Security- und Awareness-Schulungen für Mitarbeiter sind mittlerweile weit verbreitet und werden durch verschiedene Standards (ISO 27001, TISAX etc.) sowie gesetzliche Vorgaben gefordert. Die NIS-2-Richtlinie (EU 2022/2555) fordert dies ebenfalls, geht allerdings einen entscheidenden Schritt weiter und verlangt, dass auch Geschäftsleiter in den Themen Cybersicherheitsrisiken und Risikomanagementpraktiken geschult werden müssen. Auch wenn herkömmliche Awareness-Schulungen die Geschäftsleitung einbeziehen, werden diese speziellen Themen oft nicht abgedeckt.

Wer ist betroffen?

Betroffen von diesen Maßnahmen sind die Geschäftsleitungen von Organisationen. Dabei gibt es keinen Unterschied ob die Organisation von NIS2 als wichtige oder besonders wichtige Einrichtung eingestuft wurde. Geschäftsleitungen sind natürliche Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und Vertretung von Organisationen berufen sind. Diese Definition trifft streng genommen auf Geschäftsführer und Gesellschafter einer GmbH zu. Führungskräfte, Prokuristen oder leitende Angestellte fallen nicht darunter. Das BSI empfiehlt jedoch, auch Personen in quasi-äquivalenten Positionen zur Geschäftsführung zu schulen.

Wer darf die Schulung durchführen?

Die Schulung kann sowohl von externen Schulungsanbietern – wobei das Angebot derzeit noch begrenzt ist – als auch von internem Personal durchgeführt werden. Entscheidend ist, dass der Schulungsanbieter qualifiziert ist und über entsprechendes Know-how verfügt. Intern kommen beispielsweise IT-Sicherheitsbeauftragte oder Personen in Frage, die im GRC-Umfeld (Governance, Risk und Compliance) tätig sind.

Welcher Nachweis muss erbracht werden?

Die Schulungen sind zu dokumentieren. Dies umfasst die Teilnehmer, die Schulungsleitung, Datum, Dauer und behandelte Themen. Eine Prüfung, um das Wissen und die Fähigkeiten der Schulungsteilnehmer zu testen, ist nicht erforderlich. Die Dokumentation dient als Nachweis, falls eine Behörde die von NIS-2 betroffene Organisation prüft. Die Dokumentation sollte dementsprechend sorgfältig durchgeführt werden.

Intervall der Schulung

Im NIS-2-Umsetzungsgesetz wird kein explizites Intervall zur Durchführung der Schulung genannt. Allerdings wird in der Gesetzesbegründung der Begriff „regelmäßig" verwendet, welcher im Kontext der Vorschrift alle drei Jahre bedeutet. Es kann auch Umstände geben, die es erforderlich machen, Schulungen früher durchzuführen und vom 3-Jahres-Intervall abzuweichen. Dies kann unter anderem sein:

  • Personalwechsel in der Geschäftsleitung
  • Änderung von Geschäftsprozessen
  • Änderungen bei der Risikoexposition der Organisation

Inhalte der Geschäftsleitungsschulung

Im NIS-2-Umsetzungsgesetz, der Umsetzungsverordnung oder im BSIG stehen nur sehr begrenzte Informationen dazu, welche Inhalte durch diese Schulung abgedeckt werden sollen. Mittlerweile gibt es jedoch vom BSI detaillierte Empfehlungen, wie eine solche Schulung gestaltet werden kann. In diesem Abschnitt werden wir diese Inhalte thematisieren.

NIS2-Richtlinie

Die Geschäftsführung sollte einen fundierten Überblick zur NIS-2-Richtlinie erhalten. Dazu gehört der Grund, warum NIS-2 auf europäischer Ebene verabschiedet wurde, sowie die konkreten Inhalte von NIS-2, wie sie in Artikel 21 der NIS-2-Richtlinie (2022/2555) aufgeführt sind:

  • Risikoanalyse für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung des Betriebs (Backup, Krisenmanagement etc.)
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen beim Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
  • Konzepte für Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen
  • Konzepte für Verschlüsselung
  • Zugriffsmanagement
  • Multi-Faktor-Authentifizierung und Notfallkommunikation

Der Sinn hinter der NIS-2-Richtlinie ist es, die Cybersicherheit von Organisationen zu stärken und auf EU-Ebene einheitliche Anforderungen zu schaffen, um Wettbewerbsverzerrungen zu verhindern. NIS-2 erfasst Organisationen in 18 Sektoren – von kritischer Infrastruktur über digitale Dienste bis hin zu Lieferketten – die aufgrund ihrer Vernetzung und Bedeutung für Wirtschaft und Gesellschaft besonderen Cybersicherheitsanforderungen unterliegen.

