heise PlusAbo
Anzeige

NIS2: Schulungspflicht für Geschäftsleitungen in Sachen Cybersicherheit

Die NIS2-Gesetzgebung gibt Schulungen für Geschäftsleitungen vor. Ein Blick darauf, welchen Inhalt diese haben sollen und wie oft sie stattfinden müssen.

vorlesen Druckansicht 11 Kommentare lesen
offene Hand mit Sicherheitssymbol

(Bild: FON's Fasai/Shutterstock.com)

Lesezeit: 5 Min.
iX Magazin
Von
  • Manuel Atug
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Die Europäische Union hat Cybersicherheitsvorgaben im Rahmen der NIS2-Richtlinie EU 2022/2555 entwickelt und im Jahr 2022 verabschiedet, um das gemeinsame Miteinander im Cyberraum auch in Zukunft zu gewährleisten. Die EU-Mitgliedsstaaten hatten eine Frist bis zum 17. Oktober 2024, diese Richtlinie in nationale Gesetzgebung zu überführen.

Deutschland hat hierzu zuletzt einen Gesetzesentwurf der Bundesregierung als Drucksache 20/13184 vom 2. Oktober 2024 veröffentlicht, das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG. Der Entwurf wurde in dieser Legislaturperiode jedoch nicht verabschiedet, da es zu viele Unstimmigkeiten gab und die Politik bis zum Zusammenbruch der Ampelkoalition keinen Kompromiss mehr zustande brachte.

Weil es aber eine verabschiedete NIS2-Richtline der EU gibt, ist aufgeschoben nicht aufgehoben und die Grundsätze werden kommen. Voraussichtlich nicht vor dem Herbst, aber damit lässt sich die Zeit bis dahin konstruktiv als Umsetzungszeit betrachten. Eine der Pflichten, die es zu berücksichtigen gilt, ist die Schulungspflicht für Geschäftsleitungen.

Schulungspflicht für Geschäftsleitungen

In § 38 Absatz 3 BSIG-E im NIS2UmsuCG wird eine Schulungspflicht für Geschäftsleitungen von wichtigen und besonders wichtigen Einrichtungen vorgegeben, um den Anforderungen zur Umsetzungs- und Überwachungspflicht zu entsprechen. Demnach muss sich die Leitungsebene ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken in der IT-Sicherheit aneignen. Auch deren Auswirkungen auf die von der eigenen Einrichtung erbrachten Dienste soll sie beurteilen können. Diese Vorgaben sind für die Geschäftsleitungen von EU-relevanten Einrichtungen sinnvoll und angemessen.

Zu diesen besonders wichtigen Einrichtungen zählen die bereits bekannten kritischen Infrastrukturen als Betreiber kritischer Anlagen. Als wichtige und besonders wichtige Einrichtungen gelten zukünftig, je nach Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme auch die Sektoren digitale Infrastruktur und Anbieter digitaler Dienste. Ebenfalls betroffen sind weitere Einrichtungen aus den Bereichen Energie, Transport und Verkehr, Finanzwesen, Gesundheit, sowie Wasser und Forschung, Abfallwirtschaft. Auch das verarbeitende Gewerbe sowie die Produktion und der Vertrieb von Lebensmitteln und Chemikalien fallen darunter.

Manuel Atug
Manuel Atug

Manuel "HonkHase" Atug ist Cyber-Sicherheitsexperte mit dem Schwerpunkt Schutz kritischer Infrastrukturen und als Berater und Prüfer tätig. Er ist Gründer und Sprecher der unabhängigen AG KRITIS.

Geschäftsleitung muss Risiken beurteilen können

Aber wie genau kann so eine Umsetzung aussehen und was genau ist zu tun? In der Gesetzesbegründung im Entwurf des NIS2UmsuCG wird auf den Umfang und die Regelmäßigkeit näher eingegangen, sodass sich diese als Handlungsanweisung heranziehen lässt. Hier wird dargelegt, dass die Regelmäßigkeit einer entsprechenden Schulung für Geschäftsleitungen gegeben ist, wenn diese alle drei Jahre angeboten wird. Was den Zeitaufwand angeht, geht aus einer weiteren Stelle der Gesetzesbegründung hervor, dass ein Umfang von vier Stunden anzusetzen ist.

