Frist abgelaufen: Die BSI-Registrierungsfrist endete am 6. März 2026. Schulungspflichten bestehen seit dem ersten Tag des Inkrafttretens – dem 6. Dezember 2025.
01 — Rechtslage Was § 38 BSIG konkret bedeutet
Am 5. Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung im Bundesgesetzblatt veröffentlicht und trat am Folgetag in Kraft – ohne jede Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen, ein Anstieg gegenüber den bislang regulierten 4.500 Organisationen.
Der Kern der neuen Pflichten liegt in § 38 BSIG. Er bildet gemeinsam mit § 30 BSIG eine geschlossene Verantwortungs- und Haftungskette, die drei Absätze umfasst.
§ 38 BSIG – Die geschlossene Haftungskette
| Regelung | Inhalt |
|---|---|
| ⚠ Abs. 1 – Umsetzungspflicht | Risikomanagementmaßnahmen nach § 30 BSIG umsetzen und deren Umsetzung aktiv überwachen |
| ⚠ Abs. 2 – Haftung | Bei schuldhafter Pflichtverletzung haftet die Geschäftsleitung persönlich mit dem Privatvermögen |
| ⚠ Abs. 2 Satz 3 – Kein Verzicht | Ein vertraglicher Haftungsverzicht ist gesetzlich ausgeschlossen |
| ⚠ Abs. 3 – Schulungspflicht | Regelmäßige Teilnahme – mindestens alle drei Jahre – an qualifizierten Schulungen |
| ⚠ Kein BJR-Schutz | Die Business Judgment Rule greift nicht – es handelt sich um gesetzliche Legalitätspflichten, nicht unternehmerisches Ermessen |
| ⚠ Darlegungslast | Im Streitfall muss der Geschäftsführer beweisen, dass er seine Pflichten erfüllt hat |
- 10 Mio.Euro Bußgeld für besonders wichtige Einrichtungenoder 2 % des weltweiten Jahresumsatzes
- 7 Mio.Euro Bußgeld für wichtige Einrichtungenoder 1,4 % des weltweiten Jahresumsatzes
- ≥ 3 J.SchulungsintervallMindeststandard gemäß Gesetzesbegründung
- § 61BSIG ermöglicht vorübergehendes Berufsverbot für Leitungsorgane
Wichtig zu verstehen: Diese Haftung unterscheidet sich fundamental von der bekannten Geschäftsführerhaftung nach GmbH- oder Aktienrecht. Sie ist weder delegierbar noch versicherungstechnisch vollständig absicherbar – D&O-Policen decken in der Regel keine vorsätzlichen Verstöße.
02 — Anforderungsprofil Warum IT-Wissen allein nicht mehr reicht
Das BSI stellt in seiner offiziellen Handreichung Version 0.9 (Stand: 30. September 2025) unmissverständlich klar: Geschäftsleitungen müssen technisch nicht so versiert sein wie IT-Spezialisten. Entscheidend ist die strategische Beurteilungsfähigkeit in drei Kerndimensionen.
Erkennung und Bewertung von Risiken – einschließlich physischer, menschlicher und organisatorischer Gefährdungen (BSI-Handreichung Kap. 2.2.1)
Kenntnis der gesetzlichen Mindestmaßnahmen nach § 30 Abs. 2 BSIG und ihrer betriebswirtschaftlichen Auswirkung (BSI-Handreichung Kap. 2.2.2)
Risiken als Geschäftsrisiken einordnen und haftungsrelevante Entscheidungen verantwortlich treffen (BSI-Handreichung Kap. 2.2.3)
Das BSI ist dabei explizit: Wer nur einen dieser drei Bereiche abdeckt, wird in Aufsichtsmaßnahmen als nicht ausreichend bewertet. Eine Schulung, die ausschließlich technische IT-Maßnahmen vermittelt, erfüllt die gesetzlichen Anforderungen nicht.
