Skip to main content

Cybersicherheitsverantwortung der Geschäftsleitung: § 38 NIS-2-Umsetzungsgesetz im Fokus

Die Umsetzung der NIS-2-Richtlinie in nationales Recht stellt Unternehmen und Einrichtungen vor neue Herausforderungen im Bereich der Cybersicherheit. Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen gemäß § 38 des NIS-2-Umsetzungsgesetzes umfassende Pflichten erfüllen.

Dieser Artikel beleuchtet die Kernpunkte der Billigungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen und bietet einen Action Plan, wie sich Geschäftsführer vor Haftungsrisiken schützen können.

Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen nach § 38 NIS-2-Umsetzungsgesetz

Billigung und Überwachung von Risikomanagementmaßnahmen

Gemäß § 38 Absatz 1 des NIS-2-Umsetzungsgesetzes sind Geschäftsleitungen verpflichtet, die Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und deren Umsetzung zu überwachen. Diese Maßnahmen basieren auf den Vorgaben des § 30 und sind entscheidend, um ein hohes Sicherheitsniveau zu gewährleisten. Auch wenn Hilfspersonen eingeschaltet werden, bleibt das Leitungsorgan letztverantwortlich. Diese Regelung setzt Artikel 20 Absatz 1 der NIS-2-Richtlinie um und stellt sicher, dass die Verantwortung nicht delegiert werden kann.

Die Billigung der Risikomanagementmaßnahmen bedeutet, dass die Geschäftsleitung aktiv die geplanten Sicherheitsmaßnahmen prüft und ihre Zustimmung erteilt. Die Überwachung umfasst die fortlaufende Kontrolle der Umsetzung und Wirksamkeit dieser Maßnahmen. Hierbei sind regelmäßige Berichte und Audits unerlässlich, um sicherzustellen, dass die Maßnahmen den aktuellen Bedrohungslagen angepasst sind und wirksam bleiben.


Unwirksamkeit von Verzicht und unverhältnismäßigen Vergleichen

Ein zentraler Aspekt des § 38 Absatz 2 ist die Unwirksamkeit des Verzichts auf Ersatzansprüche aufgrund einer Pflichtverletzung der Geschäftsleitung. Ein Vergleich, der in einem groben Missverhältnis zu den bestehenden Unsicherheiten über das Rechtsverhältnis steht, ist ebenfalls unwirksam, außer bei Zahlungsunfähigkeit oder im Rahmen eines Insolvenzplans. Diese Vorschrift dient der unionsrechtskonformen Ausfüllung des bestehenden Umsetzungsspielraums und verhindert, dass die Haftung der Geschäftsleitung auf unzulässige Weise eingeschränkt wird. Sie steht im Einklang mit den allgemeinen Grundsätzen der Binnenhaftung, wie sie beispielsweise in § 93 AktG geregelt sind.

Diese Regelung soll sicherstellen, dass Geschäftsleitungen ihre Pflichten ernst nehmen und die Cybersicherheitsrisiken nicht leichtfertig behandeln. Ein Verzicht auf Ersatzansprüche könnte dazu führen, dass notwendige Sicherheitsmaßnahmen vernachlässigt werden. Daher ist ein solcher Verzicht unzulässig, um die Wirksamkeit der NIS-2-Richtlinie zu gewährleisten.


Regelmäßige Schulungspflichten

Um den Anforderungen des § 38 Absatz 3 gerecht zu werden, müssen Geschäftsleitungen regelmäßig an Schulungen teilnehmen. Diese Schulungen sollen mindestens alle drei Jahre stattfinden und etwa vier Stunden dauern. Ziel ist es, ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zur Anwendung von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erwerben. Diese Pflicht erstreckt sich gemäß Artikel 20 Absatz 2 der NIS-2-Richtlinie auch auf alle Mitarbeitenden, was im nationalen Recht durch § 44 Absatz 1 BSIG-E sichergestellt wird. Für Einrichtungen der Bundesverwaltung gelten abweichende Regelungen gemäß § 43 Absatz 2.