Die Geschäftsleitung soll Risikomanagement im Bereich der Sicherheit in der Informationstechnik verstehen und Risiken beurteilen können. Dazu muss eine Geschäftsleitung zwar an anderer Stelle Awareness-Schulungen gegen Phishing oder CEO-Fraud erhalten, hier geht es aber um das Erlangen von methodischem Wissen zur Beurteilung im Rahmen eines funktionierenden Risikomanagements. Methodisches Wissen verändert sich nicht so schnell, aber viele Menschen können Risiken nicht angemessen beurteilen. Insofern ist die grundsätzliche Forderung sehr sinnvoll und der Zeitrahmen für die Regelmäßigkeit unbürokratisch und angemessen definiert.

Der wichtige Kern einer solchen Schulung ist und bleibt daher das Risikomanagement in der Informationssicherheit. Somit sollte sie dazu eine grundsätzliche Einführung enthalten. Weiterhin ist die Identifikation von IT-Sicherheitsrisiken essenziell, um zu verstehen, worum es geht. Anschließend gilt es, sich die Analyse der Risiken und deren nachgelagerte Bewertung vorzunehmen. Danach erfolgt die Behandlung von Risiken und zum Schluss die Überwachung des IT-Risikomanagements insgesamt. Schon steht das Methodenwissen und die Geschäftsführung kann Risiken geeignet und angemessen nachvollziehen und beurteilen.

Lesen Sie auch

Auch Geschäftsleitungen in der Bundesverwaltung verpflichtet

Für Geschäftsleitungen von Einrichtungen der Bundesverwaltung ergeben sich nach § 43 BSIG-E im NIS2UmsuCG zum Informationsmanagement ähnliche Vorgaben. Auch sie sollen etwa ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie über Risikomanagementpraktiken in der Informationssicherheit erlangen.

Allerdings liegt hier die Verantwortung für die Veranstaltung der Schulung an anderer Stelle. So verweist die Gesetzesbegründung des nicht verabschiedeten NIS2UmsuCG bei Geschäftsleitungen von Einrichtungen der Bundesverwaltung zunächst auf § 43 Absatz 2 im BSIG-E des NIS2UmsuCG. Dort wird ausgeführt, dass die Bundesakademie für öffentliche Verwaltung im Bundesinnenministerium die Schulungsangebote bereitstellt. Das ist der zentrale Fortbildungsdienstleister der Bundesverwaltung, der somit auch für die inhaltliche Ausarbeitung der Schulung verantwortlich ist. Folglich dürfte er geeignete und angemessene Angebote ins Portfolio nehmen, welche Geschäftsleitungen von Einrichtungen der Bundesverwaltung besuchen müssen.

Videos by heise

Solange die deutsche Umsetzung der europäischen NIS2-Richtlinie noch nicht verabschiedet ist und rechtliche Bindung hat, muss jede Geschäftsleitung selbst abwägen, ob und wann genau was umgesetzt wird. Das ist die unternehmerische Freiheit, aber eben auch die unternehmerische Verantwortung. Als vermeintlich wichtigster Punkt vorweg steht natürlich im Raum, noch keinen Aufwand für die Umsetzung der NIS2-Richtlinie zu betreiben, solange die gesetzlichen Vorgaben noch nicht stehen. Dem steht gegenüber, dass die Cyberschäden inzwischen Unsummen verschlingen und eine grundsätzliche Verantwortung bleibt, hier zu handeln und Vertrauen aufrecht zu halten. Kunden und Partner haben inzwischen kein Verständnis mehr, wenn Angriffe erfolgreich durchgeführt werden können, weil grundlegende Sicherheitsmaßnahmen nicht umgesetzt wurden.

iX-Konferenz zu NIS2
Vorschau iX-Konferenz zu NIS2

Manuel Atug, der Autor dieses Artikels, hält auch einen Vortrag auf der iX-Konferenz "NIS2 – was jetzt zu tun ist". Auf der Onlinekonferenz am 3. April erklären renommierte Experten und Expertinnen, welche Unternehmen von NIS2 betroffen sind, was genau NIS2 und das deutsche NIS2-Umsetzungsgesetz fordern und welche Maßnahmen mit welchen Fristen umzusetzen sind. Dabei ist viel Raum für die Fragen der Teilnehmenden.

Weitere Informationen und Anmeldung unter https://nis-2.heise.de

(sfe)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten