2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Vorstandsschulungspflicht nach NIS2UmsuCG und NISG 2024

Praktische Erklärung zu vorstandsschulungspflicht nis2umsucg für Organisationen, die sicheres Verhalten strukturell verbessern wollen.

Aktuell

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verschärft Deutschland die Pflichten der Geschäftsleitung — und in Österreich tut das NISG 2024 dasselbe. Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen müssen Risikomanagementmaßnahmen nicht nur freigeben, sondern auch deren Umsetzung überwachen und selbst regelmäßige Schulungen absolvieren. Bei schuldhafter Verletzung dieser Pflichten haften sie persönlich. Dieser Beitrag erklärt, wer betroffen ist, welche Inhalte verpflichtend sind und welche Sanktionen drohen.

Für wen gilt die Schulungspflicht?

Die Pflicht trifft die Geschäftsleitung jeder Einrichtung, die unter das NIS2UmsuCG fällt — also alle wichtigen und besonders wichtigen Einrichtungen nach § 28 BSIG (neue Fassung). In österreichischer Terminologie spricht das NISG 2024 vom Leitungsorgan wesentlicher und wichtiger Einrichtungen.

  • Vorstände und Geschäftsführer (AG, GmbH, SE) als operative Leitungsebene
  • Aufsichtsräte und Beiräte, soweit sie nach den Statuten echte Leitungsfunktionen wahrnehmen
  • Vorständin und Vorstand von Anstalten und Körperschaften des öffentlichen Rechts bei öffentlichen Einrichtungen
  • Geschäftsführungen kommunaler Unternehmen (Stadtwerke, Energieversorger, Verkehrsbetriebe), die als KRITIS oder besonders wichtige Einrichtung gelten
  • In Österreich: Vorstände der wesentlichen Einrichtungen nach NISG 2024 (Energie, Verkehr, Gesundheit, digitale Infrastruktur)

Welche Inhalte schreibt das Gesetz vor?

§ 38 BSIG (neue Fassung) verpflichtet die Geschäftsleitung, an Schulungen teilzunehmen, die ihr ein ausreichendes Verständnis und die nötigen Fähigkeiten vermitteln, um Cybersicherheitsrisiken zu erkennen, ihre Auswirkungen zu bewerten und angemessene Maßnahmen zu beschließen. Einen konkreten Lehrplan gibt das Gesetz nicht vor — die Praxis orientiert sich an den Empfehlungen des BSI sowie an branchenspezifischen Standards.

In Österreich verlangt das NISG 2024 unter Aufsicht der Bundesministerin für Inneres und des nationalen Computer Security Incident Response Team (CSIRT.at) vergleichbare Inhalte: aktuelles Bedrohungsbild, rechtliche Pflichten, Meldewege und Eskalationsverfahren, persönliche Haftung sowie die Übersetzung technischen Risikos in unternehmerische Entscheidungen.

Wichtig: Schulungsinhalte müssen erkennbar auf Entscheidungsträger ausgerichtet sein. Ein allgemeines Mitarbeiter-Awareness-Modul genügt der Schulungspflicht nach § 38 BSIG nicht — das BSI weist in seinen Hinweisen ausdrücklich darauf hin.

Häufigkeit und Umfang

Das Gesetz schreibt nur "regelmäßig" vor. Die Aufsichtsbehörden — in Deutschland das BSI, in Österreich das Bundesministerium für Inneres — interpretieren das in ihren Leitlinien als mindestens eine vollwertige Schulung pro Jahr, ergänzt durch anlassbezogene Updates nach erheblichen Vorfällen oder Regelungsänderungen.

Realistisch sind 4–8 Stunden pro Geschäftsleitungsmitglied und Jahr: 2–3 Stunden Initialschulung, 2–3 Stunden Vertiefung und 1–2 Stunden Szenarioübung. Mehrere kurze Einheiten von 30–60 Minuten funktionieren in der Praxis besser als eine lange Jahresveranstaltung.

Neu eintretende Geschäftsleitungsmitglieder müssen innerhalb von sechs Monaten nach Bestellung vollständig geschult sein. Für Bestandsmitglieder gilt typischerweise eine Übergangsfrist von 12 bis 24 Monaten ab Inkrafttreten, danach jährliche Auffrischung.

Dokumentation und Nachweis

Bei einer Prüfung durch das BSI oder die österreichische Aufsicht ist die erste Frage fast immer: "Zeigen Sie, dass die Geschäftsleitung geschult ist." Was Sie dokumentieren sollten:

  • Pro Person: Name, Schulungstermin, Inhalt, Dauer, Anbieter, Abschlussnachweis (Zertifikat oder Plattform-Log)
  • Pro Einrichtung: Schulungsplan für das laufende und das folgende Geschäftsjahr, verknüpft mit Bestellungen und Wiederbestellungen
  • Pro Sitzung: Geschäftsleitungssitzungen, in denen Cybersicherheit behandelt wurde, mit Protokollen als Beleg
  • Pro Vorfall: wann die Geschäftsleitung informiert wurde, welche Entscheidung getroffen und welche Folgemaßnahme vereinbart wurde
  • Manipulationssichere Logs mit Zeitstempel und Audit-Trail sind deutlich aussagekräftiger als lose Zertifikate oder E-Mail-Bestätigungen

Persönliche Haftung und Sanktionen

§ 38 Abs. 2 BSIG (neue Fassung) statuiert eine persönliche Haftung der Geschäftsleitung für Schäden, die durch die schuldhafte Verletzung ihrer Pflichten entstehen — ein klarer Bruch mit dem alten Regime, in dem nur die Organisation haftete. In Österreich enthält das NISG 2024 vergleichbare Regelungen mit Verweis auf das allgemeine zivil- und gesellschaftsrechtliche Haftungsregime.

