NIS-2 in der Praxis: Was § 38 BSIG von der Geschäftsleitung verlangt

Digitale Angriffe sind heute ein hohes Geschäftsrisiko. Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) hat der Gesetzgeber den Rahmen in Deutschland deutlich verschärft – und die Verantwortung klar an der Spitze verankert. Dreh- und Angelpunkt: § 38 BSIG. Er verpflichtet Mitglieder der Leitungsorgane wesentlich stärker als bisher, Cyber-Risikomanagement zu billigen, dessen Umsetzung zu veranlassen und zu überwachen – und sich regelmäßig zu schulen. Wer diese Pflichten ignoriert, riskiert persönliche Haftung.

In diesem Beitrag zeigen wir, was § 38 BSIG konkret fordert und wie sich die Anforderungen mit den übrigen Pflichten aus NIS-2 verzahnen. Zudem erhalten Sie pragmatische Hinweise, wie sich die gesetzlichen Vorgaben wirksam und nachweisbar in die Unternehmenspraxis überführen lassen.

Mit NIS-2 hat die EU vorgegeben, dass die Geschäftsleitung die Verantwortung für Cybersicherheit trägt (Art. 20 NIS-2). Deutschland hat dies in § 38 BSIG umgesetzt. Kurz gefasst:

• Absatz 1: Leitungsorgane müssen die Risikomanagement-Maßnahmen nach § 30 BSIG billigen, deren Umsetzung veranlassen und überwachen. „Die IT macht das schon“ reicht nicht mehr – es braucht sichtbares Management-Engagement und wirksame Governance-Prozesse.
• Absatz 2: Bei Pflichtverletzung droht Haftung gegenüber der Einrichtung nach den jeweils anwendbaren gesellschaftsrechtlichen Regeln (z. B. GmbHG/AktG). Delegation ist möglich, Letztverantwortung bleibt.
• Absatz 3: Mitglieder der Leitungsorgane müssen regelmäßig an Schulungen teilnehmen, um Risiken, geeignete Maßnahmen und Auswirkungen beurteilen zu können. Entscheidend ist Regelmäßigkeit, nicht ein einmaliges Format.

Die Pflichten gelten für „wichtige“ und „besonders wichtige“ Einrichtungen i. S. d. BSIG. Die Einordnung ergibt sich aus Branche und Größe (u. a. Mitarbeitendenzahl, Umsatz, Bilanzsumme). Auch mittelständische Unternehmen können damit in den Anwendungsbereich fallen – oft schneller als gedacht.

a) Billigen, umsetzen, überwachen (§ 38 Abs. 1 i. V. m. § 30 BSIG)

Das Leitungsorgan sorgt dafür, dass die Risikomanagement-Maßnahmen (z. B. Asset-Management, Zugangskontrolle, Incident-Handling, Business Continuity) angemessen definiert, mit Ressourcen hinterlegt und kontinuierlich überwacht werden.

Dazu gehören insbesondere die in § 30 Abs. 2 BSIG genannten Kernpflichten:

• Risikobewertung und -behandlung (Ermittlung und Bewertung von Risiken für Netz- und Informationssysteme)
• Sicherheitsstrategien und -richtlinien (Festlegung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen)
• Incident-Management und Reaktion (Erkennung, Behandlung und Nachverfolgung sicherheitsrelevanter Ereignisse)
• Business-Continuity und Krisenmanagement (Aufrechterhaltung und Wiederherstellung der Betriebsfähigkeit)
• Lieferketten- und Dienstleisterkontrolle (Sicherstellung von Sicherheitsanforderungen entlang der Wertschöpfungskette)
• Bewertung der Wirksamkeit getroffener Maßnahmen (z. B. Audits, Tests, Monitoring)

Darüber hinaus umfasst die Leitungspflicht u. a.:

• Strategische Zielvorgaben (Risikotoleranz, Schutzbedarfe, Prioritäten)
• Rollen & Entscheidungswege (CISO-Mandat, Berichtslinien zur Geschäftsleitung)
• Kennzahlen & Berichte (Wirksamkeit, Reifegrad, Audit-Erkenntnisse)
• Budget & Ressourcen (Menschen, Prozesse, Werkzeuge – inkl. Notfall-Reserven)

Kurz: GRC-Verankerung (Governance, Risk & Compliance) statt Einzelmaßnahmen.

