Ich mag ja Gesetze selten für ihren Unterhaltungswert loben. Aber § 38 BSIG ist lesenswert: Geschäftsführer sollen sich in Sachen IT-Sicherheit schulen lassen — und zwar regelmäßig.
Meiner Erfahrung nach war IT-Sicherheit für viele Geschäftsführer lange so ein Thema, das irgendwo zwischen Technik, Compliance und „darum kümmert sich schon jemand“ gelandet ist.
Cyberangriffe fragen nicht nach Organigrammen. Wenn es ernst wird, landet die Verantwortung am Ende nicht beim Server, sondern immer bei Menschen. Und es hilft wenig, wenn nur die IT weiß, was los ist, die Chefetage im Notfall ratlos schaut.
Was steckt hinter der Schulungspflicht nach § 38 BSIG?
§ 38 des novellierten BSI-Gesetzes verpflichtet die Geschäftsleitungen von besonders wichtigen und wichtigen Einrichtungen, die nötigen Risikomanagementmaßnahmen nicht nur umzusetzen, sondern deren Umsetzung auch zu überwachen.
Dazu kommt in Absatz 3 die Pflicht, regelmäßig an Schulungen teilzunehmen, um Risiken und Risikomanagementpraktiken im Bereich der IT-Sicherheit erkennen und bewerten zu können. Auch Mitglieder der Geschäftsleitung sollen entsprechende Schulungen besuchen.
Das ist der Paradigmenwechsel: IT-Sicherheit ist rechtlich nicht mehr bloß „Thema der IT-Abteilung“, sondern Teil ordentlicher Unternehmensführung.
Das BSI betont dazu ausdrücklich, dass Cybersicherheit integraler Bestandteil der Geschäfte des Unternehmens und des Risikomanagements sein muss.
Wen betrifft das überhaupt?
Die Pflicht gilt nicht pauschal für jede GmbH mit WLAN und Kaffeevollautomat.
Sie richtet sich an Geschäftsleitungen von Unternehmen, die unter die Kategorien „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“ nach dem BSIG fallen.
Das Gesetz nennt dafür Sektoren und Schwellenwerte; das BSI stellt zusätzlich eine offizielle Betroffenheitsprüfung bereit, die eine erste Einschätzung gibt.
Wichtig dabei: Diese Prüfung ist laut BSI nicht rechtsverbindlich und ersetzt keine rechtliche Prüfung im Einzelfall.
Für die Praxis heißt das: Wenn dein Unternehmen in regulierten oder kritischen Bereichen unterwegs ist oder bestimmte Größenkriterien erfüllt, solltest du das Thema nicht mit einem lässigen „Wir werden schon nicht gemeint sein“ abhaken.
Dieser Satz ist in Compliance-Fragen erstaunlich selten gut gealtert.
Warum hat der Gesetzgeber das so geregelt?
Weil Sicherheitsvorfälle fast nie nur die „Techniker“ betreffen. Wenn E-Mail ausfällt, Produktion steht, Dienstleister kompromittiert werden oder ein Erpressungsfall eskaliert, entscheidet die Geschäftsleitung über Prioritäten, Freigaben, Kommunikation, Budgets und Krisenmodus.
Wer im Krisenfall nicht versteht, worum es geht, lenkt ein Unternehmen im Blindflug. Die NIS-2-Richtlinie, auf der die neuen Regeln basieren, soll genau deshalb das Cybersicherheitsniveau in der EU anheben und Verantwortung stärker auf Leitungsebene verankern.
Anders gesagt: Der Gesetzgeber möchte verhindern, dass Cybersicherheit in der Chefetage nur dann Beachtung findet, wenn plötzlich alle Passwörter auf Haftnotizen umgestellt werden müssten. Verantwortung beginnt vorher.
Was muss in so einer Schulung drinstecken?
Das Gesetz nennt als Ziel ausreichende Kenntnisse und Fähigkeiten, um Risiken sowie Risikomanagementpraktiken zu erkennen und zu bewerten.
Das BSI hat dazu eine vorläufige Handreichung veröffentlicht. Dort liegt der Fokus auf den Schulungsinhalten für Geschäftsleitungen und auf den zehn Maßnahmen des Cyberrisikomanagements nach NIS-2, zu denen zentrale Leitfragen formuliert werden.
Außerdem macht § 30 BSIG klar, welche Risikomanagementmaßnahmen Unternehmen mindestens im Blick haben müssen. Dazu gehören unter anderem:
-
Risikoanalyse
-
Vorfallbewältigung
-
Business Continuity
-
Backup und Wiederherstellung
-
Sicherheit in der Lieferkette
-
Sicherheitsmaßnahmen bei Beschaffung und Entwicklung
-
Bewertung der Wirksamkeit von Maßnahmen
-
grundlegende Schulungen und Sensibilisierung
In verständlich übersetzt bedeutet das für die Geschäftsleitung: Eine gute Schulung sollte mindestens diese Fragen beantworten:
- Welche Cyberrisiken bedrohen unser Geschäft?
- Wie erkennen wir, ob unsere Schutzmaßnahmen wirklich funktionieren?
- Was passiert bei einem gravierenden Sicherheitsvorfall in den ersten 24 Stunden?
- Welche Rolle spielen Dienstleister, Cloud-Dienste und externe Zugriffe?
- Welche Entscheidungen muss die Geschäftsleitung im Ernstfall selbst treffen?
Was heißt „regelmäßig“?
Das Gesetz spricht von einer regelmäßigen Teilnahme, ohne einen festen Turnus wie „einmal pro Jahr“ festzulegen.