03 — Das Kernproblem Der Mensch als unterschätztes Sicherheitsrisiko
Technische Schutzmaßnahmen sind notwendig – aber nicht hinreichend. Das BSI schreibt ausdrücklich vor, dass das Risikomanagement auf einem gefahrenübergreifenden Ansatz beruhen muss, der explizit „nicht-technische Risiken wie menschliches Fehlverhalten“ einschließt.
83 % aller Unternehmen meldeten 2025 Insider-Angriffe – durch eigene Mitarbeiter, Freelancer oder Dienstleister. Social Engineering war das häufigste Einfallstor: 36 % aller untersuchten Vorfälle begannen mit der gezielten Manipulation von Menschen.
Global Incident Response Report 2025 / BSI-Lagebericht 2025In der Praxis scheitern Sicherheitskonzepte oft an einem biologischen Grundmechanismus: Unter massiver Bedrohung oder Nötigung schaltet das logische Denken zugunsten instinktiver Reflexe ab. Das gilt für Mitarbeitende – und für Führungskräfte gleichermaßen. Ohne gezieltes Training ist Ihre Compliance wertlos, wenn das Personal in einer kritischen Situation biologisch handlungsunfähig wird.
Genau hier setzt die Gladiator Mind-Methodik an: ein praxiserprobtes Trainingskonzept, das Stressphysiologie mit stoischer Führungskompetenz verbindet – und Führungskräfte befähigt, auch unter Druck klare und dokumentierbare Entscheidungen zu treffen.
04 — Praxisrealität Was passiert, wenn der Mensch zum Ziel wird
Die folgenden Zahlen aus deutschen Behörden und Wirtschaftsberichten zeigen: Das ist keine Theorie.
- 321 Sabotageverdachtsfälle registrierte das BKA 2025 gegen deutsche Infrastruktur. Mehrzahl menschlich initiiert.Zeit Online, 05.02.2026
- 45 % aller Social-Engineering-Angriffe umgingen MFA – durch Imitation internen Personals, ohne Malware.Unit-42-Bericht 2025
- 289 Mrd. Euro Wirtschaftsschaden durch Diebstahl, Spionage und Sabotage in Deutschland 2025.Bitkom Wirtschaftsschutz-Studie 2025
- 83 % aller Unternehmen meldeten Insider-Angriffe durch eigene Mitarbeiter oder Dienstleister.BSI-Lagebericht 2025
Der BSI-Lagebericht 2025 identifiziert unzufriedene oder suspendierte Mitarbeiter mit privilegierten Zugängen als besonders gefährlichen Angriffsvektor – sie kennen Prozesse, Schwachstellen und Umgehungsmethoden.
05 — BSI-Prüfstein Leitfrage 3.10: Der entscheidende Maßstab
„Wie üben wir als Geschäftsleitung den Umgang mit typischen Bedrohungslagen und Entscheidungssituationen, damit unsere Reaktions- und Beurteilungsfähigkeit realistisch getestet werden kann?“Bundesamt für Sicherheit in der Informationstechnik, September 2025 · www.bsi.bund.de
Das BSI begründet diese Leitfrage klar: Theoretisches Wissen allein reicht nicht. Erst durch Szenarien, interaktive Übungen und Fallstudien zeigt sich, ob Prozesse, Rollen und Schnittstellen im Ernstfall funktionieren. Diese Formate fördert das BSI ausdrücklich als ergänzende Schulungsinhalte nach Kapitel 2.3.2 seiner Handreichung.
Eine Schulung, die ausschließlich Rechtswissen vermittelt, aber die praktische Entscheidungsfähigkeit unter Stress nicht trainiert, wird die Anforderungen der Leitfrage 3.10 nicht erfüllen. Und genau diese Lücke wird das BSI im Rahmen seiner Aufsichtsmaßnahmen nach §§ 61, 62 BSIG nachfragen.
06 — Unsere Schulung Die drei Säulen BSI-konformer Schulung
Unsere Schulungen orientieren sich direkt an der BSI-Handreichung Version 0.9 vom 30. September 2025 – dem einzigen offiziellen Referenzdokument des BSI zur Schulungspflicht nach § 38 Abs. 3 BSIG.
