NIS 2 stellt nicht nur Anforderungen an die Einrichtungen für die Cybersicherheit in Unternehmen, sondern nimmt auch die Geschäftsführer von KMU, die unter NIS2 fallen, in die Verantwortung.
Mit der NIS2-Richtlinie wird Cybersicherheit zur Chefsache:
Die NIS2-Richtlinie verlagert Cyber-Sicherheit klar in die Verantwortung der Unternehmensführung. Geschäftsleitungen müssen Cybersicherheit als integralen Bestandteil des Risikomanagements verankern, Entscheidungen zur IT-Sicherheit treffen und deren Umsetzung überwachen.
Für KMU, die als „wichtig“ oder „besonders wichtig“ eingestuft werden, bedeutet das:
persönliche Pflichten, Nachweispflichten und regelmäßige Schulungen
für die Leitungsebene sind vorgesehen. Diese Anforderungen sind nicht nur Compliance-Pflicht, sondern beeinflussen unmittelbar Geschäftsprozesse, Lieferketten und Versicherbarkeit.
Für die Geschäftsleitungen sind drei Punkte besonders relevant:
(1) Haftung und Reputationsschutz
Fehlende oder unzureichende Maßnahmen können zu finanziellen Sanktionen und Vertrauensverlust führen;
(2) Entscheidungsfähigkeit
nur informierte Führungskräfte können angemessene Investitionsentscheidungen treffen;
(3) Lieferketten-Resilienz
KMU sind oft Teil größerer Wertschöpfungsnetzwerke, in denen ein Vorfall weitreichende Folgen haben kann
Fazit
Geschäftsführerschulungen sind kein Nice-to-have, sondern ein zentrales Element der NIS2Umsetzung. Gezielte, praxisorientierte Schulungen stärken die Führungsfähigkeit, reduzieren rechtliche Risiken und machen Cybersicherheit zur strategischen Aufgabe der Geschäftsleitung.