In der Praxis ist wichtig, die Schulung nicht als einmalige Pflichtübung zu behandeln, sondern als wiederkehrenden Bestandteil der Governance. Entscheidend sind Dokumentation von Maßnahmen, die Auffrischung sowie der Bezug zur realen Bedrohungslage.
Für Unternehmen ist die unromantische Konsequenz: Ein einmaliger PowerPoint-Marathon mit Kaffee und Croissants dürfte als Sicherheitskultur kaum ausreichen.
Gibt es Folgen, wenn die Geschäftsleitung das ignoriert?
Ja, und zwar mehr als nur schlechte Stimmung beim Audit.
Das BSIG sieht Aufsichts- und Durchsetzungsmaßnahmen vor. Für besonders wichtige Einrichtungen kann das BSI beispielsweise anordnen, Audits, Prüfungen oder Zertifizierungen durchführen zu lassen, um die Erfüllung der Pflichten zu prüfen.
Zusätzlich enthält § 38 Absatz 2 eine Haftungsregelung für Geschäftsleitungen.
Das ist kein Detail für den Fußnotenfriedhof, sondern ein sehr deutlicher Hinweis:
Verantwortung lässt sich nicht einfach an die IT outsourcen.
Drei Praxisbeispiele:
1. Ransomware im Mittelstand
Ein Produktionsunternehmen wird verschlüsselt. Die IT kämpft, das Backup ist unklar, der Dienstleister nicht erreichbar.
Die Geschäftsleitung muss entscheiden, ob Anlagen abgeschaltet werden, wie Kunden informiert werden und welche Prioritäten gelten.
Ohne Grundverständnis für Meldewege, Wiederanlauf und Entscheidungslogik wird aus einer technischen Krise sehr schnell eine Managementkrise.
Die gesetzlichen Anforderungen an Vorfallbewältigung, Business Continuity und Wiederherstellung zeigen, warum Leitungsebene hier geschult sein muss.
2. Cloud-Dienst mit falscher Sicherheitsannahme
Ein Unternehmen nutzt Microsoft 365, Kollaborationsplattformen und externe Partnerzugriffe.
Technisch läuft alles, aber niemand in der Geschäftsleitung hat je sauber hinterfragt, welche Risiken bei Identitäten, Berechtigungen, Lieferkette und Notfallwiederherstellung bestehen.
Genau dafür ist die Pflicht relevant: Geschäftsleitungen sollen Risiken bewerten können, statt beim Thema Cloud nur hoffnungsvoll auf das Wort „Standard“ zu vertrauen.
§ 30 BISG nennt ausdrücklich auch Lieferkettensicherheit und die Bewertung der Wirksamkeit von Maßnahmen.
3. Phishing trifft nicht nur Mitarbeitende
Viele Unternehmen schulen Mitarbeitende, aber nicht die Chefetage. Das ist ungefähr so schlau, wie die Haustür zu sichern, aber die Fenster offen zu lassen.
Das BSI unterscheidet deshalb auch zwischen Schulungen für Mitarbeitende nach § 30 und der besonderen Schulungspflicht für Geschäftsleitungen nach § 38.
Beides hat seinen eigenen Zweck.
Was Unternehmen jetzt konkret tun sollten
1. Prüfen, ob das eigene Unternehmen unter die NIS-2- bzw. BSIG-Regelungen fällt.
Die BSI-Betroffenheitsprüfung ist dafür ein guter erster Schritt, ersetzt aber keine belastbare Bewertung im Einzelfall.
2. Die Schulungspflicht nicht isoliert betrachten.
Sie gehört in ein Gesamtbild aus Risikomanagement, Zuständigkeiten, Vorfallreaktion, Dokumentation und Überwachung. Genau so ist das BSIG aufgebaut: umsetzen, überwachen, schulen.
3. Das Format auf Geschäftsleitungen zuschneiden.
Kein Technik-Overkill, kein Zertifikatszirkus, sondern verständliche Inhalte zu Risiken, Pflichten, Entscheidungen und Krisenabläufen. Das BSI stellt dafür bereits eine inhaltliche Orientierung bereit.
4. Nachweise und Wiederholung mitdenken.
Wer „regelmäßig“ schulen muss, sollte Termine, Inhalte und Teilnahme sauber dokumentieren. Denn sobald Aufsicht, Audit oder Prüfung anklopfen, ist „wir hatten da mal was in Q2“ kein belastbarer Prozess.
Das kleinere Übel
Cybersecurity ist kein Thema für Fachabteilungen, Admins oder externe Dienstleister. Das BSIG macht aus IT-Sicherheit endgültig ein Thema für die Geschäftsleitung.
Nicht, weil Geschäftsführer plötzlich Firewalls konfigurieren sollen ... Wenn ein Sicherheitsvorfall das Unternehmen lahmlegt, geht es um Entscheidungen, Verantwortung und Führung. Eben genau um das, was in der Geschäftsleitung zusammenläuft.
Die Pflicht zur regelmäßigen Schulung ist deshalb kein bürokratischer Nebenkriegsschauplatz, sondern ein ziemlich klares Signal: Wer ein Unternehmen führt, muss Cyberrisiken mitführen.
Und ganz ehrlich: Zwischen „Ich dachte, das macht die IT“ und „Wir haben das als Führungsaufgabe ernst genommen“ liegen im Ernstfall oft Millionen Euro, Nerven und eine Menge unangenehmer Fragen.
Da ist eine gute Schulung vermutlich die angenehmere Option. 😉
.png)
