Die Schulung der Leitungsorgane nach dem NISG 2026

Mit dem Inkrafttreten des NISG 2026 wird Cybersicherheit endgültig zur Chefsache. Erstmals richtet sich die gesetzliche Verantwortung nicht nur an IT-Abteilungen, sondern ausdrücklich an die oberste Unternehmensleitung. Ein zentraler Bestandteil dieser neuen Governance-Anforderungen ist die verpflichtende Schulung der Leitungsorgane.

Doch wer ist überhaupt ein Leitungsorgan – und was bedeutet diese Schulungspflicht konkret?

Wer ist ein Leitungsorgan im Sinne des NISG 2026?

Der Begriff des Leitungsorgans ist weit zu verstehen. Darunter fallen jene Personen oder Gremien, die für die Führung und Steuerung einer Organisation verantwortlich sind.

Typischerweise zählen dazu:

• Geschäftsführer einer GmbH
• Vorstände einer Aktiengesellschaft
• Mitglieder von Leitungs- oder Verwaltungsorganen
• unter Umständen auch Aufsichtsräte, sofern sie maßgeblichen Einfluss ausüben

Entscheidend ist nicht die Bezeichnung, sondern die tatsächliche Funktion: Wer die strategische Ausrichtung vorgibt, Entscheidungen trifft und Verantwortung für die Organisation trägt, wird als Leitungsorgan erfasst.

Damit rückt die Cybersicherheit auf die oberste Managementebene – weg von einer rein technischen Fragestellung hin zu einer zentralen unternehmerischen Verantwortung.

Verpflichtende Schulungen für Leitungsorgane

Das NISG 2026 verpflichtet Leitungsorgane ausdrücklich dazu, an speziell für sie konzipierten Cybersicherheitsschulungen teilzunehmen. Allgemeine Mitarbeiterschulungen sind hierfür nicht ausreichend.

Diese Schulungspflicht verfolgt ein klares Ziel: Leitungsorgane sollen in die Lage versetzt werden, ihre gesetzliche Verantwortung tatsächlich wahrnehmen zu können.

Die Rolle der Geschäftsleitung umfasst insbesondere:

• Genehmigung von Risikomanagementmaßnahmen
• Überwachung der Umsetzung von Sicherheitsmaßnahmen
• Bewertung von Cyberrisiken und deren Auswirkungen auf das Unternehmen

Ohne entsprechendes Verständnis für Cybersicherheit ist diese Verantwortung in der Praxis nicht erfüllbar. Genau hier setzt die gesetzlich geforderte Schulung an.

Warum die Schulungspflicht so wichtig ist

Die Einführung der Schulungspflicht ist kein formaler Selbstzweck. Sie ist Ausdruck eines grundlegenden Paradigmenwechsels:

Cybersicherheit wird nicht mehr als IT-Thema betrachtet, sondern als wesentlicher Bestandteil der Unternehmensführung.

Leitungsorgane müssen künftig:

• Risiken erkennen und bewerten können
• fundierte Entscheidungen über Sicherheitsmaßnahmen treffen
• die Umsetzung wirksam kontrollieren

Zugleich steigt die persönliche Verantwortung. Fehlentscheidungen oder mangelnde Kontrolle können zu erheblichen Haftungsrisiken führen.

Die Schulung schafft damit die notwendige Wissensbasis, um diese Verantwortung rechtssicher wahrnehmen zu können.

Mögliche Inhalte einer Schulung für Leitungsorgane

Das NISG 2026 macht keine starren Vorgaben zum genauen Schulungsinhalt. In der Praxis haben sich jedoch zentrale Themenbereiche herausgebildet, die zwingend abgedeckt werden sollten.

Grundlagen des NISG 2026 und der NIS-2-Richtlinie

• Überblick über den rechtlichen Rahmen
• Anwendungsbereich und betroffene Unternehmen
• Rolle der Cybersicherheitsbehörden
• zentrale Begriffe und Pflichten

Aufgaben und Verantwortung der Leitungsorgane

• Governance-Pflichten im Bereich Cybersicherheit
• persönliche Haftungsrisiken
• Abgrenzung zu IT- und Compliance-Funktionen
• Dokumentations- und Nachweispflichten

Risikomanagement und Sicherheitsmaßnahmen

• Aufbau eines wirksamen Risikomanagementsystems
• Bewertung von Cyberrisiken
• Auswahl und Steuerung geeigneter Schutzmaßnahmen
• Integration in bestehende Managementsysteme

Meldepflichten und Incident Response

• Umgang mit Sicherheitsvorfällen
• gesetzliche Meldepflichten und Fristen
• interne Abläufe im Ernstfall
• Kommunikation mit Behörden und Stakeholdern

Technische und organisatorische Grundlagen

• typische Cyberbedrohungen und Angriffsszenarien
• grundlegende Schutzmaßnahmen (z.B. Zugriffskontrollen, Monitoring)
• Zusammenarbeit mit IT- und Sicherheitsteams
• Bewertung der Angemessenheit von Maßnahmen

Aufbau eines Informationssicherheitsmanagementsystems

• Struktur und Funktionsweise eines ISMS
• Steuerung und Kontrolle durch das Leitungsorgan
• Audits und Nachweispflichten

Fazit: Cybersicherheit beginnt in der Geschäftsleitung

Das NISG 2026 bringt eine klare Botschaft: Cybersicherheit ist Führungsaufgabe. Leitungsorgane stehen nicht mehr am Rand, sondern im Zentrum der Verantwortung.

Die verpflichtende Schulung ist dabei ein entscheidender Schritt. Sie stellt sicher, dass Geschäftsführung und Vorstand die notwendigen Kenntnisse besitzen, um Risiken zu verstehen, Maßnahmen zu steuern und die Sicherheit des Unternehmens aktiv zu gestalten.

Unternehmen, die frühzeitig auf diese Anforderungen reagieren, schaffen nicht nur Rechtssicherheit – sondern stärken auch nachhaltig ihre Resilienz gegenüber Cyberbedrohungen.

‍