Der Pflichtenkanon des § 38 BSIG
Das deutsche NIS2-Umsetzungsgesetz hat den europarechtlichen Pflichtenkanon der Richtlinie in § 38 BSIG umgesetzt. Die Geschäftsleitung wesentlicher und wichtiger Einrichtungen muss erstens die Risikomanagementmaßnahmen nach § 30 BSIG billigen, zweitens ihre Umsetzung überwachen, drittens an regelmäßigen Schulungen zur Cybersicherheit teilnehmen, viertens den Beschäftigten regelmäßige Schulungen anbieten und fünftens persönlich für die Erfüllung dieser Pflichten einstehen. Dieses Pflichtenbündel ist nicht delegierbar — operative Aufgaben können auf den CISO oder vergleichbare Funktionen verteilt werden, die Verantwortung bleibt aber bei der Geschäftsleitung.
Billigung: eine bewusste Entscheidung, kein Sichtvermerk
Die Billigung der Risikomanagementmaßnahmen ist mehr als eine formale Unterzeichnung. Sie verlangt, dass die Geschäftsleitung die Maßnahmen versteht, ihre Angemessenheit beurteilt und Abweichungen vom Stand der Technik bewusst akzeptiert. In der Beratungspraxis empfiehlt sich ein zweistufiges Verfahren: Aufbereitung eines Risikomanagementkonzepts durch den CISO mit klaren Bewertungsmaßstäben, anschließend eine dokumentierte Befassung in der Geschäftsleitungssitzung mit Entscheidungsbegründung. Eine reine Kenntnisnahme reicht nicht — der Begriff der Billigung verlangt eine aktive Entscheidung.
Überwachung: Berichtswesen und Audit-Pflicht
Die Überwachungspflicht zwingt die Geschäftsleitung zu einem regelmäßigen Berichtswesen. In der Praxis bewährt sich ein vierteljährlicher Cybersicherheitsbericht an die Geschäftsleitung, der die wesentlichen Risikoindikatoren, offene Maßnahmen und Vorfallstatistiken enthält. Bei wesentlichen Einrichtungen empfiehlt sich zudem ein jährliches externes Audit, das die Umsetzung der Maßnahmen unabhängig prüft. Wer kein dokumentiertes Berichtswesen vorhalten kann, hat im Aufsichtsverfahren kaum Argumente gegen den Vorwurf der Pflichtverletzung.
Schulungspflicht: die Geschäftsleitung selbst
§ 38 BSIG verlangt, dass die Mitglieder der Geschäftsleitung an regelmäßigen Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Cyberrisiken zu erwerben. Diese Pflicht trifft die Personen, nicht das Unternehmen. Eine pauschale Teilnahme an einer Compliance-Veranstaltung genügt nicht; die Inhalte müssen NIS2-spezifisch sein und die Risikolage des Unternehmens widerspiegeln. Teilnahmenachweise sind aufzubewahren.
Sanktionen: Bußgeld, Innenhaftung, Untersagung
Bei Verstößen gegen die Pflichten aus § 38 BSIG drohen drei Sanktionsspuren. Erstens das Bußgeld nach § 60 BSIG, das gegen das Unternehmen festgesetzt wird, aber in besonderen Fällen auch persönlich gegen Mitglieder der Geschäftsleitung verhängt werden kann. Zweitens die Innenhaftung der Geschäftsleitung gegenüber der eigenen Gesellschaft nach §§ 43 GmbHG, 93 AktG, die durch einen NIS2-Verstoß ausgelöst werden kann und in der Praxis durch D&O-Versicherungen nur teilweise abgedeckt ist. Drittens — bei besonders schwerwiegenden Verstößen — die Befugnis der Aufsicht, einer natürlichen Person die Wahrnehmung von Leitungsaufgaben in wesentlichen Einrichtungen vorübergehend zu untersagen.
Empfehlung: NIS2-Compliance als Vorstandsthema institutionalisieren
Aus diesen Gründen ist NIS2-Compliance kein operatives Thema, sondern eine Aufgabe der Unternehmensführung. In unserer Beratungspraxis empfehlen wir, eine Geschäftsleitungsressort-Zuständigkeit zu definieren, ein regelmäßiges Berichtsformat zu etablieren und die Befassung im Geschäftsleitungsprotokoll sichtbar zu machen. Diese organisatorische Sichtbarkeit ist im Aufsichtsverfahren das wichtigste Argument gegen den Vorwurf der Pflichtverletzung — und sie ist die Grundlage für eine D&O-Deckung im Ernstfall.
| Pflicht | Delegierbar? | Rechtsfolge bei Verstoß |
|---|---|---|
| Billigung der Risikomanagement-Maßnahmen (§ 38 Abs. 1 Nr. 1) | nein | persönliches Bußgeld bis 2 % des Jahreseinkommens, Untersagung der Leitungstätigkeit |
| Überwachung der Umsetzung (§ 38 Abs. 1 Nr. 2) | nein | Innenhaftung § 43 GmbHG / § 93 AktG |
| Regelmäßige Schulung (§ 38 Abs. 3) | nein (eigene Pflicht zur Teilnahme) | Beweisnachteil im Haftungsverfahren |
| Operative Umsetzung der Maßnahmen | ja | Auswahl- und Überwachungspflicht verbleibt bei der Leitung |
| Technische Implementierung | ja | CISO / IT-Leitung im Innenverhältnis verantwortlich |
| Meldung gegenüber BSI (§ 32 BSIG) | ja | Letztverantwortung der Leitung bleibt |
Quelle: § 38 BSIG (NIS2UmsuCG), Art. 20 NIS2-Richtlinie (EU) 2022/2555, BSI-Auslegungshinweise. Stand: Juni 2026.
Häufige Fragen
- Was muss die Geschäftsleitung konkret tun?
- § 38 BSIG verlangt, dass die Geschäftsleitung die Risikomanagementmaßnahmen billigt, ihre Umsetzung überwacht und für Verstöße haftet. Eine Delegation an den CISO entlastet die Geschäftsleitung nicht von der Überwachungspflicht.
- Wann drohen persönliche Bußgelder?
- Bei vorsätzlicher oder fahrlässiger Verletzung der NIS2-Pflichten kann gegen Mitglieder der Geschäftsleitung ein Bußgeld festgesetzt werden. Daneben besteht die Möglichkeit der Innenhaftung gegenüber der eigenen Gesellschaft.
- Was bedeutet die Schulungspflicht?
- Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, die ein angemessenes Verständnis für Cyberrisiken vermitteln. Die Schulung ist nachweispflichtig zu dokumentieren.
- Kann die Aufgabe an einen CISO delegiert werden?
- Die operativen Aufgaben sind delegierbar, die Verantwortung nicht. Die Geschäftsleitung muss den CISO mit angemessenen Mitteln ausstatten, ihn überwachen und sich regelmäßig berichten lassen.
- Wie sieht ein 'angemessenes' Risikomanagement aus?
- Maßstab sind die zehn Maßnahmen nach § 30 BSIG, vertieft in den BSI-Leitlinien. Eine reine Papierdokumentation genügt nicht; die Maßnahmen müssen umgesetzt, getestet und fortgeschrieben sein.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