Es muss verdeutlicht werden, dass entsprechende Maßnahmen ergriffen und dokumentiert werden müssen. Die Schulung sollte erklären, warum das Unternehmen von NIS-2 betroffen ist (Branche, Schwellenwerte), ob es als wichtige oder besonders wichtige Einrichtung eingestuft ist und was die Unterschiede dieser Einstufung bedeuten. Ebenfalls muss betont werden, mit welchen Sanktionen zu rechnen ist und dass Geschäftsführer bei Verstößen persönlich haften können.

Registrierungspflicht

Neben den Schulungs- und Meldepflichten müssen sich wichtige und besonders wichtige Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Die Geschäftsleitung muss sicherstellen, dass die Registrierung fristgerecht erfolgt und die Angaben vollständig sind. Zu den verpflichtenden Angaben gehören unter anderem Kontaktdaten, Informationen zur Geschäftsleitung, zur Art der erbrachten Dienste sowie zu den für die Cybersicherheit verantwortlichen Personen im Unternehmen.

Wichtig für die Geschäftsleitung ist zudem, dass die Registrierung kein einmaliger Vorgang ist. Ändern sich relevante Informationen – etwa durch einen Wechsel in der Geschäftsleitung, eine Änderung der Kontaktdaten oder der erbrachten Dienste – müssen diese Änderungen innerhalb festgelegter Fristen an das BSI übermittelt werden. Hierfür sollte ein interner Prozess etabliert werden, der sicherstellt, dass Aktualisierungen nicht vergessen werden.

Das BSI kann Einrichtungen auch von Amts wegen registrieren, wenn festgestellt wird, dass eine Einrichtung unter die NIS-2-Anforderungen fällt, sich aber nicht selbst registriert hat. In diesem Fall wird die Einrichtung entsprechend informiert.

Für bestimmte Sektoren gelten zudem besondere Registrierungspflichten. Dies betrifft insbesondere:

  • Betreiber kritischer Anlagen nach dem KRITIS-Dachgesetz, die zusätzliche Angaben machen müssen
  • Einrichtungen der Sektoren digitale Dienste und digitale Infrastrukturen, für die erweiterte Registrierungsanforderungen bestehen können

Versäumnisse bei der Registrierung oder das Unterlassen der Aktualisierung von Angaben können zu Sanktionen führen und die Handlungsfähigkeit der Organisation im Krisenfall einschränken. Die Geschäftsleitung sollte daher sicherstellen, dass klare Verantwortlichkeiten für die Registrierung und deren Pflege definiert sind.

Pflichten und Haftung der Geschäftsleitung

Die NIS-2-Richtlinie macht Cybersicherheit zur Chefsache. Nach § 38 BSIG-E trägt die Geschäftsleitung die persönliche Verantwortung für die Umsetzung und Überwachung der Risikomanagementmaßnahmen in ihrer Einrichtung.

Die Geschäftsleitung ist gesetzlich verpflichtet, die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen umzusetzen und deren Umsetzung aktiv zu überwachen. Sie muss sicherstellen, dass geeignete Maßnahmen ergriffen werden, sich regelmäßig berichten lassen und ausreichend Ressourcen (Budget, Personal, Know-how) bereitstellen. Eine reine Delegation an die IT-Abteilung reicht nicht aus.

Nach § 38 Abs. 2 BSIG haften Geschäftsleitungen, die ihre Pflichten verletzen, für schuldhaft verursachte Schäden nach den Regeln des Gesellschaftsrechts. Wenn die Geschäftsleitung ihre Pflichten fahrlässig oder vorsätzlich verletzt und dadurch ein Schaden entsteht, kann sie persönlich in Haftung genommen werden.

Bei Verstößen gegen die NIS-2-Anforderungen drohen empfindliche Sanktionen:

  • Besonders wichtige Einrichtungen: Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Geldbußen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Geschäftsleitung: Persönliche Haftung für schuldhaft verursachte Schäden, mögliche persönliche Bußgelder und Reputationsschäden

Meldung von Sicherheitsvorfällen

Die NIS-2-Richtlinie verlangt, dass erhebliche Sicherheitsvorfälle beim BSI gemeldet werden. Für die Geschäftsleitung ist dieses Thema aus mehreren Gründen entscheidend: Sie trägt die Verantwortung dafür, dass Meldeprozesse etabliert sind, im Ernstfall funktionieren und die gesetzlichen Fristen eingehalten werden. Versäumnisse können zu Sanktionen führen und das Vertrauen von Kunden und Partnern beschädigen. Zudem muss die Geschäftsleitung in der Lage sein, schnell zu entscheiden, ob ein Vorfall meldepflichtig ist und welche Eskalationsstufen aktiviert werden müssen.

