NIS2: Wie die Geschäftsleitung gefährliche Ausreden erkennt
- Marc Borgers
- 4. Feb.
- 3 Min. Lesezeit
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (BSIG) ist die Schonfrist für die Chefetagen vorbei. Cybersicherheit ist keine rein technische Aufgabe der IT mehr, sondern eine direkte, haftungsrelevante Pflicht der Geschäftsleitung. Doch wie kann ein Geschäftsführer oder Vorstand beurteilen, ob das eigene Unternehmen sicher aufgestellt ist, ohne selbst IT-Experte zu sein?
Die BSI-Handreichung zur „NIS-2-Geschäftsleitungsschulung“ liefert hierzu ein spannendes Werkzeug: Die Leitfragen für Geschäftsleitungen. Dieses Modell definiert, was eine „hilfreiche Antwort“ von einer unzureichenden unterscheidet. Doch Vorsicht: Diese Leitfragen dürfen keinesfalls als bloße „Checkliste“ missverstanden werden. Es geht nicht um das mechanische Abhaken („Haben wir das? Ja.“), sondern um die Angemessenheit der Maßnahmen.
Vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem BSIG; Linkdatum: 04.02.2026
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-Geschaeftsleitungsschulung/NIS-2-Geschaeftsleitungsschulung_node.html
Das Dokument adressiert u. a. folgende Fragestellungen:
🔘 Wer muss sich schulen lassen?
🔘 Wie oft müssen die Schulungen durchgeführt werden?
🔘 Wer sollte Schulungen durchführen?
🔘 Was sollten die Schulungsinhalte sein?
🔘 Wie fügt sich die Schulungspflicht in die gesetzlichen Grundlagen aus § 38 BSIG ein?In diesem Artikel analysieren wir, wie Geschäftsleitungen die Qualität ihrer internen Sicherheitsberichte bewerten sollten, um ihrer Überwachungs- und Sorgfaltspflicht gerecht zu werden.
Der Paradigmenwechsel: Vom Vertrauen zur Validierung
Die Kernbotschaft ist eindeutig: Die Geschäftsleitung muss die Risikomanagementmaßnahmen nicht nur anordnen, sondern überwachen (§ 38 BSIG). Um dieser Pflicht nachzukommen, reicht blindes Vertrauen nicht aus. Antworten, die Verantwortung pauschal delegieren („Das erledigt die IT“), sind ein direktes Haftungsrisiko.
Eine „hilfreiche Antwort“ erfordert den Nachweis von drei Dingen:
Systematik: Prozesse sind nicht nur vorhanden, sondern dokumentiert.
Angemessenheit: Es wird begründet, warum die Maßnahme für das spezifische Risiko des Unternehmens geeignet ist.
Verantwortung: Die Geschäftsleitung ist in den Informationsfluss eingebunden.
Das Bewertungssystem: Qualität statt „Grüner Haken“
Basierend auf den Leitfragen des BSI lassen sich Antworten der Fachabteilungen bewerten. Wichtig hierbei: Eine „positive“ Antwort ist nur dann wertvoll, wenn sie eine Verhältnismäßigkeitsprüfung enthält.
1. Die „Hilfreiche Antwort“ (Der qualifizierte Nachweis)
Eine Antwort ist dann hilfreich, wenn sie prozessorientiert ist und die Eignung der Maßnahme belegt.
Beispiel Backup & Wiederherstellung: Es reicht nicht zu wissen, dass Backups gemacht werden. Eine hilfreiche Antwort bestätigt, dass die Strategie (z. B. „3-2-1-Prinzip“) zur Bedeutung der Daten passt und Wiederherstellungstests regelmäßig (z. B. quartalsweise) durchgeführt wurden, um die Ausfallzeiten im Ernstfall zu validieren.
Beispiel Risikomanagement: Eine gute Antwort belegt, dass Risiken (technisch und nicht-technisch, z. B. Lieferkette) analysiert wurden und die getroffenen Maßnahmen verhältnismäßig zum Risiko stehen. Die Ergebnisse fließen dokumentiert in das Informationssicherheitsmanagementsystem (ISMS) ein.
2. Warnsignale: Antworten, die Nachfragen erfordern (Red Flags)
Das BSI identifiziert Indikatoren für Risiken. Erhalten Sie solche Antworten, drohen Sorgfaltspflichtverletzungen.
Die „IT-Blackbox“: Aussagen wie „Das macht unsere IT, da haben wir keinen Überblick“ sind unter dem novellierten BSIG inakzeptabel. Die Überwachungspflicht ist nicht delegierbar.
Das Prinzip Hoffnung: Antworten wie „Wir vertrauen unseren Anbietern“ ohne vertragliche Fixierung von Sicherheitsstandards oder Audit-Rechte zeigen fehlende Kontrolle.
Fehlende Planung (Ad-hoc-Reaktion): Bei Sicherheitsvorfällen ist die Aussage „Wir reagieren im Einzelfall spontan“ ein Warnsignal. Ohne getesteten Incident-Response-Plan ist die Handlungsfähigkeit im Krisenfall nicht gesichert.
Warum diese Unterscheidung strategisch wichtig ist (Haftung!)
Die Bewertung dieser Antworten dient dem Selbstschutz der Geschäftsleitung. Hierbei ist eine juristische Feinheit entscheidend:
Legalitätspflicht (Kein Ermessen beim „Ob“): Die Einrichtung eines Risikomanagements ist gesetzlich vorgeschrieben. Ein Geschäftsführer kann sich nicht darauf berufen, dass er „unternehmerisch entschieden“ habe, keine Cybersicherheit zu betreiben. Hier greift die Business Judgment Rule nicht – ein Verstoß ist eine Pflichtverletzung.
Unternehmerisches Ermessen (Das „Wie“): Bei der konkreten Ausgestaltung der Maßnahmen haben Sie Spielraum. Aber: Sie müssen dokumentieren, warum Sie eine Maßnahme für angemessen und verhältnismäßighielten. Eine „hilfreiche Antwort“ liefert genau diese Argumentation.
Business Continuity: Wer sich mit der Aussage „Wiederherstellung? Haben wir noch nie getestet“ zufrieden gibt, riskiert im Ernstfall den Fortbestand des Unternehmens – und damit die eigene Position.
Fazit: Fragen Sie nach dem „Warum“ und „Wie“
Die BSI-Handreichung macht deutlich: Die Zeiten, in denen Cybersicherheit als reines Fachthema an die IT delegiert werden konnte, sind vorbei.
Nutzen Sie die Leitfragen nicht als starre Checkliste zum Abhaken. Nutzen Sie sie als Instrument, um die Substanz der Antworten zu prüfen. Geben Sie sich nicht mit „Das läuft schon“ zufrieden. Bestehen Sie auf den Nachweis, dass Maßnahmen dokumentiert, getestet und für Ihr individuelles Risikoprofil angemessen sind. Nur so erfüllen Sie die Anforderungen des BSIG rechtssicher.