b) Persönliche Haftung (§ 38 Abs. 2)

Missachten Mitglieder der Leitungsorgane ihre Pflichten, haften sie der Einrichtung – nach dem jeweils geltenden Gesellschaftsrecht. Für die Praxis heißt das: Dokumentation von Entscheidungen, Informationsflüssen und Kontrollen wird zum Schutzmechanismus.

c) Schulungspflicht (§ 38 Abs. 3)

Regelmäßige Management-Schulungen sind gesetzlich vorgegeben. Sie dienen dazu, Risiken, Maßnahmen und deren Geschäftsauswirkungen zu verstehen. Die Frequenz ist gesetzlich nicht fixiert; verbreitet sind Zyklen von 2–3 Jahren sowie anlassbezogene Auffrischungen (z. B. größere Vorfälle, Re-Organisation, neue Technologien).

§ 38 BSIG steht nicht isoliert, sondern bindet das Leitungshandeln an weitere Pflichten:

• § 30 BSIG – Risikomanagement: Mindestanforderungen an Cyber-Kontrollen und Prozesse; § 38 macht Vorstand/Geschäftsleitung zum Adressaten der Wirksamkeit.
• Meldepflichten (§ 32 BSIG): NIS-2 sieht ein dreistufiges Melderegime für erhebliche Vorfälle vor (u. a. Frühwarnung, Zwischen-/Abschlussbericht). Die Geschäftsleitung muss sicherstellen, dass Rollen, Workflows und Schwellenwerte festgelegt sind und greifen – inklusive Registrierung bei der zentralen Meldestelle.
• Registrierungs- und Nachweispflichten (§§ 33 ff. BSIG): Verantwortlich ist die Organisation – doch Governance-Versäumnisse treffen am Ende das Leitungsorgan, wenn § 38 nicht gelebt wird.

Bottom line: § 38 bringt Führung, Kontrolle und Qualifikation zusammen. Es reicht nicht, technische Maßnahmen „abzunicken“ – wirksame Umsetzung und eigene Befähigung sind Pflicht.

§ 38 BSIG verlangt, dass Mitglieder des Leitungsorgans Risiken, Maßnahmen und Auswirkungen der Cybersicherheit verstehen und ihre Pflichten wirksam erfüllen können. Daraus folgt ein strukturierter Qualifizierungsansatz, der – unabhängig vom Anbieter – drei Ebenen adressiert:

a) Grundlagenverständnis (Recht & Governance)

• Einordnung von NIS-2/NIS2UmsuCG ins deutsche Recht, Rollen der Aufsicht, Begriffsdefinitionen („wichtig“/„besonders wichtig“)
• Pflichten nach § 38 BSIG: Billigung, Umsetzung, Überwachung; Verhältnis zu § 30 BSIG (Risikomanagement)
• Delegation vs. Letztverantwortung: Aufgabenübertragung, Kontrollpflichten, Dokumentation

b) Operative Steuerung (Prozesse & Kontrollen)

• Kernbausteine eines IS-Risikomanagements: Schutzbedarfsfeststellung, Maßnahmenauswahl, Wirksamkeitskontrollen
• Incident-Management und Meldewesen: Auslösekriterien, Fristen, Rollen, Schnittstellen zu Kommunikation und Forensik
• Lieferketten- und Dienstleistersteuerung: Vertragsanforderungen, Audits, Nachweise

c) Management-Werkzeuge (Entscheiden & Nachweisen)

• Zielbilder, Risikoappetit und KPIs/KRIs: Übersetzung in das Geschäftssteuerungsmodell
• Board-Reporting: Kennzahlen, Ampellogik, Reifegrad und Priorisierung in Entscheidungs-Vorlagen
• Nachweisführung: Schulungs-, Beschluss- und Kontrollnachweise; Umgang mit Prüf- und Auskunftsersuchen

Format & Tiefe sollten an Branche, Größe, IT-Verbund und regulatorisches Umfeld angepasst werden. Bewährt haben sich kompakte Formate (z. B. Halbtags-Modul mit Fallarbeit) plus anlassbezogene Vertiefungen (Cloud-Migration, M&A, kritische Vorfälle).
Nachweise: Ein strukturierter Teilnahme- und Lernzielnachweis erleichtert die interne und externe Dokumentation zur Erfüllung von § 38 Abs. 3 BSIG.

