NIS-2-Geschäftsleiterschulung

Mit Inkrafttreten des NIS‑2‑Umsetzungsgesetzes am 6. Dezember 2025 entstand für zahlreiche Unternehmen unmittelbarer Handlungsbedarf. § 38 Absatz 3 des BSI‑Gesetzes (BSIG) verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen dazu, regelmäßig an Schulungen teilzunehmen. 

Diese Schulungen sollen sicherstellen, dass Führungskräfte Risiken und Risikomanagementpraktiken im Bereich der IT‑Sicherheit erkennen, bewerten und die Auswirkungen möglicher Vorfälle auf ihre Dienstleistungen einschätzen können.

Der Lebensmittelsektor – einschließlich Produktion, Verarbeitung und Vertrieb – ist in Anlage 2 des BSIG ausdrücklich als kritischer Bereich genannt. Damit betrifft die Schulungspflicht auch zahlreiche Mitgliedsunternehmen des BDSI im Süßwarensektor.

Vor diesem Hintergrund war die Durchführung einer NIS‑2‑Geschäftsleiterschulung der notwendige und logische nächste Schritt: Sie dient dazu, die gesetzlichen Anforderungen des BSIG umzusetzen, Geschäftsleitungen auf ihre neue Verantwortung vorzubereiten und sie in die Lage zu versetzen, sichere und rechtskonforme Strukturen im Unternehmen zu gewährleisten.

Zum Weiterlesen klicken Sie bitte im Folgenden auf die jeweilige Fragestellung.

Mit dem NIS‑2‑Umsetzungsgesetz und den entsprechenden Regelungen im BSI‑Gesetz (§§ 30, 38 BSIG) wird IT‑Sicherheit nunmehr Teil der ordnungsgemäßen Geschäftsführung in den Unternehmen. Diese Pflicht ergänzt die allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten (§ 43 GmbHG, § 93 AktG), wonach die Unternehmensleitung für eine ordnungsgemäße Organisation und die Abwehr von Risiken verantwortlich ist.

Zentrale Anforderungen sind, die im Rahmen der Inhouse-Schulung adressiert wurden:

• Risikomanagementpflicht (§ 30 BSIG): Geschäftsleitungen müssen ein angemessenes IT‑Sicherheits‑ und Risikomanagement billigen, implementieren und überwachen.
• Schulungspflicht (§ 38 Abs. 3 BSIG): Leitungsorgane müssen regelmäßig an Schulungen teilnehmen, um Risiken und Maßnahmen im Bereich der IT‑Sicherheit einschätzen zu können.
• Datenschutzpflicht (Art. 32 DSGVO): Parallel besteht die Verpflichtung, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu gewährleisten.

Verstößt die Geschäftsleitung schuldhaft gegen ihre Organisations‑ oder Sorgfaltspflichten im Bereich der Informationssicherheit, haftet sie persönlich gegenüber dem Unternehmen (§ 43 GmbHG, § 93 AktG). Neben finanziellen Schäden aus Cybervorfällen drohen Bußgelder bei Verstößen gegen BSIG‑ oder DSGVO‑Vorgaben. Eine angemessene IT‑Sicherheitsorganisation dient daher zugleich der Haftungsvermeidung.

Die Inhouse‑Schulung bot den idealen Rahmen, um gesetzliche Pflichten, Sicherheitsanforderungen und konkrete Unternehmenspraxis miteinander zu verbinden. Sie sensibilisierte die Führungsebene für ihre zentrale Rolle in der Cyber‑Resilienz und leistete zugleich einen wertvollen Beitrag zur nachhaltigen IT‑Sicherheitskultur im Unternehmen.

Die Schulungsinhalte decken die Anforderungen der BSI-Handreichung zur NIS2-Geschäftsleitungsschulung ab, also von den rechtlichen Anforderungen (gesetzliche Vorgaben) über die Risikoanalyse zu den Risikomanagementmaßnahmen nebst den jeweiligen Auswirkungen, fokussiert auf die konkreten Risiken im Lebensmittelsektor sowie die Aufgaben der Leitungsebene.

