NIS-2-Geschäftsleitungsschulung

Mit der NIS-2-Richtlinie wird Cybersicherheit ausdrücklich zur Führungsaufgabe erklärt. Geschäftsleitungen sind seit Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 gesetzlich verpflichtet, geeignete Risikomanagementmaßnahmen umzusetzen, deren Wirksamkeit zu überwachen und im Krisenfall fundierte Entscheidungen zu treffen. Die NIS-2-Geschäftsleitungsschulung unterstützt Führungskräfte dabei, diese Verantwortung rechtssicher wahrzunehmen und ihre Organisation strategisch auf die neuen Anforderungen auszurichten.

Warum die Teilnahme jetzt entscheidend ist

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 gelten die neuen Pflichten für betroffene Unternehmen und ihre Geschäftsleitungen unmittelbar und ohne Übergangsfrist. Geschäftsführungen und Vorstände sind seitdem verpflichtet, Risikomanagementmaßnahmen zu steuern, deren Umsetzung zu überwachen und im Krisenfall fundierte Entscheidungen zu treffen.

Zudem bestehen konkrete Registrierungs- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Sicherheitsvorfälle sind unverzüglich zu melden, einschließlich einer Erstmeldung innerhalb von 24 Stunden sowie weiterer Folgemeldungen innerhalb festgelegter Fristen. Eine unzureichende Befassung der Geschäftsleitung mit den NIS-2-Anforderungen kann erhebliche Haftungs-, Bußgeld- und Reputationsrisiken nach sich ziehen. Die NIS-2-Geschäftsleitungsschulung schafft die notwendige Orientierung und Entscheidungssicherheit, um diese Pflichten rechtssicher zu erfüllen.

Ziel der NIS-2-Geschäftsleitungsschulung ist es, Geschäftsleitungen alle Pflichten nach NIS-2 umfassend und gleichzeitig schnell zu vermitteln, und ihnen einen Leitfaden für deren Erfüllung an die Hand zu geben. Die Schulung schafft Entscheidungs- und Handlungssicherheit in einem Umfeld, das durch hohe regulatorische Anforderungen, Zeitdruck und persönliche Haftungsrisiken geprägt ist.
Nach der Schulung sind die Teilnehmenden in der Lage:

• ihre gesetzlichen Pflichten und Verantwortlichkeiten als Geschäftsleitung nach NIS-2 klar zu benennen
• persönliche Haftungs-, Bußgeld- und Reputationsrisiken realistisch zu bewerten
• zu entscheiden, welche organisatorischen und strategischen Maßnahmen erforderlich sind
• ihre Aufsichts- und Überwachungspflichten gegenüber IT, Compliance und Fachbereichen wirksam wahrzunehmen
• im Fall eines Sicherheitsvorfalls (z. B. Ransomware-Angriff) fundierte Managemententscheidungen zu treffen

Die Schulung vermittelt einen strukturierten Überblick über die gesetzlichen Anforderungen der NIS-2-Richtlinie und deren Bedeutung für die Geschäftsleitung. Behandelt werden insbesondere:

• Grundlagen der NIS-2-Richtlinie und des nationalen Umsetzungsgesetzes
• Pflichten der Geschäftsleitung, insbesondere im Bereich Risikomanagement und Überwachung (§ 30)
• Melde-, Unterrichtung- und Registrierungspflichten gegenüber Behörden
• Einordnung und Bewertung von Cyber- und Informationssicherheitsrisiken aus Managementsicht
• Rolle der Geschäftsleitung vor, während und nach Sicherheitsvorfällen
• Praxisnahe Entscheidungsbeispiele aus realistischen Krisenszenarien

Der Fokus liegt dabei konsequent auf der Führungs- und Entscheidungsebene – nicht auf der technischen Umsetzung.

Die NIS-2-Geschäftsleitungsschulung richtet sich an Führungskräfte von Organisationen, die unter die NIS-2-Regelungen fallen, insbesondere an wichtige und besonders wichtige Einrichtungen.
Angesprochen sind insbesondere:

• Geschäftsführungen, Vorstände und C-Level-Verantwortliche
• Leitungen von KRITIS-nahen sowie regulierten Unternehmen
• Compliance-, Legal- und Risikoverantwortliche mit Nachweis- und Berichtspflichten
• Führungskräfte, die einen fundierten, nicht-technischen Überblick über NIS-2 benötigen

Für die Teilnahme an der NIS-2-Geschäftsleitungsschulung sind keine fachlichen oder technischen Vorkenntnisse erforderlich. Die Schulung ist bewusst auf die Perspektive der Geschäftsleitung ausgerichtet und setzt kein IT- oder Informationssicherheitswissen voraus.

