Skip to main content

NIS-2: Neue BSI-Handreichung zur Geschäftsleitungsschulung

18. Juni 2026
|In blog.
|By esc

Neue BSI-Handreichung zur NIS-2-Geschäftsleitungsschulung

Von Isaac Michael, Informationssicherheitsbeauftragter (ISB)

Was sich geändert hat:

Das BSI hat seine Handreichung zur Schulung von Geschäftsleitungen aktualisiert.

Auf den ersten Blick wirkt das wie eine normale Überarbeitung. Bei genauerem Hinsehen zeigt sich aber eine wichtige fachliche Verschiebung:

Weg von einer vorläufigen Orientierung am NIS-2-Umsetzungsgesetzentwurf.
Hin zu einer praxisnäheren Einordnung der Schulungspflicht nach dem novellierten BSI-Gesetz.

1. Vom Entwurf zum geltenden BSIG

Die alte Fassung bezog sich noch auf den NIS-2-Umsetzungsgesetzentwurf und arbeitete mit dem Begriff BSIG-E.

Die neue Fassung stellt die Schulungspflicht nun in den Kontext des geltenden BSIG. Damit wird klarer: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen sind nicht nur Adressaten einer Sensibilisierung. Sie tragen Verantwortung für Umsetzung und Überwachung von Risikomanagementmaßnahmen.

Cybersicherheit wird damit endgültig zur Leitungs- und Governance-Aufgabe.

2. Weniger starres Schulungsschema

Eine der wichtigsten Änderungen betrifft Intervall und Dauer.

Die alte Fassung enthielt noch eine Orientierung an mindestens dreijährigen Schulungsintervallen und durchschnittlich halbtägigen Schulungen.

Die neue Handreichung ist flexibler. Sie betont stärker den risikobasierten Ansatz. Entscheidend sind insbesondere:

  • Risikoexposition der Einrichtung
  • Vorkenntnisse der Geschäftsleitung
  • Änderungen in Geschäftsprozessen
  • Änderungen der Bedrohungs- oder Maßnahmenlage
  • Wechsel in der Geschäftsleitung

Damit rückt weniger die Frage in den Mittelpunkt, „wie lange“ geschult wird, sondern ob die Schulung Geschäftsleitungen tatsächlich befähigt, informierte Entscheidungen zu treffen.

3. Schulung als Managementbefähigung

Die neue Handreichung macht deutlich: Geschäftsleitungen sollen nicht zu technischen Experten ausgebildet werden.

Sie müssen aber Risiken, Maßnahmen und deren Auswirkungen ausreichend verstehen, um fundierte Entscheidungen treffen zu können.

Dazu gehört insbesondere:

  • Cyberrisiken als Geschäftsrisiken einzuordnen
  • Risikomanagementmaßnahmen bewerten zu können
  • Zielkonflikte zwischen Sicherheit, Wirtschaftlichkeit und Betriebsfähigkeit zu erkennen
  • Ressourcenentscheidungen nachvollziehbar zu treffen
  • die Umsetzung von Maßnahmen wirksam zu überwachen

Der eigentliche Nachweis guter Schulung liegt daher nicht nur in einer Teilnahmebescheinigung. Er zeigt sich vor allem in der gelebten Entscheidungs- und Steuerungspraxis.

4. Mehr Praxisbezug durch neue Schulungsformate

Besonders relevant ist der stärkere Fokus auf praxisnahe Formate.

Das BSI nennt unter anderem Tabletop Exercises, Audit-Simulationen, Management Red-/Blue-Teaming, Szenarien, Übungen, Case Studies und Live-Hacking als mögliche Bestandteile.

Das ist konsequent. Denn Risikomanagement bleibt abstrakt, solange es nur über Pflichten, Begriffe und Normen vermittelt wird.

Wirklich wirksam wird eine Schulung erst dann, wenn Geschäftsleitungen typische Entscheidungssituationen durchspielen:

  • Was passiert bei einem Ransomware-Angriff?
  • Wer entscheidet über Prioritäten bei der Wiederherstellung?
  • Wann muss gemeldet werden?
  • Welche Risiken werden bewusst akzeptiert – und welche nicht?

Genau diese Fragen machen Cybersicherheit greifbar.

5. Dokumentation wird konkreter

Auch beim Nachweis wird die neue Handreichung präziser.

Dokumentiert werden sollten insbesondere Anbieter oder interne Stelle, Teilnehmende mit Rolle, Datum, Dauer, Inhalte, Formate und der Bezug zu den gesetzlichen Anforderungen.

Wichtig ist aber: Die Dokumentation belegt zunächst nur die Teilnahme. Ob ausreichende Kenntnisse und Fähigkeiten tatsächlich vorliegen, zeigt sich erst in der aktiven Mitwirkung der Geschäftsleitung an Risikomanagemententscheidungen.

6. Fazit

Die neue BSI-Handreichung verschiebt den Fokus spürbar:

Von formaler Schulungspflicht zu wirksamer Managementbefähigung.

Für betroffene Einrichtungen bedeutet das: Geschäftsleitungsschulungen sollten nicht als isolierter Pflichttermin verstanden werden. Sie sollten Teil eines belastbaren Governance- und Risikomanagementansatzes sein.

Entscheidend ist, dass Geschäftsleitungen die richtigen Fragen stellen, Risiken angemessen bewerten, Ressourcen bewusst priorisieren und ihre Verantwortung nachvollziehbar wahrnehmen.

Denn Cybersicherheit ist nicht nur IT-Aufgabe.

Sie ist Führungsaufgabe.

Genau hier unterstützen wir Organisationen: mit praxisnahen Geschäftsleitungsschulungen nach § 38 Abs. 3 BSIG, die regulatorische Anforderungen, konkrete Risikoszenarien und die Rolle der Geschäftsleitung miteinander verbinden.

Unser Anspruch ist dabei nicht reine Wissensvermittlung, sondern Entscheidungsfähigkeit: verständlich, anwendungsnah und auf die jeweilige Organisation zugeschnitten.

 

Quelle: BSI – NIS-2-Geschäftsleitungsschulung

Aus Gründen der besseren Lesbarkeit wird in den Texten auf die Verwendung geschlechtergerechter Sprachformen verzichtet und das generische Maskulinum verwendet.
Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

© Copyright 2024
evolving systems consulting GmbH

ISO Logo
Allianz Cyber