Das BSI hat nun eine aktualisierte Version seiner Empfehlungen zu Schulungen für Geschäftsleitungen nach dem novellierten BSI-Gesetz (BSIG) veröffentlicht.

Seit Dezember 2025 gilt eine ausdrückliche Schulungspflicht für Geschäftsleitungen „wichtiger“ und „besonders wichtiger“ Einrichtungen (§ 38 BSIG). Geschäftsleitungen sollen dadurch ausreichende Kenntnisse erwerben, um Cyberrisiken bewerten und Risikomanagementmaßnahmen überwachen und beurteilen zu können.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu nun seine Handreichung zu Geschäftsleitungsschulungen überarbeitet und im April 2026 die Version 1.0 veröffentlicht. Die Empfehlungen wurden dabei an mehreren Stellen konkretisiert und erweitert.

Was ist neu an der aktualisierten Handreichung?

1. Anpassung an das geltende BSI-Gesetz
Die vorherige Version basierte noch auf dem Gesetzentwurf (BSIG-E). Die neue Version 1.0 bezieht sich nun auf das tatsächlich in Kraft getretene BSIG und aktualisiert entsprechend die gesetzlichen Verweise und Anforderungen.

2. Erweiterter Adressatenkreis
Das BSI stellt klar, dass sich die Schulungspflicht nicht nur auf „klassische“ Geschäftsführungen oder Vorstände beschränkt. Erfasst werden alle Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Leitung und Vertretung der Einrichtung berufen sind – beispielsweise auch Vorstände, CEO, CIO oder CFO. Das BSI geht davon aus, dass die Schulungspflicht bei den meisten Einrichtungen mehrere Personen trifft.

3. Erweiterung der empfohlenen Schulungsformate
Neu aufgenommen wurden konkrete Empfehlungen für praxisnahe Schulungsformate. Neben klassischen „Frontalformaten“ nennt das BSI beispielsweise:

• Tabletop-Exercises und Planspiele
• Audit-Simulationen
• Szenarien und Case-Studies
• Live-Hacking-Demonstrationen

4. Konkretisierung der Schulungsinhalte
Die Handreichung strukturiert die Inhalte klarer in Kerninhalte und unterstützende Inhalte. Besonders hervorgehoben werden:

• Risikoanalyse
• Risikomanagementmaßnahmen
• Auswirkungen von Risiken auf Geschäftsprozesse
• Melde- und Registrierungspflichten
• Haftungs- und Überwachungspflichten

5. Präzisere Anforderungen an Schulungsdokumentation
Neu konkretisiert das BSI auch, wie Schulungen dokumentiert werden sollten. Empfohlen werden mindestens Angaben zu:

• Schulungsanbieter/interne Stelle
• den beschulten Teilnehmenden
• Datum, Uhrzeit, Dauer der Schulungseinheiten
• Bezüge zu den gesetzlichen Vorgaben aus § 38 Absatz 3 BSIG

Hintergrund ist insbesondere die mögliche Nachweisführung im Rahmen von Aufsichtsmaßnahmen und Prüfungen nach §§ 61 und 62 BSIG.

Damit wird deutlich: Nicht nur die Durchführung, sondern auch die nachvollziehbare Dokumentation der Schulungen gehört zu einer angemessenen Managementpraktik.

Empfehlungen statt verbindlicher Vorgaben

Wichtig ist dabei: Die Handreichung ist zwar keine rechtsverbindliche Vorgabe, zeigt aber deutlich, welche Erwartungen das BSI an Geschäftsleitungsschulungen hat.
Das BSI formuliert ausdrücklich Empfehlungen („SOLL“ bzw. „KANN“) zur Ausgestaltung entsprechender Schulungen. Unternehmen erhalten damit konkrete Hinweise darauf, welche Erwartungen künftig an angemessene Schulungskonzepte gestellt werden dürften.

Compliance sichern mit der NIS-2-Schulung der GUTcert Akademie
Für Unternehmen bedeutet dies: Geschäftsleitungen müssen sich deutlich intensiver mit Cyberrisiken, Risikomanagement und ihrer eigenen Verantwortung auseinandersetzen.

Die NIS-2-Schulung der GUTcert Akademie vermittelt die aktuellen Anforderungen aus NIS-2 und BSIG praxisnah und managementorientiert – einschließlich Governance, Risikomanagement und Umsetzung in der Unternehmenspraxis.

Ansprechperson

Bei Fragen oder Anmerkungen rund um die Thematik wenden Sie sich gerne an Cedric Sell.