Startseite
BeLogical
cyber-security

NIS-2 Geschäftsführerhaftung: Was § 38 BSIG für Geschäftsführung und Vorstand konkret bedeutet

NIS-2 macht Cybersecurity zur Leitungspflicht: Umsetzen, überwachen, schulen – und nachweisen. Was § 38 BSIG praktisch verlangt.

Tobias Lehmann
Autor
Tobias Lehmann - Consultant DSGVO

übersetzt Compliance-Anforderungen in Code und Prozesse. Statt Paragraphen zu zitieren, zeigt er, was im Alltag wirklich funktioniert.

Key Takeaways
Passende Dienstleistung
SecureLogical Logo SecureLogical

Passende Dienstleistung fuer dieses Thema: SecureLogical

Inhalt

Management Summary: ## Die wichtigste Verschiebung: Cybersecurity ist jetzt Leitungsaufgabe mit Pflichtcharakter > § 38 BSIG verpflichtet Geschäftsleitungen, Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen – plus Schulungspflicht. „Das macht die IT” ist keine tragfähige Verteidigung. NIS-2 übersetzt eine längst operative Realität in Recht: Wenn digitale Abhängigkeiten den Betrieb tragen, dann ist

Die wichtigste Verschiebung: Cybersecurity ist jetzt Leitungsaufgabe mit Pflichtcharakter

Was ist NIS-2 Geschäftsführerhaftung? Die Definition für B2B

NIS-2 Geschäftsführerhaftung ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist NIS-2 Geschäftsführerhaftung essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

§ 38 BSIG verpflichtet Geschäftsleitungen, Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen – plus Schulungspflicht. „Das macht die IT” ist keine tragfähige Verteidigung.

NIS-2 übersetzt eine längst operative Realität in Recht: Wenn digitale Abhängigkeiten den Betrieb tragen, dann ist deren Resilienz Führungsaufgabe. In Deutschland ist das explizit im BSIG verankert – inklusive Umsetzungs-, Überwachungs- und Schulungspflicht der Geschäftsleitung (§ 38 BSIG).
Links: BSI-Handreichung Geschäftsleitungsschulung BSI, BSI-Presse „NIS-2-Umsetzungsgesetz in Kraft” BSI

Hinweis: Dieser Beitrag ist keine Rechtsberatung, sondern eine praxisnahe Einordnung für Organisation und Governance.

Was § 38 BSIG praktisch meint (ohne Juristen-Nebel)

1) „Umsetzen” heißt: Sie müssen das System herstellen – nicht nur freigeben

Geschäftsleitungen sind verpflichtet, die Risikomanagementmaßnahmen (vgl. § 30 BSIG) umzusetzen. Das bedeutet organisatorisch:

  • Zuständigkeiten und Ressourcen festlegen (CISO/IT/Security, aber mit Leitungssponsoring)
  • Prioritäten nach Kritikalität setzen (Kronjuwelen zuerst)
  • Wirksamkeit herstellen (nicht nur Policies)

2) „Überwachen” heißt: Regelmäßige Steuerung – mit Kennzahlen und Konsequenzen

Überwachung ist nicht „einmal im Jahr fragen, ob alles ok ist”. Überwachung ist:

  • Regelmäßige Lagebilder (monatlich/quarterly)
  • Entscheidungen dokumentieren (Risikoakzeptanz, Ausnahmen, Priorisierung)
  • Korrekturmaßnahmen verfolgen (Finding → Owner → Deadline → Closure)

3) „Schulungspflicht” heißt: Leitung muss Cyber-Risiken verstehen können

§ 38 Abs. 3 BSIG normiert eine Schulungspflicht für Geschäftsleitungen. Das BSI gibt dazu eine Handreichung, die als Orientierung für Inhalte und Ziele dient.
Link: BSI-Handreichung BSI

Die häufigste Fehlannahme: „Wir haben einen CISO – also sind wir raus”

Ein CISO kann operativ führen. Die Leitung bleibt trotzdem verantwortlich für:

  • Zielbild (Risk Appetite, Resilienzanforderungen)
  • Budget und Prioritäten (was wird wirklich umgesetzt?)
  • Nachweis (dass angemessen und wirksam gehandelt wurde)

In der Krise sind es ohnehin Managementfragen:

  • Schalten wir Systeme ab oder halten wir Produktion am Laufen?
  • Was melden wir wann – und wer unterschreibt?
  • Was sagen wir Kunden/Öffentlichkeit/Partnern?

Was Aufsicht und Prüfer in der Praxis sehen wollen: Nachweisfähigkeit statt PowerPoint

Wenn es hart wird, zählt nicht, ob Sie „ein Programm” haben, sondern ob Sie belastbare Nachweise liefern können.