Doch was genau gilt als “erheblich”? Die NIS-2-Umsetzungsverordnung definiert dies in Artikel 3 anhand mehrerer Kriterien.

Ein Sicherheitsvorfall ist erheblich, wenn mindestens eines der folgenden Szenarien zutrifft:

Finanzieller Schaden: Der Vorfall verursacht einen Verlust von mindestens 500.000 Euro oder 5 % des jährlichen Gesamtumsatzes (es gilt der niedrigere Wert).

Abfluss von Geschäftsgeheimnissen: Informationen sind dann Geschäftsgeheimnisse, wenn sie drei Voraussetzungen erfüllen: Sie sind weder vollständig noch in ihrer genauen Zusammensetzung öffentlich bekannt oder für Fachleute leicht zugänglich. Sie haben einen kommerziellen Wert, gerade weil sie geheim sind. Und der rechtmäßige Inhaber schützt sie mit angemessenen Geheimhaltungsmaßnahmen.

Gefahr für Leib und Leben: Der Vorfall hat den Tod oder eine schwere Gesundheitsschädigung einer Person verursacht oder könnte dies verursachen.

Erfolgreicher Cyberangriff: Es gab einen erfolgreichen, mutmaßlich böswilligen und unbefugten Zugriff auf Netz- und Informationssysteme, der schwerwiegende Betriebsstörungen verursachen kann.

Wiederkehrende Vorfälle: Auch kleinere Sicherheitsvorfälle werden erheblich, wenn sie innerhalb von sechs Monaten mindestens zweimal auftreten, dieselbe Ursache haben und zusammen einen Schaden von 500.000 Euro oder 5 % des Jahresumsatzes erreichen.

Für bestimmte Branchen – etwa Anbieter von Cloud Computing, Content Delivery Networks oder Rechenzentrumsbetreiber – gelten zusätzliche Definitionen erheblicher Sicherheitsvorfälle. Diese finden sich in den Artikeln 5 bis 14 der NIS-2-Umsetzungsverordnung.

Erhebliche Sicherheitsvorfälle müssen in drei zeitlich definierten Stufen an das BSI gemeldet werden. Die Geschäftsleitung muss sicherstellen, dass diese Prozesse dokumentiert, getestet und im Ernstfall auch unter Druck funktionieren:

  1. Frühmeldung (innerhalb von 24 Stunden): Spätestens 24 Stunden nachdem ein erheblicher Sicherheitsvorfall erkannt wurde oder der Verdacht besteht, muss eine Erstmeldung an das BSI erfolgen.
  2. Aktualisierte Meldung (innerhalb von 72 Stunden): Unverzüglich, spätestens jedoch 72 Stunden nach Kenntniserlangung, muss eine aktualisierte Meldung folgen. Diese sollte mindestens den Schweregrad, die Auswirkungen und – falls verfügbar – Kompromittierungsindikatoren enthalten.
  3. Abschlussbericht (innerhalb eines Monats): Spätestens nach einem Monat muss ein Abschlussbericht vorliegen, der eine ausführliche Beschreibung des Vorfalls, Schweregrad und Auswirkungen enthält. Zusätzlich muss angegeben werden, welche Ursache dem Sicherheitsvorfall zugrunde lag und welche Maßnahmen ergriffen wurden, um dies in Zukunft zu verhindern.

Das BSI kann jederzeit zusätzlich jederzeit einen aktualisierten Statusbericht anfordern. Zwischen den drei Hauptstufen sind auch Zwischen- und Fortschrittsmeldungen möglich. Wichtig für die Geschäftsleitung: Das BSI informiert Einrichtungen auch proaktiv über relevante Bedrohungen und gibt nach Meldungen Rückmeldungen – dieser Dialog sollte in die internen Prozesse eingebunden werden.

Risikomanagement

Ein zentraler Bestandteil der Geschäftsleiterschulung ist das Risikomanagement. Die Geschäftsführung muss verstehen, dass Risikomanagement ein systematischer Prozess zur Identifizierung, Bewertung und Steuerung von Risiken ist. Die Risikoanalyse ist essenziell, weil sie aufzeigt, wo potenzielle Risiken bestehen und wie kritisch diese sind. Eine Organisation kann mittels der Risikoanalyse gezielt Maßnahmen ergreifen, um die Auswirkungen zu mindern.