Die Schulungspflichten sollen sicherstellen, dass Geschäftsleitungen und Mitarbeitende stets über die neuesten Entwicklungen und Bedrohungen im Bereich der Cybersicherheit informiert sind. Regelmäßige Fortbildungen tragen dazu bei, das Bewusstsein für Sicherheitsrisiken zu schärfen und effektive Maßnahmen zur Risikominimierung zu entwickeln.


Action Plan: Wie schützen sich Geschäftsführer vor Haftungsrisiken?

Verständnis und Compliance sicherstellen:

  • Anforderungen der NIS-2-Richtlinie und des Umsetzungsgesetzes kennen.
  • Compliance-Framework implementieren und regelmäßig überprüfen.

Risikomanagementmaßnahmen etablieren und billigen:

  • Umfassende Risikomanagementstrategien entwickeln und umsetzen.
  • Maßnahmen von der Geschäftsleitung prüfen und genehmigen lassen.
  • Regelmäßige Audits und Reviews durchführen.

Überwachung und Kontrolle:

  • System zur kontinuierlichen Überwachung der Cybersicherheitsmaßnahmen implementieren.
  • Regelmäßige Berichte von IT- und Sicherheitsabteilungen anfordern.
  • Externe Auditoren zur unabhängigen Überprüfung nutzen.

Krisenmanagementplan entwickeln:

  • Detaillierten Krisenmanagementplan für Cybersicherheitsvorfälle entwickeln.
  • Krisenmanagementplan regelmäßig durch Simulationen und Übungen testen.


Schulungen und D&O Versicherung

Schulungen und Weiterbildungen:

  • Regelmäßige Schulungen für Geschäftsleitung und Mitarbeiter organisieren.
  • Schulungen mindestens alle drei Jahre durchführen.
  • Teilnahme und Inhalte der Schulungen dokumentieren.

Dokumentation und Nachweisführung:

  • Entscheidungen, Genehmigungen und Überwachungsmaßnahmen schriftlich festhalten.
  • Umsetzung der Risikomanagementmaßnahmen und Auditergebnisse dokumentieren.
  • Schulungsunterlagen und Teilnahmenachweise aufbewahren.

Versicherungen prüfen und abschließen:

  • Bestehenden Versicherungsschutz, insbesondere D&O-Versicherungen, überprüfen.
  • Ggf. zusätzliche Versicherungen abschließen, um Haftungsrisiken abzudecken.


Action Plan im Detail

1. Verständnis und Compliance sicherstellen:

  • Mach dich mit den Anforderungen der NIS-2-Richtlinie und des NIS-2-Umsetzungsgesetzes vertraut.
  • Implementiere ein Compliance-Framework, das die gesetzlichen Anforderungen erfüllt und regelmäßig überprüft wird.

2. Risikomanagementmaßnahmen etablieren und billigen:

  • Entwickle und implementiere umfassende Risikomanagementstrategien im Bereich der Cybersicherheit.
  • Stelle sicher, dass alle Maßnahmen von der Geschäftsleitung geprüft und genehmigt werden.
  • Führe regelmäßige Audits und Reviews durch, um die Wirksamkeit der Maßnahmen zu gewährleisten.

3. Überwachung und Kontrolle:

  • Implementiere ein System zur kontinuierlichen Überwachung der Cybersicherheitsmaßnahmen.
  • Fordere regelmäßige Berichte von IT- und Sicherheitsabteilungen an.
  • Nutze externe Auditoren, um die Effektivität der Sicherheitsmaßnahmen unabhängig überprüfen zu lassen.

4. Schulungen und Weiterbildungen:

  • Organisiere regelmäßige Schulungen für die Geschäftsleitung und alle relevanten Mitarbeitenden.
  • Stelle sicher, dass die Schulungen alle drei Jahre und bei Bedarf häufiger stattfinden.
  • Dokumentiere die Teilnahme und Inhalte der Schulungen zur Nachweisführung.

5. Dokumentation und Nachweisführung:

  • Halte alle Entscheidungen, Genehmigungen und Überwachungsmaßnahmen schriftlich fest.
  • Dokumentiere die Umsetzung der Risikomanagementmaßnahmen und die Ergebnisse der Audits.
  • Bewahre Schulungsunterlagen und Nachweise über die Teilnahme auf.

