CEOs Komfortzone: NIS-2 trifft rund 29.500 Unternehmen. Uns nicht.

CEOs Komfortzone: NIS-2 trifft rund 29.500 Unternehmen. Uns nicht.

Aber: Cyberrisiken kennen keine Unternehmensgröße.

In der Fokus-Gruppe IT-Compliance
des IT Klub Mainz & Rheinhessen e.V.
beschäftigen wir uns aktuell intensiv
mit einem Aspekt der NIS-2-Umsetzung,
der häufig unterschätzt wird:

Die Schulungspflicht der Geschäftsleitung.

Ein Blick in § 38 BSIG zeigt,
wie klar der Gesetzgeber
die Verantwortung formuliert.

Und wie eng Umsetzung,
Haftung und Wissen
miteinander verknüpft sind.

Drei Absätze bilden faktisch eine Haftungskette:

1️⃣ Umsetzungs- und Überwachungspflicht
Die Geschäftsleitung ist persönlich dafür verantwortlich, dass die Risikomanagementmaßnahmen nach § 30 BSIG umgesetzt und deren Einhaltung überwacht werden.
👉 Eine Delegation der Verantwortung ist nicht möglich.

2️⃣ Persönliche Haftung
Bei schuldhafter Pflichtverletzung haftet die Geschäftsleitung nach gesellschaftsrechtlichen Grundsätzen gegenüber der eigenen Einrichtung.
👉 Persönlich und unbegrenzt.

3️⃣ Schulungspflicht
Regelmäßige Schulungen sind verpflichtend.
Das BSI empfiehlt eine Basisschulung von etwa 4 Stunden sowie jährliche Auffrischungen, deren Teilnahme dokumentiert werden muss.
👉 Die Konsequenz ist eindeutig:

Wer Entscheidungen über Cyber-Risiken trifft,
muss sie auch verstehen.

Für CEOs, CISOs und CTOs bedeutet das nicht nur Compliance,
sondern auch strategische Verantwortung:

Cybersecurity ist kein reines IT-Thema mehr.
Sie ist Teil der Unternehmensführung und Haftungsarchitektur.

Mein Eindruck aus der Praxis:

Viele Organisationen konzentrieren sich stark auf technische Maßnahmen, unterschätzen aber die Pflicht zur nachweisbaren Schulung der Geschäftsleitung.

Dabei ist genau sie der Dreh- und Angelpunkt zwischen Strategie, Risiko und Haftung.

Mich interessiert daher Ihre Perspektive:
Wie organisieren Sie Schulungen zur NIS-2-Verantwortung in Ihrer Geschäftsleitung?