Zum Inhalt springen
NIS2 gilt seit Dez. 2025. Was das bedeutet

NIS2 & §38 BSIG

NIS2 und §38 BSIG: Warum Security-Awareness zur Chefsache wurde

Wachr Redaktion8 Min. Lesezeit
Aufrecht stehende Dokumente mit einer dunkelgrünen Trennkarte und einem amberfarbenen Leseband: die Regulierung ist im Bestand angekommen.

Seit Dezember 2025 gilt NIS2 in Deutschland ohne Übergangsfrist. Für viele Geschäftsführungen ist das noch nicht angekommen. Dieser Artikel erklärt, was §38 BSIG konkret verlangt, und warum die Verantwortung für IT-Sicherheit nicht mehr an die IT-Abteilung delegierbar ist. Ohne Alarmismus, mit Blick auf das, was jetzt praktisch zu tun ist.

Was seit Dezember 2025 gilt

Am 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft getreten. Es ändert das BSI-Gesetz (BSIG) und setzt damit die EU-Richtlinie NIS2 in deutsches Recht um. Anders als bei früheren IT-Sicherheitsgesetzen gibt es keine allgemeine Übergangsfrist: Die Pflichten gelten mit dem Inkrafttreten. Betroffene Einrichtungen müssen sich innerhalb von drei Monaten beim BSI registrieren, erhebliche Sicherheitsvorfälle melden und ihr Risikomanagement nachweisbar umsetzen.

Wichtig ist ein Punkt, der oft übersehen wird: Niemand teilt einem Unternehmen mit, dass es betroffen ist. Jede Einrichtung muss selbst prüfen, ob sie unter das Gesetz fällt, und in welche Kategorie. Kriterien sind die Zugehörigkeit zu einem regulierten Sektor, die Mitarbeiterzahl, der Jahresumsatz und die Bilanzsumme. Das BSI stellt dafür eine Betroffenheitsprüfung bereit, die Einstufung bleibt aber Aufgabe des Unternehmens.

Wen es betrifft: direkt und über die Lieferkette

Das Gesetz unterscheidet zwei Gruppen: besonders wichtige Einrichtungen und wichtige Einrichtungen. Dazu kommen die Betreiber kritischer Anlagen als Teilmenge der besonders wichtigen. Nach Schätzung des BSI gelten für rund 29.500 Unternehmen und Institutionen in Deutschland seither neue Pflichten. Betroffen sind längst nicht nur klassische Kritis-Sektoren, sondern auch Bereiche wie verarbeitendes Gewerbe, Lebensmittel, Chemie, Abfallwirtschaft, Post und digitale Dienste.

Ob eine dieser Kategorien greift, hängt neben dem Sektor an der Größe. Nach §28 BSIG gilt als besonders wichtige Einrichtung, wer mindestens 250 Mitarbeitende beschäftigt oder über 50 Millionen Euro Jahresumsatz und zugleich über 43 Millionen Euro Bilanzsumme erreicht. Als wichtige Einrichtung gilt bereits, wer mindestens 50 Mitarbeitende hat oder bei Umsatz und Bilanzsumme jeweils über 10 Millionen Euro liegt. Damit fällt ein großer Teil des gehobenen Mittelstands erstmals in den Anwendungsbereich. Einzelne Einrichtungsarten, etwa bestimmte Telekommunikations- und Vertrauensdiensteanbieter, sind unabhängig von ihrer Größe erfasst.

Viele Mittelständler, die nicht direkt reguliert sind, spüren NIS2 trotzdem: über die Lieferkette. §30 BSIG verlangt von den regulierten Einrichtungen ausdrücklich, die Sicherheit ihrer Lieferkette und ihrer Dienstleister zu steuern. In der Praxis heißt das, dass größere Kunden von ihren Zulieferern einen Nachweis über Sicherheitsmaßnahmen und Awareness-Schulungen verlangen. Wer diesen Nachweis nicht liefern kann, verliert im Zweifel den Auftrag. Die Regulierung wandert so vom regulierten Kern nach außen.