Das „Board Evidence Pack” (Minimum)

  • Scope: Warum sind wir NIS-2-reguliert (Sektor/Größe/Gruppe)?
  • Kritische Dienste + RTO/RPO + Abhängigkeiten
  • § 30-Maßnahmenstatus (Ampel + Ausnahmen + Plan)
  • Incident-Response: letzte Übung, Lessons Learned, Verbesserungen
  • Backup/Restore: letzte Tests + Ergebnisse
  • Lieferkette: kritische Dienstleister + Anforderungen + Review-Protokolle
  • Schulungsnachweise der Leitung + Inhalte/Ziele

Typische rote Flaggen

  • Asset-Inventar unvollständig, „Shadow IT”, unbekannte Abhängigkeiten
  • Backups vorhanden, aber kein Restore-Test
  • IR-Plan existiert, aber keine Rollen/keine Übungen
  • Lieferantenrisiko = Fragebogen ohne Konsequenzen
  • Ausnahmen werden nicht begründet oder nicht befristet

Konkrete Governance: So machen Sie Leitungspflichten operativ

1) Cyber-Risiko als Teil des Unternehmensrisikomanagements

  • Cyber als Top-Risiko im Risikoportfolio
  • Abhängigkeit von IT/OT/Provider als Risiko treibend
  • Regelmäßige Reviews (mit echten Entscheidungen, nicht Reporting)

2) Ein Entscheidungs- und Eskalationsmodell (wer darf was im Incident?)

  • Shutdown/Segmentierung: klare Kompetenz
  • Notfallkommunikation: wenn Standardkanäle ausfallen
  • Juristisch/regulatorisch: Meldeprozess, Freigaben, Dokumentation

3) KPIs, die Führung ermöglichen (nicht „Security Vanity Metrics”)

  • MFA-Abdeckung (insb. Admin + Remote)
  • Patch-SLA für kritisch/high
  • Restore-Test-Quote (kritische Systeme)
  • Incident-Übungsstatus
  • Lieferanten: kritische Findings + Remediation-Quote

„Haftung” richtig verstehen: Es geht um Sorgfalt, Führung und Dokumentation

NIS-2 zielt nicht auf „perfekte Sicherheit”, sondern auf nachweisbare Sorgfalt und Wirksamkeit. In der Praxis wird entscheidend sein:

  • Haben Sie Risiken erkannt und bewertet?
  • Haben Sie angemessene Maßnahmen priorisiert und umgesetzt?
  • Haben Sie überwacht und nachgebessert?
  • Können Sie das nachweisen (Protokolle, Entscheidungen, Evidence)?

Das ist der Unterschied zwischen „unlucky incident” und „organisatorisches Versagen”.

30-Tage-Plan für Geschäftsführung/Vorstand: Was Sie morgen anstoßen können

  1. Scope bestätigen (NIS-2 betroffen ja/nein; welche Einheiten?)
  2. Kritische Dienste definieren (Top-10, RTO/RPO)
  3. Board Pack starten (monatliches Reporting + Entscheidungslog)
  4. Schulung terminieren (Inhalte, Ziele, Nachweis)
  5. Incident-Übung ansetzen (inkl. Meldefristen/Kommunikationsausfall)
  6. Backup/Restore-Test beauftragen (für Kronjuwelen binnen 30 Tagen)
  7. Lieferkette klassifizieren (kritische Provider/Managed Services zuerst)

FAQ: SERP-Fragen aus der Leitungsebene

„Was genau ist die Pflicht der Geschäftsleitung nach NIS-2?”

In Deutschland u. a. Umsetzen und Überwachen von Risikomanagementmaßnahmen sowie Schulungspflicht nach § 38 BSIG. Einstieg: BSI-Handreichung BSI

„Reicht es, einen Dienstleister zu beauftragen?”

Nein. Outsourcing reduziert nicht die Leitungsverantwortung. Sie müssen Steuerung, Überwachung und Nachweis organisieren.

„Was ist die beste Absicherung?”

Ein belastbares Governance- und Evidence-Modell: klare Zuständigkeiten, regelmäßige Reviews, dokumentierte Entscheidungen, getestete Wiederanlauf- und Incident-Prozesse.

Fazit: NIS-2 Geschäftsführerhaftung: Was § 38 BSIG für Geschäftsführung und Vorstand konkret bedeutet

Dieser Artikel beleuchtet die Facetten von NIS-2 Geschäftsführerhaftung: Was § 38 BSIG für Geschäftsführung und Vorstand konkret bedeutet. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.

Weiterführende Artikel

Fazit: Menschliche Expertise statt generischem KI-Content

In diesem Beitrag haben wir uns mit dem Thema ‘NIS-2 Geschäftsführerhaftung: Was § 38 BSIG für Geschäftsführung und Vorstand konkret bedeutet’ beschäftigt und die wichtigsten Aspekte für B2B-Unternehmen erläutert. Die Beispiele zeigen, dass generische KI-Content-Generatoren und automatisierte Prozesse ohne Qualitätskontrolle kein Ersatz für menschliche Expertise sind. In der Cyber‑Security verdeutlichen Studien, dass Mehrfach-Authentifizierung bis zu 99 % der automatisierten Hackerangriffe verhindern kann. Im SEO-Umfeld müssen Templates, strukturierte Daten und Validierungsregeln eingehalten werden, damit Programmatic SEO nicht zu Thin Content führt. Bei der Nutzung von KI müssen Datenschutz und DSGVO eingehalten werden; mehr Daten erhöhen nicht zwangsläufig die Qualität, sondern steigern das Risiko. Setzen Sie KI daher als Werkzeug ein, nicht als Ersatz für strategische Entscheidungen, und verlassen Sie sich auf menschliche Erfahrung, wenn es um Sicherheit, Content-Qualität und Compliance geht.

Cyber Security

Sicherheit für Ihr Unternehmen?

Wir schützen Systeme, Daten und Prozesse – von Risikoanalyse bis Maßnahmenplan.

Sicherheitscheck anfragen