6. Versicherungen prüfen und abschließen:

  • Überprüfe den bestehenden Versicherungsschutz, insbesondere D&O-Versicherungen (Directors and Officers Liability Insurance).
  • Schließe ggf. zusätzliche Versicherungen ab, um Haftungsrisiken abzudecken.

7. Rechtliche Beratung einholen:

  • Konsultiere regelmäßig rechtliche Berater, um sicherzustellen, dass alle Maßnahmen den aktuellen gesetzlichen Anforderungen entsprechen.
  • Nutze die Expertise von Fachanwälten für IT- und Cybersicherheitsrecht.

8. Krisenmanagementplan entwickeln:

  • Entwickle einen detaillierten Krisenmanagementplan, der Schritte zur Bewältigung von Cybersicherheitsvorfällen enthält.
  • Teste den Krisenmanagementplan regelmäßig durch Simulationen und Übungen.

Durch die konsequente Umsetzung dieses Action Plans können Geschäftsleitungen ihre Organisationen bestmöglich gegen Cyberbedrohungen schützen und gleichzeitig den gesetzlichen Anforderungen der NIS-2-Richtlinie gerecht werden.


Fazit

Die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungsgesetz bringt erhebliche Verantwortlichkeiten für die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen mit sich. Die Pflichten zur Billigung und Überwachung von Risikomanagementmaßnahmen sowie die regelmäßigen Schulungspflichten sind essenziell, um ein hohes Cybersicherheitsniveau zu gewährleisten und den gesetzlichen Anforderungen gerecht zu werden. Ein klarer Action Plan hilft Geschäftsführern, ihre Pflichten effektiv zu erfüllen und Haftungsrisiken zu minimieren. Durch die konsequente Umsetzung dieser Maßnahmen können Geschäftsleitungen sicherstellen, dass ihre Organisationen bestmöglich gegen Cyberbedrohungen geschützt sind.


Umsetzung der NIS-2-Richtlinie für Führungskräfte

Zielgruppe:

  • C-Level Manager und Führungskräfte
  • Compliance-Officer, IT-Risikomanager, Informations-Sicherheitsbeauftragte (CISO)
  • Programm:

  • IKT-Risikomanagement implementieren: Erfahre, wie du die Anforderungen des IKT-Risikomanagements nach NIS-2 in deiner Organisation umsetzt. Lerne, wie du eine robuste Sicherheitsstrategie entwickelst.

  • IKT-Drittparteirisiken managen: Erfahre, wie du das Risiko von IKT-Drittanbietern managst. Gewährleiste die digitale Resilienz mit verlässlichen Drittanbieterbeziehungen.

  • NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Erhalte einen Überblick über die relevanten Gesetzesänderungen zu IKT-Risikomanagement und Vorfällen. Erfahre, wie du diese technischen Standards in dein Compliance-Framework integrierst, um eine gesetzeskonforme und sichere Betriebsführung zu gewährleisten.

  • mehr erfahren

09.15 bis 17.00
Online
Online

805 €

Zzgl. gesetzl. MwSt.
Zzgl. gesetzl. MwSt.

In deinem Seminar enthalten:

Die S+P Tool Box:

Vorträge als PDF

Für ein schnelles Nachschlagen und Auffrischen des Seminarinhalts bieten wir kompakte PDF-Dokumente zu den Vorträgen. Diese Unterlagen unterstützen dich dabei, das Erlernte jederzeit zu vertiefen und direkt in die Praxis umzusetzen.

NIS-2 Update-Leitfaden

Dieser Leitfaden hilft dir bei der Umsetzung der neuesten Änderungen und verschärften Anforderungen zur Stärkung der Cybersicherheit. 

NIS-2-Toolkit

In diesem Toolkit findest du die wichtigsten Tools, wie Leitfäden, Risk Asssessment und IT-Strategie zur Implementierung der NIS-2-Anforderungen. Es umfasst Best Practices und innovative Ansätze, die dir helfen, deine Compliance-Prozesse zu optimieren und zukunftssicher zu gestalten.