Auch die verbreitete Annahme, mit ausgelagerter IT sei man aus der Verantwortung, trägt nicht. Das BSI stellt klar: Auch wenn die IT vollständig ausgelagert ist, bleibt die Einrichtung selbst verantwortlich. Verträge allein genügen nicht, die Geschäftsleitung bleibt in der Pflicht, das Risikomanagement zu steuern.

§38 BSIG im Klartext

Der Kern der neuen Verantwortung steht in §38 BSIG. Seine amtliche Überschrift ist sperrig, aber präzise: „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen." Die Norm adressiert nicht die IT-Abteilung, sondern die Leitungsorgane direkt.

Umsetzen und überwachen (Absatz 1)

Nach §38 Absatz 1 sind die Geschäftsleitungen verpflichtet, die Risikomanagementmaßnahmen nach §30 BSIG umzusetzen und ihre Umsetzung zu überwachen. Es reicht also nicht, ein Budget freizugeben und den Rest der IT zu überlassen. Verlangt ist sichtbares Engagement der Leitung: definierte Maßnahmen, hinterlegte Ressourcen, laufende Kontrolle der Wirksamkeit. Zu den Mindestmaßnahmen nach §30 gehört ausdrücklich auch die Schulung der Mitarbeitenden in Cyberhygiene und Security-Awareness (§30 Absatz 2 Nummer 7). Awareness ist damit keine Kür, sondern Teil der gesetzlichen Grundausstattung.

Persönliche Haftung (Absatz 2)

§38 Absatz 2 stellt die Konsequenz klar: Verletzen Mitglieder der Geschäftsleitung diese Pflichten schuldhaft, haften sie ihrer Einrichtung für den entstandenen Schaden nach den Regeln des jeweiligen Gesellschaftsrechts, also etwa nach GmbHG oder AktG. Die Aufgabe lässt sich delegieren, die Letztverantwortung nicht. Für die Praxis bedeutet das vor allem eines: Entscheidungen, Informationsflüsse und Kontrollen sollten dokumentiert werden. Eine saubere Dokumentation ist im Ernstfall der Schutzmechanismus der Geschäftsleitung.

„Die IT macht das schon“: Dieser Satz reicht seit Dezember 2025 nicht mehr. §38 BSIG macht Cybersicherheit zur Chefsache, mit persönlicher Verantwortung.

Schulungspflicht (Absatz 3)

§38 Absatz 3 verpflichtet die Geschäftsleitungen, regelmäßig an Schulungen teilzunehmen. Ziel ist, dass sie Risiken erkennen und bewerten, geeignete Maßnahmen einordnen und die Auswirkungen auf das Geschäft beurteilen können. Diese Schulung ist ausdrücklich getrennt von der Awareness-Schulung der Mitarbeitenden zu betrachten. Niemand muss zur Technikexpertin oder zum Technikexperten werden, aber die Leitung muss verstehen, worüber sie entscheidet. Eine feste Frequenz nennt das Gesetz nicht. Verbreitet sind wiederkehrende Zyklen und anlassbezogene Auffrischungen, etwa nach größeren Vorfällen oder Umstrukturierungen. Entscheidend ist die Regelmäßigkeit, nicht ein einmaliges Format.

Wer die Pflichten ignoriert, riskiert nicht nur die persönliche Haftung. §65 BSIG sieht je nach Einrichtungsart Bußgelder von bis zu 7 beziehungsweise 10 Millionen Euro oder 1,4 beziehungsweise 2 Prozent des weltweiten Jahresumsatzes vor. Der höhere Wert gilt.

