NIS2: Schulungspflicht für Geschäftsleitungen

Inhaltsverzeichnis

Um ein sicheres Miteinander im Cyberraum auch in Zukunft zu gewährleisten, hat die EU 2022 die Cybersicherheitsvorgaben der NIS2-Richtlinie 2022/2555 verabschiedet. Die EU-Mitgliedsstaaten hatten bis zum 17. Oktober 2024 Zeit, die Richtlinie in nationale Gesetzgebung zu überführen.

Deutschland hat hierzu am 2. Oktober 2024 einen Gesetzesentwurf der Bundesregierung für ein NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG, veröffentlicht. Der Entwurf wurde jedoch nicht verabschiedet, da es zu viele Unstimmigkeiten gab und vor dem Zusammenbruch der Ampelkoalition kein Konsens möglich war. Da es aber eine verabschiedete EU-NIS2-Richtlinie gibt, gilt: Aufgeschoben ist nicht aufgehoben. Die Grundsätze der NIS2-Regulierung werden in jedem Fall deutsches Recht werden – voraussichtlich im Herbst 2025. Die Zeit bis dahin kann man konstruktiv als verlängerte Umsetzungszeit betrachten.

Mehr zu IT-Security

• Samba: Mehr Sicherheit mit Authentication Silos
• Security: Data Loss Prevention im Eigenbau
• Sicherheitskultur etablieren: Schutz vor dem Human Risk
• SOC 3.0: Transformation zur Resilienz
• Der Cyber Resilience Act und der Stand der Technik
• Vertrauenswürdige E-Mail: Spoofing-Schutz über DNS einrichten
• NIS2: Schulungspflicht für Geschäftsleitungen
• Interview: So können sich Nutzer und Firmen vor Phishing schützen
• Elektronische Schlösser für geregelte Zutrittskontrolle im Überblick
• So agieren Security Champions als Wächter der sicheren Software
• Smart-Home-Geräte sollen als Zeugen beim Einbruch aussagen
• IT-Sicherheit: Das Maximum bei der Umsetzung des IT-Grundschutzes herausholen
• Neues Computerstrafrecht: Mehr Schutz für Sicherheitsforscher
• Der EU Cyber Resilience Act: Was man wissen muss
•  Security: Top-Ten-Liste der Infrastrukturbedrohungen vorgestellt

iX-tract

• NIS2 verlangt, dass Geschäftsleitungen das nötige Know-how erwerben, um Risiken sowie Maßnahmen zum Risikomanagement hinsichtlich der IT-Sicherheit beurteilen zu können.
• Die Gesetzesbegründung zum Entwurf des deutschen NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) macht eine Reihe konkreter Vorgaben zum Umfang und Inhalt der Schulung.
• Auch wenn aufgrund der Neuwahlen die Verabschiedung des NIS2UmsuCG bis Herbst dauern dürfte, sollten sich Geschäftsleitungen schon jetzt mit Risiken für die Informationssicherheit ihrer Organisationen beschäftigen. Dabei können sie sich an den vorliegenden Entwürfen orientieren.

Schulungspflicht für Geschäftsleitungen

Paragraf 38 Absatz 3 des NIS2UmsuCG gibt eine Schulungspflicht für Geschäftsleitungen von "besonders wichtigen und wichtigen Einrichtungen" vor, um den Anforderungen nach Satz (1) und (2) zur Umsetzungs- und Überwachungspflicht zu entsprechen: NIS2 nimmt erstmals die Geschäftsleitungen für Cybersicherheit in die Haftung.

Das war die Leseprobe unseres heise-Plus-Artikels "NIS2: Schulungspflicht für Geschäftsleitungen". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.