Dazu war die Schulung in sechs Blöcke gegliedert:

• Ressourcen – Risikomanagement, Sicherheitslevel, Zuständigkeiten, Checklisten
• Trainieren – Know-how der rechtlichen Anforderungen, Aufgaben und Haftungsrisiken der Leitungsebene
• Awareness – Risikoanalyse, Standards (BSI IT-Grundschutz, ISO 27001, B3S), Gefährdungen für den Unternehmensbetrieb, Schulung der Belegschaft
• Notfallplan – Detecting, Reaktionsplanung, Folgen erfolgreicher Angriffe
• Umgang mit Behörden – Meldepflichten, Kommunikationsinhalte und -strategie
• Fragen und abschließende Diskussion

Inhaltlich umfasste die Schulung im Einzelnen u. a.:

• Konkrete Fallkonstellationen (Lösegeldzahlung bei Ransomware, Schwarzmarktkauf, unsichere Bedrohungslage)
• Risikoanalyse und BSI-Risikomatrix, Cyber Risiko Check
• Risikomanagementmaßnahmen: Konkrete Mindestmaßnahmen nach § 30 BSIG, Anforderungen nach BSI-Grundschutz und ISO 27001
• Dokumentationspflichten und Nachweisführung
• Choreographie der Notfallbewältigung (Sofortmaßnahmen, Forensik, Akteure, Schadensrisiken)
• Cyberversicherungen (D&O und Cyber-Police)

• Erfüllung der gesetzlichen Schulungspflicht nach § 38 Abs. 3 BSIG für die Geschäftsleitungen der Mitgliedsunternehmen.

• Vermittlung konkreter Handlungskompetenz: Checklisten für Risikomanagement, Zuständigkeitsverteilung, Budgetbereitstellung, Notfallplanung und Monitoring.

• Sensibilisierung für die persönlichen Haftungsrisiken auf zivil-, straf- und bußgeldrechtlicher Ebene.

• Praxisorientierte Einordnung der branchenspezifischen Besonderheiten der Lebensmittelindustrie (B3S, OT-Sicherheit, Heterogenität der Produktion). 

• Verständnis für die Zusammenhänge von BSIG/NIS-2, DSGVO und Geschäftsgeheimnisschutz als Compliance-Gesamtsystem in der IT-Sicherheit.

Ein wesentlicher Mehrwert der Inhouse‑Schulung lag in ihrer klaren Ausrichtung auf die spezifischen Anforderungen und Risiken des Süßwarensektors. Dadurch konnten branchentypische IT‑Sicherheitsrisiken, regulatorische Vorgaben und Prozessabläufe praxisnah behandelt werden. Die Inhalte ließen sich so direkt auf die Realität des Unternehmens übertragen und in konkrete Handlungsansätze für ein wirksames, sektorspezifisches Risikomanagement überführen.

• Der Lebensmittelsektor ist durch Anlage 2 BSIG ausdrücklich als Sektor wichtiger Einrichtungen erfasst (Produktion, Verarbeitung, Vertrieb) und die Schulung konnte gezielt auf diesen Adressatenkreis zugeschnitten werden.

• Der B3S Ernährungsindustrie als branchenspezifischer Sicherheitsstandard trägt der strukturellen und produktspezifischen Heterogenität der Lebensmittelproduktion Rechnung und wurde als Referenzrahmen in die Schulung einbezogen (mit kritischer Betrachtung, da er konkret nur für KRITIS-Unternehmen geschaffen ist und nicht für die „nur“ wichtigen Einrichtungen nach BSIG).

• Die Schulung adressierte die Besonderheiten des Lebensmittelsektors: Verzahnung IT/OT, Schutz der Konsumentengesundheit, Integrität der Lieferkette, branchenspezifische Bedrohungsszenarien (Chargenrückverfolgbarkeit, Qualitätskontrollausfall). Das war gerade im geschützten Inhouse-Rahmen so vertieft möglich.

• Das Inhouse-Format ermöglichte nicht nur die Behandlung branchenspezifischer Fragestellungen, sondern auch einen sehr intensiven Austausch, der bei vergleichbarer Anforderungslage nochmals besser möglich ist als in einem offenen Teilnehmerkreis mit Teilnehmenden diverser Sektoren.

• Die Schulung orientierte sich an den aktuellen BSI-Empfehlungen und berücksichtigte den konkreten Zeitpunkt nach Inkrafttreten des NIS-2-Umsetzungsgesetzes. Gerade für den Verband konnten wir nicht nur die spezifische Risikolage im Sektor (Süßwarenindustrie) berücksichtigen, sondern auch im Vorfeld in diversen Gesprächen klären, welche konkreten Praxisprobleme im Mitgliederkreis bei der Umsetzung von BSIG/NIS-2 bestehen.