Case Study „Besonders wichtige Einrichtungen“

Untersucht, wie bspw. die Sektoren Energie, Gesundheit, Iinformationstechnik erfolgreich die Anforderungen des IKT-Risikomanagements  umgesetzt haben und bietet wertvolle Erkenntnisse für ähnlich gelagerte Fälle. Diese Fallstudie zeigt praxisnahe Lösungsansätze und Best Practices.

Case Study „Wichtige Einrichtungen“

Zeigt den Übergang von traditionellen IT-Governance-Prinzipien zur NIS-2-Regulierung bspw. bei Transport, Produktion, digitalen Diensten und liefert praktische Einblicke in die Anwendung der neuen IKT-Drittparteirisiko-Managementvorgaben.

Case Study „Zeta“

Betrachtet die Einführung zukunftsorientierter Compliance-Techniken bei Zeta und zeigt, wie das Unternehmen Resilienztests nutzt, um effizienter und sicherer zu arbeiten. Diese Fallstudie bietet dir Einblicke in innovative Ansätze und deren praktische Umsetzung im BCM.

Programm

Wie kannst du deine Organisation vor Cyberbedrohungen schützen und gleichzeitig den neuen gesetzlichen Anforderungen der NIS-2-Richtlinie gerecht werden? In diesem Seminar erhältst du einen umfassenden Überblick über die neuesten Entwicklungen und Anforderungen der NIS-2-Richtlinie. Du lernst praxisorientierte Ansätze zur Implementierung der Compliance-Anforderungen und zur Stärkung deiner IT-Sicherheitsstrategien.

Wir behandeln detailliert die wichtigsten Aspekte des IKT-Risikomanagements, einschließlich der Klassifizierung und Meldung von IKT-bezogenen Vorfällen, sowie die Durchführung von Resilienztests zur Sicherstellung der Systemsicherheit. Zudem erfährst du, wie du Risiken durch Drittanbieter managst und einen robusten Überwachungsrahmen für kritische IKT-Drittdienstleister entwickelst.

Durch praxisorientierte Beispiele und Fallstudien erhältst du wertvolle Einblicke in die praktische Umsetzung der NIS-2-Anforderungen, einschließlich der Integration technischer Standards in dein Compliance-Framework und der Entwicklung effektiver Strategien für den Informationsaustausch und das Krisenmanagement.

IKT-Risikomanagement und Vorfallmanagement

IKT-Risikomanagement: Erfahre, wie du die Anforderungen an Governance und IKT-Risikomanagement (Artikel 20, 21 NIS-2-Richtlinie) umsetzt, einschließlich Maßnahmen des NIS-2 Umsetzungsgesetzes (§§30, 31).

Vorfallmanagement: Lerne die Kriterien zur Klassifizierung und Berichterstattung von IKT-Vorfällen (Artikel 23 NIS-2-Richtlinie) kennen, einschließlich der Regelungen des NIS-2-Umsetzungsgesetzes (§32).

Dein Nutzen:

  • Praktische Tools für IKT-Risikomanagement.
  • Effektive Klassifizierung und Meldung von IKT-Vorfällen.

Digitale Resilienz und Drittparteirisiko

Resilienztests: Durchführung von Resilienztests und IS-Penetrationstests (Artikel 7 NIS-2-Richtlinie).

Drittparteirisiken: Management von IKT-Drittanbietern (Artikel 7 und 21, Regelungen des NIS-2-Umsetzungsgesetzes zur Supply-Chain).

Überwachungsrahmen: Überwachung kritischer IKT-Drittdienstleister (§30 Risikomanagement-Maßnahmen des NIS-2-Umsetzungsgesetzes).

Dein Nutzen:

  • Resilienz der IT-Systeme.
  • Management und Überwachung von Drittanbieterrisiken.

Business Continuity Management

Informationsaustausch und Krisenmanagement: Anforderungen und Durchführung von Cyberkrisen- und Notfallübungen (Artikel 1 NIS-2-Richtlinie).