Format & Tiefe sollten an Branche, Größe, IT-Verbund und regulatorisches Umfeld angepasst werden. Bewährt haben sich kompakte Formate (z. B. Halbtags-Modul mit Fallarbeit) plus anlassbezogene Vertiefungen (Cloud-Migration, M&A, kritische Vorfälle).
Nachweise: Ein strukturierter Teilnahme- und Lernzielnachweis erleichtert die interne und externe Dokumentation zur Erfüllung von § 38 Abs. 3 BSIG.

Damit Pflichten aus § 38 BSIG über ein bloßes „Abnicken“ hinausgehen, braucht es praxistaugliche Instrumente auf Leitungsebene:

Strategische Verankerung

• Risikoposition bestimmen: Welche Geschäfts-Assets sind kritisch? Welche Ausfall- und Haftungsfolgen sind wesentlich?
• Risk-Appetite formulieren: Toleranzbänder für Verfügbarkeit, Integrität, Vertraulichkeit; Verknüpfung mit Budget und Meilensteinen
• Priorisierung: Zuerst die größten Risikotreiber adressieren (z. B. Ransomware-Exposition, Identitäten/Privileged Access, Backups/BCM, EDR/SIEM)

Führung & Verantwortlichkeiten

• Rollen klären: CISO-Mandat, Eskalationswege, Krisen- und Meldeteam; Stellvertretungen definieren
• Delegation mit Kontrolle: Zielvereinbarungen, Kontinuität in der Berichterstattung, Vier-Augen-Prinzip bei kritischen Entscheidungen
• Kompetenzen sichern: Wiederkehrende Leitungsschulungen; gezielte Fortbildungen bei Technologie- oder Organisationswechseln

Messung & Reporting

• Kennzahlen: Zeit bis zur Detektion/Isolation, Patch-Zyklen für kritische Assets, MFA-Abdeckung, Wiederherstellungszeiten, Lieferanten-Risikostatus
• Wirksamkeitsprüfungen: Red-/Purple-Team-Ergebnisse, Audit-Findings, Lessons Learned – mit klaren Konsequenzen
• Board-geeignete Darstellung: Kompakt, risikoorientiert, entscheidungsfähig (Maßnahme, Aufwand, Rest-Risiko)

Melde- und Übungsroutine

• Playbooks mit Schwellenwerten und Fristen; Table-Top-Exercises mit Management-Beteiligung
• Vertragliche Anbindung Dritter: Melde-/Mitwirkungspflichten, Kontaktketten, technische Schnittstellen
• Dokumentation: Lückenlose Nachweise über Entscheidungen, Freigaben, Ausnahmen und deren Befristung

Kultur & Kontinuität

• Tone from the Top: Sicherheit als geschäftskritisches Thema, nicht als IT-Randnotiz
• Lernende Organisation: Fehlerkultur, strukturierte Post-Incident-Reviews, iterative Zielanpassungen

Diese Instrumente helfen, die gesetzlich geforderte Billigung, Umsetzung und Überwachung wirksam und nachvollziehbar zu erfüllen.

• „Die IT ist zuständig – wir sind raus.“
  Falsch. § 38 adressiert die Geschäftsleitung. Delegation entbindet nicht von Überwachung und Entscheidung.
• „Einmal schulen genügt.“
  Nein. Das Gesetz verlangt regelmäßige Schulung – also wiederkehrende Befähigung, angepasst an Risiken, Struktur und Technologieeinsatz.
• „Wir melden nur, wenn etwas brennt.“
  NIS-2 etabliert ein strukturiertes, fristgebundenes Meldesystem – das muss in Playbooks, Verträgen und Kommunikation vorkonfiguriert sein.
• „Wir sind zu klein, das betrifft uns nicht.“
  Viele mittelständische Unternehmen fallen als „wichtig“ in den Anwendungsbereich – und damit in die Leitungspflichten nach § 38. Früh prüfen!

Wenn Sie die Qualifizierung nach § 38 BSIG strukturiert angehen möchten: Wir bieten ein kompaktes Management-Format mit Teilnahmebescheinigung, die als Nachweis nach § 38 Abs. 3 NIS2UmsuCG dienen kann – online oder Inhouse.