhalten (diese Inhalte sind obligatorisch bei einer Schulung).
Konkretisierung des Schulungsrahmens
Neben inhaltlichen Aspekten, thematisiert die BSI-Handreichung auch den Rahmen für derartige Schulungen.
In Anlehnung an die Ausführungen in der Gesetzesbegründung im NIS-2-Umsetzungsgesetz (BSIG-E) geht auch das BSI von eine üblichen Schulungsdauer von 4 Stunden und einem Intervall von in der Regel 3 Jahren aus. Das Schulungsintervall hängt aber von den Einzelumständen ab (gab es etwa Änderungen in den Geschäftsprozessen, gibt es neue Standards, usw.) und eine Schulung kann daher auch öfter erforderlich sein.
Interessant ist auch, dass das BSI nicht nur die Geschäftsleitungen selbst in der Schulungspflicht sieht, sondern bei äquivalenten Positionen und Positionen, die Geschäftsleitungen zuarbeiten (was wohl zumindest die obere Management-Ebene erfassen kann).
Weiterhin weist das BSI ausdrücklich darauf hin, dass die Teilnahme, Inhalte und Dauer der Schulungen auch hinreichend dokumentiert werden müssen. Ein Abprüfen der Geschäftsleitung ist hingegen nach Ansicht des BSI nicht erforderlich (auch wenn es sicherlich nicht schadet) und daher auch nicht zu dokumentieren.
Der BSI-Fragenkatalog: Dialog anstoßen, nicht abhaken
Ein zentrales Element der BSI-Handreichung ist der umfassende Leitfragenkatalog für Geschäftsleitungen. Dieser Katalog soll Führungskräfte dabei unterstützen, ihre Überwachungspflichten angemessen zu verwalten.
Warnung vor einem Checklisten-Missverständnis: Es wäre ein fataler Fehler, diese Leitfragen als Checkliste zu missverstehen, die lediglich mit „Ja“ oder „Nein“ beantwortet werden kann. Das BSI selbst formuliert das Ziel anders: Die Fragen sollen helfen, das „eigene Verantwortungsbewusstsein zu schärfen, Umsetzungslücken zu erkennen und den Dialog mit internen und externen Sicherheitspartnern zu führen“. Wichtig ist, die Bedürfnisse und Risikobereitschaft des eigenen Unternehmens zu kennen.
Der Kern der Anforderung ist nicht die Existenz einer Maßnahme, sondern deren Angemessenheit und Verhältnismäßigkeit. Die entscheidende Arbeit der Geschäftsleitung liegt in der dokumentierten Begründung, warum eine bestimmte Antwort für das eigene Unternehmen die richtige ist – auch wenn dies die bewusste Akzeptanz eines Restrisikos nach einer sorgfältigen Analyse bedeutet.
Beispiel aus der Handreichung:
- Die BSI-Frage: Wie stellen wir sicher, dass unsere Betriebsprozesse bei einem Vorfall schnell wiederhergestellt werden können?
- Falscher Ansatz (Checkliste): Haben wir einen Notfallplan? Ja. -> Erledigt.
- Richtiger Ansatz (Strategischer Dialog): Entspricht unser Wiederherstellungsziel (RTO) den vertraglichen und operativen Anforderungen unserer kritischsten Dienste? Sind die dafür notwendigen Ressourcen (Budget, Personal) bereitgestellt? Wurde der Prozess zuletzt erfolgreich getestet und was waren die 'Lessons Learned'?
Schlussfolgerung: Vom informiert sein zum aktiven Steuern
Die BSI-Handreichung markiert einen Wendepunkt. Sie fordert eine Geschäftsleitung, die nicht nur über Cybersicherheit informiert wird, sondern diese aktiv als Teil des ganzheitlichen Risikomanagements der Einrichtung/des Unternehmens steuert und verantwortet.
Der BSI-Fragenkatalog ist hierfür ein wichtiges Dokument, aber nur, wenn er richtig eingesetzt wird: als Grundlage für einen kontinuierlichen, kritischen Dialog. Am Ende muss die Geschäftsleitung nicht beweisen, dass sie eine Checkliste abgearbeitet hat, sondern dass ihre Entscheidungen zum Risikomanagement auf einer fundierten, dokumentierten und für ihr Unternehmen angemessenen Grundlage beruhen.
