Im November hat der Regierungsentwurf des deutschen NIS2-Umsetzungsgesetzes den nächsten Schritt im Gesetzgebungsprozesses durchlaufen und den Bundesrat passiert.
Ein zentraler Punkt des Gesetzesentwurfs ist die Schulungspflicht für die Leitungsebene. Nach § 38 Abs. 3 BSIG-E müssen Geschäftsleitungen von besonders wichtigen und wichtigen Einrichtungen sicherstellen, dass die in § 30 BSIG-E geforderten Sicherheits- und Risikomanagementmaßnahmen umgesetzt und überwacht werden. Bei Verstößen können sie haftbar gemacht werden.
Damit sie dieser Verantwortung fachlich nachkommen können, verpflichtet § 38 Abs. 3 BSIG-E die Geschäftsführung zu Schulungen. Diese unterscheiden sich klar von Mitarbeiterschulungen und sollen sicherstellen, dass die Leitungsebene Risiken erkennen, bewerten und die Grundlagen wirksamer Risikomanagementmaßnahmen verstehen kann – ohne selbst technische Expertinnen oder Experten sein zu müssen.
Dabei gilt es auch sektorspezifische Anforderungen zu beachten. Bei Organisationen, deren Betrieb von Operational Technology (OT) abhängt, würde das bedeuten, dass ein grundlegendes Verständnis der Leitungsebene für die besonderen Anforderungen an OT-Security Voraussetzung ist, damit die Geschäftsleitung Risiken realistisch einschätzen und wirksame Maßnahmen mittragen kann.
zum anapur Training NIS2 für Leitungsorgane
- Wer muss sich schulen lassen?
- Wie oft müssen die Schulungen durchgeführt werden?
- Wer sollte Schulungen durchführen?
- Was sollten die Schulungsinhalte sein?
Auf diese und weitere Fragen geht das BSI in seiner Handreichung zur NIS-2-Geschäftsleitungsschulung ein.
Quelle: Bundesamt für Sicherheit in der Informationstechnik www.bsi.bund.de