Entscheidend ist zudem das Verständnis, dass Risikomanagement kein einmaliger Vorgang ist, sondern ein kontinuierlicher Prozess, der regelmäßige Überprüfung und Anpassung erfordert. Es kann nötig sein, den Prozess im Detail an die aktuellen Bedürfnisse der Organisation anzupassen. Allerdings sollte der Prozess im Kern identisch bleiben, da sonst keine Vergleichbarkeit der Ergebnisse mit vorherigen Durchläufen besteht.

Es gibt verschiedene Frameworks wie ISO 27005, BSI Standard 200-3, COSO oder NIST RMF, die dabei helfen können, einen strukturierten Risikomanagementprozess im Unternehmen zu etablieren. Sollte ein solches Framework im Unternehmen eingesetzt werden, empfiehlt es sich, der Geschäftsführung diesen gelebten Prozess in der Praxis zu erläutern.

Unabhängig von den Frameworks besteht ein Risikomanagementprozess mindestens aus den Kernelementen: Risikoidentifikation, Risikoanalyse, Risikobehandlung und Risikoüberwachung. Die Geschäftsführung sollte grundlegendes Wissen über diese Kernelemente aufweisen können.

Risikoidentifikation

Geschäftsführer müssen verstehen, wie Risiken erkannt und identifiziert werden können. Dabei geht es bei Risiken meist um Ereignisse, welche primär die Verfügbarkeit, Integrität und Vertraulichkeit von Daten, Services oder Geschäftsprozessen beeinflussen. Mittlerweile werden Risiken nicht mehr nur als negative Ereignisse gesehen, sondern auch als Chancen, die positiv genutzt werden können.

Risiken können beispielsweise mittels Assets identifiziert werden. Assets können hierbei sowohl physische, digitale, menschliche, prozessuale als auch immaterielle Werte der Organisation sein. Hierfür müssen sich die Organisationen jedoch bewusst sein, welche Assets vorhanden sind, was ein Asset-Management zur Dokumentation und Pflege voraussetzt.

Alternativ können Risiken auch ereignisbasiert ermittelt werden. Hierbei wird ein Ereignis (Brand, Sicherheitsvorfall, Ausfall eines Dienstleisters etc.) durchgespielt und analysiert, welche Auswirkungen dieses auf die Organisation hat. Frameworks können dabei helfen, potenzielle Risiken zu identifizieren. Das BSI stellt ebenfalls einen Gefährdungskatalog mit Beispielen bereit, welcher als Grundlage genutzt werden kann (https://www.bsi.bund.de/dok/10099762).

Risikobewertung

Die Bewertung von Risiken nach der Identifikation ist ein wichtiger Schritt, um die potenziellen Gefahren von Risiken einzuschätzen. Die möglichen Schadensarten sind vielfältig und reichen von finanziellen über reputative und betriebliche bis hin zu rechtlichen, technischen und personenbezogenen Schäden. Die Risikobewertung darf sich daher nicht nur auf technische Aspekte beschränken, sondern muss auch wirtschaftliche, rechtliche und reputative Folgen einbeziehen. Wichtig ist auch das Verständnis, dass nicht nur technische Risiken relevant sind – sogenannte “nicht-technische Risiken” durch menschliches Fehlverhalten, Lieferkettenprobleme oder organisatorische Schwächen müssen ebenfalls berücksichtigt werden.

Risiken werden meist nach verschiedenen Faktoren bewertet. Die verbreitetsten sind Eintrittswahrscheinlichkeit und Schadensauswirkung. Oft wird eine numerische Skala verwendet oder schlicht eine Einteilung nach gering, mittel oder hoch. Bei einer numerischen Skala können Eintrittswahrscheinlichkeit und Schadensauswirkung auch multipliziert werden – je höher die Zahl, desto kritischer das Risiko. Viele Frameworks empfehlen, Risiken auch in einer Matrix einzutragen. Zudem muss der Organisation bewusst sein, welche Risiken sie akzeptiert und ab wann sie handelt. Generell werden alle Risiken innerhalb dieser Toleranz ignoriert.