Schulungszeit: 9:00 - 13:00 Uhr
Dauer: 4 Stunden inkl. 15 Minuten Pause

Auf dem Programm stehen folgende Themen:

• Überblick zur NIS-2-Richtlinie und zum Umsetzungsgesetz
• Betroffenheit und Pflichten der Geschäftsleitung
• Persönliche Haftung, Bußgelder und Aufsichtspflichten
• Risikomanagement nach § 30: Steuerung und Überwachung
• Melde- und Registrierungspflichten
• Managemententscheidungen im Cyber-Krisenfall
• Praxisbeispiele und typische Entscheidungsfehler

Für die NIS-2-Geschäftsleitungsschulung ist keine Prüfung vorgesehen. Die Teilnehmenden erhalten im Anschluss eine Teilnahmebestätigung als Nachweis der absolvierten Schulung.

Wer muss an der NIS-2-Geschäftsleitungsschulung teilnehmen?
Die Schulung richtet sich an Geschäftsführungen, Vorstände und vergleichbare Leitungsorgane von wichtigen und besonders wichtigen Einrichtungen nach NIS-2. Die Verantwortung für Cybersicherheit ist gesetzlich ausdrücklich der Geschäftsleitung zugewiesen und kann nicht vollständig delegiert werden. Wer die Organisation leitet, muss die Anforderungen kennen und steuern können.

Ist die NIS-2-Schulung für Geschäftsführer gesetzlich vorgeschrieben?
Ja. Das NIS-2-Umsetzungsgesetz verpflichtet Geschäftsleitungen, über ausreichende Kenntnisse zu Cybersicherheitsrisiken und Risikomanagementmaßnahmen zu verfügen. Die Schulung dient dazu, diese gesetzlich geforderten Kenntnisse nachweisbar zu erwerben und die eigene Verantwortung rechtssicher wahrzunehmen.

Seit wann gelten die Pflichten für Geschäftsleitungen nach NIS-2?
Die Pflichten gelten seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025. Ab diesem Zeitpunkt müssen betroffene Geschäftsleitungen aktiv handeln. Eine Übergangsfrist ist nicht vorgesehen, sodass die Anforderungen unmittelbar gelten.

Bis wann müssen Geschäftsführer die Schulung absolvieren?
Das Gesetz nennt keine konkrete Frist, erwartet aber eine rechtzeitige Befassung der Geschäftsleitung. In der Praxis bedeutet das: Die Schulung sollte so früh wie möglich erfolgen, um Haftungsrisiken zu vermeiden und bei Prüfungen oder Sicherheitsvorfällen handlungsfähig zu sein.

Welche Haftungsrisiken bestehen für Geschäftsführer bei NIS-2?
Bei Verstößen drohen empfindliche Bußgelder, aufsichtsrechtliche Maßnahmen und persönliche Haftungsrisiken. Kann eine Geschäftsleitung nicht nachweisen, dass sie sich mit ihren Pflichten befasst und geeignete Maßnahmen gesteuert hat, kann dies als Pflichtverletzung gewertet werden.

Reicht es aus, wenn die IT oder der CISO geschult ist?
Nein. NIS-2 macht Cybersicherheit ausdrücklich zur Führungsaufgabe. Auch wenn operative Aufgaben delegiert werden, bleibt die Geschäftsleitung verantwortlich für Steuerung, Überwachung und Entscheidungen – insbesondere im Krisenfall.

Welche Meldepflichten bestehen nach NIS-2 gegenüber dem BSI?
Erhebliche Sicherheitsvorfälle müssen unverzüglich gemeldet werden, einschließlich einer Erstmeldung innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Entscheidungen betreffen regelmäßig die Geschäftsleitung und erfordern vorbereitete Entscheidungsfähigkeit.

Gibt es bei der NIS-2-Geschäftsleitungsschulung eine Prüfung?
Nein. Die Schulung schließt ohne Prüfung ab. Teilnehmende erhalten eine Teilnahmebestätigung, die als Nachweis der Befassung und Schulung der Geschäftsleitung dient.

Warum ist eine kompakte Schulung für Geschäftsleitungen sinnvoll?
Geschäftsleitungen müssen keine technischen Details beherrschen, aber Risiken, Pflichten und Entscheidungsoptionen verstehen. Die NIS-2-Geschäftsleitungsschulung vermittelt genau dieses Wissen in kompakter Form und mit minimalem Zeitaufwand.

Worin unterscheidet sich diese Schulung von einer NIS-2-Foundation-Schulung?
Die Geschäftsleitungsschulung fokussiert auf Verantwortung, Haftung und Entscheidungsfindung. Sie ist speziell für Geschäftsführer und Vorstände konzipiert und dauert nur vier Stunden. Die zweitägige NIS-2-Foundation-Schulung richtet sich an Fach- und Umsetzungsteams und geht stärker auf operative und technische Aspekte ein.