Technische Standards: Integration von BSI 200-4 in das Compliance-Framework.

Dein Nutzen:

  • Verzahnung des BCM mit den Anforderungen des NIS-2-Umsetzungsgesetzes
  • Einhaltung technischer Standards und Überwachung von Drittanbietern.

Das könnte dich interessieren…

DORA-Compliance: Neueste Entwicklungen A26 -
DORA-Compliance: Neueste Entwicklungen

01.10.2024

Details Buchen
Online

805 €

Zzgl. gesetzl. MwSt.
Digitaler Datenschutz: Strategien für sicheren Umgang mit Daten N01 -
Digitaler Datenschutz: Strategien für sicheren Umgang mit Daten

02.09.2024

Details Buchen
Online

805 €

Zzgl. gesetzl. MwSt.
Dein Weg zum Top Information Security Officer A15 -
Dein Weg zum Top Information Security Officer

28.11.2024

Details Buchen
Online

805 €

Zzgl. gesetzl. MwSt.
Lehrgang Informationssicherheit und Notfall-Management Z20 -
Lehrgang Informationssicherheit und Notfall-Management

28.11. - 29.11.2024

Details Buchen
Online

1610 €

Zzgl. gesetzl. MwSt.
Umsetzung der NIS-2-Richtlinie für Führungskräfte A27 -
Umsetzung der NIS-2-Richtlinie für Führungskräfte

01.10.2024

Details Buchen
Online

805 €

Zzgl. gesetzl. MwSt.

Ziel des Seminars NIS-2: IKT-Risikomanagement implementieren

  • IKT-Risikomanagement implementieren: Erfahre, wie du die Anforderungen des IKT-Risikomanagements nach der NIS-2-Richtlinie in deiner Organisation umsetzt. Lerne, wie du eine robuste Sicherheitsstrategie entwickelst. Diese Strategien helfen dir, potenzielle Risiken frühzeitig zu erkennen und zu bewerten, um geeignete Maßnahmen zur Risikominimierung zu ergreifen​​.

  • IKT-Drittparteirisiken managen: Erfahre, wie du das Risiko von IKT-Drittanbietern managst. Nutze NIS-2 um eine sichere und verlässliche Drittanbieterbeziehung zu gewährleisten. Lerne, wie du durch effektives Risikomanagement die Beziehungen zu Drittanbietern kontrollierst und sicherstellst, dass alle Anforderungen an die IT-Sicherheit und Compliance eingehalten werden​​.

  • NIS-2 Umsetzungs- und Cybersicherheitsstärkungsgesetz: Erhalte einen Überblick über die relevanten gesetzlichen Änderungen. Erfahre, wie du diese in dein Compliance-Framework integrierst, um eine gesetzeskonforme und sichere Betriebsführung zu gewährleisten. 

Dein Nutzen:

  • Praktische Tools für IKT-Risikomanagement: Implementiere robuste Sicherheitsstrategien und erkenne potenzielle Risiken frühzeitig.
  • Effektives Management von Drittparteirisiken: Sichere und verlässliche Beziehungen zu IKT-Drittanbietern.
  • Integration der BSI Standards: Aufbau eines gesetzeskonformen Compliance-Frameworks für eine sichere Betriebsführung.

Zeig, was in dir steckt
Erhalte dein digitales S+P Badge & Zertifikat


Das Digitale Karriere-Zertifikat, auch bekannt als Digital Badge, ist eine moderne Form der Zertifizierung, die dir digital verliehen wird.

Mit diesem Badge kannst du einfach und effektiv in digitalen Netzwerken, auf deinem LinkedIn-Profil oder in deinem Lebenslauf zeigen, dass du proaktiv an deiner beruflichen Entwicklung arbeitest.

Digitales Badge und Zertifikate

FAQ – Was muss ich wissen?

Was ist das Ziel des S+P Seminars NIS-2?

Das Ziel unseres S+P Seminars zur Stärkung der Cybersicherheit besteht darin, umfassende Schulungen zu den Anforderungen dieses Gesetzes anzubieten. Du wirst praxisorientierte Ansätze zur Umsetzung der Compliance-Anforderungen sowie zur Stärkung deiner IT-Sicherheitsstrategien erhalten. So wirst du in die Lage versetzt, die gesetzlichen Vorgaben effizient zu erfüllen und gleichzeitig die operative Resilienz deines Unternehmens zu verbessern.

Welche Themen werden in den S+P Seminaren für NIS-2-Compliance behandelt?

Die Seminare decken IKT-Risikomanagement, Management von IKT-Drittparteirisiken und Regulierungs- und Durchführungsstandards ab. Du lernst, wie du diese Anforderungen effektiv in deiner Organisation umsetzt und integrierst.

Für wen sind die Seminare für NIS-2-Compliance geeignet?

Die Seminare sind ideal für C-Level Manager, Compliance-Officer, IT-Sicherheitsbeauftragte und Führungskräfte in Sektoren mit wichtigen und besonder wichtigen Einrichtungen. Sie richten sich an Fachleute, die ihre Kenntnisse in der digitalen operationellen Resilienz vertiefen möchten.

Wie kann ich mich für ein S+P Seminar anmelden?

Die Anmeldung für unsere S+P Seminare erfolgt schnell und unkompliziert über unsere Website. Dort findest du alle notwendigen Informationen und kannst direkt deinen Platz reservieren.

Was ist die S+P Tool Box und welche Vorteile bietet sie den Teilnehmern der Seminare?

Die S+P Tool Box enthält hilfreiche Ressourcen wie PDF-Vorträge, Compliance Update-Leitfäden und Fallstudien. Diese Werkzeuge unterstützen dich dabei, das Erlernte praktisch anzuwenden und deine Compliance-Strategien zu optimieren.


Welche neuen Anforderungen und Pflichten bringt die NIS-2-Richtlinie für Unternehmen und Einrichtungen mit sich?

Im Rahmen dieses Seminars wirst du einen umfassenden Überblick über die neuen Anforderungen und Pflichten erhalten, die durch die NIS-2-Richtlinie eingeführt wurden. Dazu gehören erweiterte Sicherheitsanforderungen, ein dreistufiges Meldesystem für Vorfälle und spezifische Maßnahmen zur Stärkung der Cybersicherheit.

Du lernst, wie diese neuen Regelungen in deinem Unternehmen oder deiner Einrichtung umgesetzt werden müssen und welche organisatorischen Anpassungen notwendig sind, um den Compliance-Anforderungen gerecht zu werden.


Wie wirken sich die NIS-2-Anforderungen auf das Risikomanagement und die IT-Sicherheitsstrategien aus?

Ein zentraler Bestandteil des Seminars ist die Vermittlung, wie die NIS-2-Anforderungen das bestehende Risikomanagement und die IT-Sicherheitsstrategien beeinflussen. Du wirst lernen, wie du deine aktuellen Sicherheitsprozesse an die neuen gesetzlichen Vorgaben anpasst und welche Schritte notwendig sind, um ein hohes Cybersicherheitsniveau zu erreichen.

Durch praxisorientierte Ansätze und Fallstudien erfährst du, wie du potenzielle Risiken frühzeitig erkennen, bewerten und minimieren kannst.


Welche Schritte müssen Geschäftsleitungen unternehmen, um ihrer Billigungs-, Überwachungs- und Schulungspflicht nach § 38 des NIS-2-Umsetzungsgesetzes nachzukommen?

Das Seminar bietet dir detaillierte Informationen darüber, welche spezifischen Pflichten Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen gemäß § 38 des NIS-2-Umsetzungsgesetzes haben. Du wirst lernen, wie du die erforderlichen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und überwachen kannst.

Zudem wird erläutert, wie regelmäßige Schulungen für die Geschäftsleitung und Mitarbeiter durchgeführt werden müssen, um die notwendigen Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zur Anwendung von Risikomanagementpraktiken zu erwerben.

Diese Schulungen, die alle drei Jahre stattfinden und etwa vier Stunden dauern müssen, sind ein wesentlicher Bestandteil der Compliance mit der NIS-2-Richtlinie.