Die Bewertung von Risiken selbst kann oft nur subjektiv erfolgen. Es empfiehlt sich, die Bewertung im Team oder mit den notwendigen Stakeholdern durchzuführen, um unterschiedliche Sichtweisen abzudecken. Die grundsätzliche Frage, ab wann ein Risiko für eine Organisation kritisch ist oder ob Maßnahmen getroffen werden sollten, hängt nicht nur von den Schadensauswirkungen ab, sondern auch davon, wie risikofreudig eine Organisation ist und welche finanziellen oder sonstigen Schäden eine Organisation verkraften kann. Eine Organisation sollte sich bewusst werden, welche Risiken sie eingehen kann oder möchte.

Managen von Risiken

Die Geschäftsführung muss die Fähigkeit entwickeln, Risiken und geeignete Maßnahmen gemeinsam zu bewerten und daraus Handlungserfordernisse für die Dienstleistungserbringung abzuleiten. Dabei liegt der Fokus auf einem Management-Überblick und nicht auf tiefen technischen Details. Ein wesentlicher Bestandteil ist das Verständnis verschiedener Strategien zur Risikobehandlung: Vermeidung, Minderung, Übertragung und Akzeptanz. Für wichtige und besonders wichtige Einrichtungen sind die Strategien der Übertragung und Akzeptanz allerdings eher nicht akzeptabel.

Vermeidung: Das Risiko kann nur vermieden werden, wenn die mit dem Risiko verbundene Aktivität nicht ausgeführt wird. Minderung: Es werden Maßnahmen ergriffen, um die Eintrittswahrscheinlichkeit oder Schadensauswirkung zu mindern. Übertragung: Das Risiko wird auf eine andere Organisation übertragen, wie einen Dienstleister oder Versicherer. Akzeptanz: Die Organisation akzeptiert das Risiko und die verbundenen Schäden. Akzeptanz bedeutet aber nicht ignorieren, da man sich durch die Risikoanalyse der entsprechenden Auswirkungen bewusst ist.

Die Geschäftsführung sollte über alle in der Einrichtung bereits implementierten oder geplanten Risikomanagementmaßnahmen informiert sein und auch Alternativen kennen, um die Angemessenheit getroffener Entscheidungen besser einschätzen zu können. Dabei ist wichtig zu verstehen, dass technische und organisatorische Maßnahmen aufeinander abgestimmt und regelmäßig überprüft werden müssen. Alle Maßnahmen müssen den Stand der Technik einhalten und verhältnismäßig sein. Die Geschäftsleitung und das Management müssen zudem dafür sorgen, dass genug Ressourcen (Personal, Wissen, Budget) für das Umsetzen der Maßnahmen verfügbar sind.

Ein weiterer wichtiger Aspekt ist die Fähigkeit, einzuschätzen, wie sich technische und organisatorische Maßnahmen auf Geschäftsprozesse, Ressourcenbedarf und die Resilienz der Einrichtung auswirken. Die Geschäftsführung sollte mit typischen Zielkonflikten im Risikomanagement vertraut sein – beispielsweise zwischen Sicherheit und Wirtschaftlichkeit – um fundierte Entscheidungen treffen zu können. Dabei darf nicht vergessen werden, dass alle Maßnahmen dokumentiert, nachvollziehbar begründet und kontinuierlich weiterentwickelt werden müssen.

Risikoüberwachung

Bei der Risikoüberwachung geht es um das kontinuierliche Monitoring, ob die gewählten Maßnahmen für das Risiko angemessen sind und die gewünschte Wirkung zeigen. Die Geschäftsführung muss sicherstellen, dass Mechanismen existieren, um die Wirksamkeit von Risikomanagementmaßnahmen zu bewerten.

Dazu gehört die Definition von Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs), die regelmäßig erhoben und bewertet werden. Beispiele können sein: Zeit bis zur Erkennung eines Vorfalls, Zeit bis zur Reaktion, Anzahl offener Schwachstellen oder Verfügbarkeit kritischer Systeme. Diese Kennzahlen sollten regelmäßig der Geschäftsführung berichtet und diskutiert werden.

Die Überwachung umfasst auch die regelmäßige Überprüfung, ob sich die Risikolandschaft verändert hat – etwa durch neue Bedrohungen, geänderte Geschäftsprozesse oder technologische Entwicklungen. Wenn sich Risiken verändern oder neue Risiken entstehen, muss der Risikomanagementprozess entsprechend angepasst werden.

Zudem kann die Wirksamkeit durch interne oder externe Audits überprüft werden. Die Ergebnisse dieser Überprüfungen müssen in den kontinuierlichen Verbesserungsprozess einfließen und gegebenenfalls zu Anpassungen der Maßnahmen führen.