Auf Organisationsebene drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent. Hinzu kommen zivilrechtliche Schadensersatzansprüche Dritter sowie — bei vorsätzlichem Verschweigen meldepflichtiger Vorfälle — strafrechtliche Konsequenzen.

Schuldhaft handelt typischerweise, wer ein Risiko kennt oder vernünftigerweise kennen muss und keine angemessenen Maßnahmen ergreift. Wer dokumentiert geschult wurde, das Thema regelmäßig auf die Tagesordnung gesetzt und nachvollziehbare Entscheidungen getroffen hat, ist in der Regel geschützt.

Typische Fehler in der Umsetzung

BSI und österreichische Aufsicht beobachten in der ersten Umsetzungsphase wiederkehrende Muster, die als schuldhafte Pflichtverletzung gewertet werden können:

  • Generische Mitarbeiter-Awareness für die Geschäftsleitung statt einer Governance-spezifischen Schulung — formal eine Tickbox, kein hinreichender Nachweis
  • Vollständige Delegation an den CISO, ohne dass die Geschäftsleitung den Sachstand eigenständig erfasst — § 38 BSIG verlangt aktive Aufsicht, nicht nur formelle Freigabe
  • Fehlende Protokollierung von Geschäftsleitungssitzungen, in denen Cybersicherheit behandelt wurde — kein Tagesordnungspunkt bedeutet aus Aufsichtsperspektive keine Befassung
  • Verwechslung von Compliance und Sicherheit — eine Einrichtung kann formal NIS2-konform und in der Praxis trotzdem verwundbar sein; die Geschäftsleitung muss beides unterscheiden
  • Verspätete Einarbeitung neuer Mitglieder — wer erst nach zwölf Monaten geschult wird, hinterlässt eine sofort prüfbare Lücke
Von der Erklärung zur Lösung

Entdecken Sie, wie 2LRN4 dieses Thema in ein funktionierendes Programm mit Training, Phishing-Simulation und Management-Reporting überführt.

Zur NIS2-Seite

Verwandte Artikel

Quellen

FAQ

Kann die Geschäftsleitungsschulung online stattfinden?

Ja. Weder das NIS2UmsuCG noch das NISG 2024 schreiben eine bestimmte Form vor. Online-, Hybrid- und Präsenzschulungen sind gleichwertig, solange der Abschluss nachweisbar dokumentiert ist und die Inhalte den Anforderungen entsprechen. Kurze Module von 30 bis 60 Minuten passen erfahrungsgemäß besser in den Geschäftsleitungskalender als eine lange Jahresveranstaltung.

Gilt die Schulungspflicht auch für den Aufsichtsrat?

Sie gilt für das Leitungsorgan im Sinne des § 28 BSIG. Bei der dualistischen Struktur in Deutschland und Österreich umfasst das primär den Vorstand bzw. die Geschäftsführung. Der Aufsichtsrat ist nicht direkt verpflichtet, sollte aber aus eigenem Interesse — Stichwort Business Judgement Rule und Überwachungspflicht nach § 111 AktG — vergleichbare Schulungen absolvieren.

Was passiert, wenn ein Geschäftsleitungsmitglied die Schulung verweigert?

Das ist formal eine Pflichtverletzung der Einrichtung und materiell des betreffenden Mitglieds. Aufsichtsrat oder Gesellschafterversammlung müssen einschreiten. Bei anhaltender Weigerung kann die Bestellung widerrufen werden; im äußersten Fall kann das BSI Anordnungen treffen.

Reicht ein MBA mit Cybersicherheitsmodul?

In der Regel nicht. Die Schulung muss nachweisbar auf die Rolle als Geschäftsleitung einer NIS2-pflichtigen Einrichtung ausgerichtet sein. Ein allgemeiner MBA-Kurs erfüllt die Spezifität, die BSI und Aufsichtsbehörden erwarten, nur selten. Eine dezidierte Board Cyber Training mit NIS2-Bezug ist deutlich tragfähiger.

Welches Budget ist angemessen?

Pro Geschäftsleitungsmitglied bewegt sich ein professionelles Programm mit Zertifizierung, E-Learning und jährlicher Auffrischung zwischen 500 und 2.000 Euro pro Jahr. Verbandsschulungen sind für kleinere Einrichtungen oft günstiger; größere Konzerne fahren mit einer internen Governance-Academy meist effizienter.

Wie verhält sich § 38 BSIG zu allgemeiner Mitarbeiter-Awareness?

Das sind zwei getrennte Pflichten. § 38 verlangt eine spezifische Schulung der Geschäftsleitung; allgemeine Awareness-Schulungen für alle Mitarbeitenden ergeben sich aus den Risikomanagementpflichten des § 30 BSIG. Beide sind verbindlich, ergänzen einander und sollten in der Praxis als zwei eigenständige Programme aufgesetzt werden.

Externe Quelle: European Commission - NIS2 Directive

Weiterlesen
Was ist das NIS-2-Umsetzungsgesetz (NIS2UmsuCG)? → B3S Gesundheit und Awareness im Gesundheitswesen →
Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel