NIS-2-Geschäftsleitungsschulung

von

NIS-2-Geschäftsleitungsschulung

Das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG)“ verpflichtet Unternehmen die Geschäftsleitung mit den NIS-2-Grundlagen vertraut zu machen (§ 38 BSIG).

Das BSI hat hierzu eine Handreichung herausgegeben (Vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf), um hier entsprechende Hilfestellungen zu bieten.

1 Zweck der Schulung

Geschäftsleitungen „wichtiger“ und „besonders wichtiger“ Einrichtungen müssen regelmäßig an einer NIS‑2‑Schulung teilnehmen.  Ziel ist es, dass die Unternehmensleitung Risiken der Informationsverarbeitung versteht, geeignete Maßnahmen steuert und ihren Aufsichts‑ und Organisationspflichten nachkommt. Diese Verpflichtung richtet sich an Geschäftsführer, Vorstände und vergleichbare Leitungsorgane.

2 Intervall und Dauer

Es sind im BSIG keine konkreten Fristen zum notwendigen Intervall der Schulungen enthalten: „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ (§ 3 Abs. 3 BSIG).

Die Häufigkeit der beschriebenen Schulung muss angemessen und branchenspezifisch bestimmt und festgelegt werden. Zwischen 12 und 24 Monaten sind in der Praxis anwendbare Fristen.

Zur Dauer der Schulung wird in der BSI-Handreichung die in der Gesetzesbegründung enthaltenen vier Stunden angeführt. In der Praxis ist auch hier die Angemessenheit in Abhängigkeit von der aktueller Risikosituation des Unternehmens zu berücksichtigen.

3 Inhalte

Das BSI unterteilt die zu vermittelnde Inhalte zwischen „vorbereitende Inhalte“ und den sogenannten „Kerninhalten“, wobei hier zwischen SOLLEN und KANN unterschieden wird.

3.1 Vorbereitende Inhalte

  • Überblick NIS-2-Richtlinie
  • Umsetzung und Dokumentation von Risikomanagementmaßnahmen
  • Melde- und Unterrichtungspflichten
  • Registrierungspflicht und ggf. besondere Registrierungspflichten
  • Pflichten für Geschäftsleitungen

3.2 Kerninhalte

  • Risikoanalyse (Erkennung und Bewertung von Risiken)
  • Risikomanagementmaßnahmen
  • Auswirkungen von Risiken und Risikomanagementmaßnahmen

4 Nachweis der Geschäftsleistungsschulungen

Der Besuch der Schulung muss auf Nachfrage des BSI nachgewiesen werden. Die Dokumentation muss den Termin, die Dauer der Schulung beinhalten. Zudem sind die Inhalte der Schulungen nachzuweisen.

Unser Angebot

Wenn Sie Interesse an NIS-2 Geschäftsleitungsschulungen haben, so beraten wir Sie gerne bei der Ausgestaltung der Schulung in Form von spezifischen Inhalten oder in der Art der Durchführung. Präsenzschulungen vor Ort oder mittels Videokonferenz bzw. als E-Learning. Sprechen Sie mit uns, wir sind Ihnen gerne behilflich.