Erkennung von Bedrohungen jenseits der IT: physische Risiken, Insider-Threats, Social Engineering – einschließlich sektorspezifischer Szenarien. (BSI Kap. 2.2.1)
Vermittlung der gesetzlichen Mindestmaßnahmen (§ 30 Abs. 2 BSIG), ergänzt durch die Gladiator Mind-Methodik: Entscheidungsfähigkeit unter Druck. (BSI Kap. 2.2.2)
Interaktive Szenario-Übungen, die die vom BSI geforderte Beurteilungsfähigkeit unter Stress nachweisbar machen – direkt ausgerichtet an Leitfrage 3.10. (BSI Kap. 2.3.2)
Der Teilnahmenachweis enthält mindestens: Namen der Teilnehmenden, Schulungsdauer und behandelte Inhalte – exakt das, was das BSI für Aufsichtsmaßnahmen nach §§ 61, 62 BSIG verlangt.
07 — FAQ Häufige Fragen
Wer genau ist von der Schulungspflicht betroffen?
Die Schulungspflicht gilt für alle natürlichen Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte einer besonders wichtigen oder wichtigen Einrichtung berufen sind – also Geschäftsführer, Vorstände, CFOs, CIOs, CSOs und geschäftsführende Gesellschafter.
Haften Geschäftsführer wirklich mit dem Privatvermögen?
Ja. § 38 Abs. 2 BSIG begründet eine persönliche Innenhaftung gegenüber der eigenen Gesellschaft für schuldhaft verursachte Schäden. Diese Haftung ist nach § 38 Abs. 2 Satz 3 BSIG vertraglich nicht ausschließbar. D&O-Versicherungen bieten nur begrenzten Schutz.
Greift die Business Judgment Rule nicht?
Nein. Die Business Judgment Rule schützt bei unternehmerischen Ermessensentscheidungen. Die Umsetzung der NIS-2-Mindestmaßnahmen ist jedoch eine gesetzliche Legalitätspflicht – kein Ermessensspielraum.
Wie oft müssen die Schulungen wiederholt werden?
Mindestens alle drei Jahre. Das BSI empfiehlt, dieses Intervall risikoangemessen zu verkürzen – insbesondere bei Wechsel in der Geschäftsleitung oder signifikanten Änderungen der Risikoexposition.
Was hat das KRITIS-Dachgesetz damit zu tun?
Der Bundestag hat das KRITIS-Dachgesetz am 29. Januar 2026 beschlossen. In der Bundesratssitzung vom 6. März 2026 wurde der Vermittlungsausschuss angerufen – das Gesetz ist damit noch nicht in Kraft. Es wird kombinierte Anforderungen an digitale und physische Sicherheit mit sich bringen.
Gilt das auch für Medienorganisationen und Kultureinrichtungen?
Medienorganisationen und Kultureinrichtungen fallen nicht automatisch unter NIS-2-Regulierung, haben aber bereits heute Pflichten nach ArbSchG § 5 (Gefährdungsbeurteilung) und § 12 (Schulungspflicht). Die NIS-2-Logik bietet den richtigen konzeptionellen Rahmen.
Jetzt absichern – bevor die Aufsicht fragt
Sichern Sie sich und Ihre Einrichtung ab. Erfahren Sie in einem unverbindlichen Erstgespräch, welches NIS-2-Schulungsmodul für Ihre Organisation passt – inklusive rechtssicherem Teilnahmenachweis auf Basis der BSI-Handreichung.
Erstgespräch anfragen →Rechtlicher Hinweis: Dieser Beitrag dient der Information (Stand: 4. März 2026) und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte wenden Sie sich an einen Fachanwalt für IT-Recht oder Verwaltungsrecht. Quellen: BSI-Handreichung v0.9 (30.09.2025), BGBl. 2025/301, Bundestags-Beschluss KRITISDachG vom 29.01.2026. Das KRITIS-Dachgesetz ist Stand März 2026 noch nicht in Kraft (Vermittlungsausschuss angerufen).