Was ein auditfester Nachweis enthält

In der Aufsicht zählt am Ende, was belegbar ist. Das BSI hält fest, dass die Teilnahme an Geschäftsleitungsschulungen nachvollziehbar und aussagekräftig dokumentiert, intern aufbewahrt und dem BSI auf Verlangen vorgelegt werden muss. Für besonders wichtige Einrichtungen kann das BSI Nachweise über die Erfüllung der Pflichten anfordern. Ein tragfähiger Nachweis ist deshalb mehr als ein Teilnahmezertifikat. Er sollte belegen:

  • Wer geschult wurde: die Geschäftsleitung nach §38 Absatz 3 und die Mitarbeitenden nach §30, jeweils getrennt ausgewiesen.
  • Wann und wie oft: Zeitpunkte und Regelmäßigkeit, nicht ein einzelnes Datum.
  • Was Inhalt war: Risikoerkennung, Maßnahmen und deren Geschäftsauswirkung, damit der Umfang den gesetzlichen Anforderungen entspricht.
  • Mit welchem Ergebnis: Fortschritt und Wirksamkeit über die Zeit, nicht nur eine Anwesenheitsliste.

Genau an dieser Stelle scheitern viele Jahresvideos und einmaligen E-Learnings. Sie belegen eine Teilnahme, aber keine kontinuierliche, wirksame Awareness. Und sie trennen selten sauber zwischen Leitungsschulung und Mitarbeiterschulung, obwohl das Gesetz beides getrennt verlangt.

Warum der Faktor Mensch im Zentrum steht

Die technische Absicherung ist notwendig, aber sie greift zu kurz. Nach übereinstimmenden Branchenanalysen nutzen 60 bis 74 Prozent der erfolgreichen Angriffe den Faktor Mensch: Phishing, manipulierte Rechnungen, vorgetäuschte Anrufe. Deshalb setzt NIS2 die Awareness der Belegschaft nicht als weiche Empfehlung, sondern als Teil der Mindestmaßnahmen. Eine Belegschaft, die einen gefälschten Absender erkennt, ist die wirksamste und günstigste Kontrolle, die ein Unternehmen aufbauen kann.

Was jetzt konkret zu tun ist

Die Anforderungen wirken umfangreich, lassen sich aber in eine überschaubare Reihenfolge bringen. Vier Schritte stehen am Anfang:

  1. Betroffenheit prüfen. Klären Sie anhand von Sektor und Größe, ob und in welche Kategorie Ihr Unternehmen fällt. Das BSI stellt dafür eine Betroffenheitsprüfung bereit.
  2. Registrieren. Betroffene Einrichtungen melden sich binnen drei Monaten über das BSI-Portal an, zweistufig über „Mein Unternehmenskonto" und die anschließende Registrierung im Portal.
  3. Risikomanagement und Awareness umsetzen. Setzen Sie die Maßnahmen nach §30 um, einschließlich der Schulung der Mitarbeitenden. Die Geschäftsleitung lässt sich nach §38 Absatz 3 gesondert schulen.
  4. Nachweis dokumentieren. Halten Sie fest, wer wann was gelernt hat, sauber getrennt nach Leitung und Belegschaft, damit der Nachweis einer Prüfung standhält.

Wie Wachr das löst

Wachr ist darauf gebaut, genau diese Pflichten in einen wiederholbaren Ablauf zu übersetzen. Realistische Phishing-Simulationen mit echten deutschen Ködern trainieren die Belegschaft im Alltag, ein 60-Sekunden-Training folgt genau im richtigen Moment. Die Schulung der Geschäftsleitung nach §38 Absatz 3 ist dabei eigenständig ausgewiesen, getrennt von der Mitarbeiterschulung. Am Ende steht ein auditfester Nachweis, der zeigt, wer wann was gelernt hat, für Aufsicht, Versicherer und Ihre Kunden. Alles in Deutschland gehostet, DSGVO-konform und Betriebsrat-konform ausgelegt.

NIS2 ist kein Grund zur Panik. Es ist eine klare Anforderung mit einer klaren Antwort. Wer jetzt strukturiert anfängt, hat den Nachweis, bevor ihn jemand verlangt.

Machen Sie den Nachweis, bevor ihn jemand verlangt.

Wachr übersetzt die Pflichten aus NIS2 in einen wiederholbaren Ablauf mit auditfestem Nachweis. Für Unternehmen und ihre IT-Partner.