kes Special 6-2025

1

Verlagsbeilage, Dezember 2025 Special NIS-2 Lösungen und Services NIS-2 umsetzen mit Multi-Compliance- Framework TopEase bündelt NIS-2-Compliance und digitale Resilienz NIS-2-konforme Angriffs erkennung mit der ScanBox Software ibi systems iris unterstützt Unternehmen bei NIS-2-Umsetzung NIS-2: Mehr als eine Checkliste Seite 2 Seite 6 Seite 8 Seite 10 Seite 12 Mitherausgeber Impressum GmbH Augustinusstraße 11 A 50226 Frechen (DE) Tel.: +49 2234 98949 – 30, redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Satz: Dirk Hemke (SatzPro), Krefeld; Markus Miller (Satz + Bild), München Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover m i t L e s e p r o b e S p e c i a l a u s d e m H a u p t h e f t Bild: Adobe Stock/ImageKing

2

Verlagsbeilage NIS-2 umsetzen mit Multi-Compliance-Framework Mit der Überführung der NIS-2-Richtlinie in deutsches Recht steigen die Anforderungen an Unternehmen, ihre Informationssicherheit strukturiert und nachvollziehbar zu steuern. Anstatt jede gesetzliche Vorgabe isoliert zu betrachten, ermöglicht ein Informationssicherheitsmanage- mentsystem (ISMS) nach ISO/IEC 27001 in Verbindung mit einem Multi-Compliance-Ansatz eine efﬁziente und transparente Umsetzung mehrerer Regelwerke. Von Benjamin Weiß, TTS Trusted Technologies and Solutions GmbH Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informa- tionssicherheitsmanagements in der Bundesverwaltung (im Folgenden NIS-2-Gesetz genannt) erweitert den An- wendungsbereich früherer Regelungen erheblich und kon- frontiert bereits regulierte Unternehmen mit zusätzlichen Anforderungen. Auf den ersten Blick beschreibt das NIS-2-Ge- setz einen Katalog von Pflichtanforderungen für betrof- fene wichtige und besonders wichtige Einrichtungen. Die Risikomanagementmaßnahmen in § 30 (2) stellen dabei einen zentralen Aufwandstreiber für die Einrichtungen dar. Die genannten Maßnahmen dürfen aber keineswegs einfach unreflektiert abgearbeitet oder umgesetzt werden. Das Gesetz verlangt vielmehr einen risikobasierten Ansatz, der die Besonderheiten und Risiken jeder betroffenen Ein- richtung berücksichtigt. Das NIS-2-Gesetz gibt für diese Maßnahmen keine detaillierten Umsetzungsanweisungen vor, sondern fordert die Einhaltung des Standes der Technik sowie die Berücksichtigung einschlägiger nationaler und interna- tionaler Normen. Der aktuelle „Stand der Technik“ lässt sich demnach zum Beispiel anhand von Normen und Standards wie DIN oder ISO bestimmen. Als bekannte Referenzen können daher besonders die ISO/IEC 27001 sowie die begleitende ISO/IEC 27002 mit konkreten Um- setzungshinweisen zur Hand genommen werden. In Anbetracht eines ISMS nach ISO/IEC 27001 zeigt sich bei den betroffenen Einrichtungen eine hetero- gene Ausgangslage. Einige verfügen bereits über ein (zerti- fiziertes) ISMS nach ISO/IEC 27001, andere stehen noch am Anfang. Für die Umsetzung des NIS-2-Gesetzes ist es von großem Vorteil, wenn bereits ein ISMS nach ISO/IEC 27001 besteht und damit auch Maßnahmen aus dem An- Abbildung 1: Map- ping zwischen ISO/ IEC 27001-Controls und NIS-2-Anfor- derungen über Stichwörter-Funktion in TTS trax. (Bild: TTS Trusted Technologies and Solutions GmbH) 2 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025

3

2 - S I N Abbildung 2: Multi-Scope am Beispiel eines Energienetzbetreibers. (Bild: TTS Trusted Technologies and Solutions GmbH) hang A realisiert sind, da es Überschneidungen mit den An- forderungen aus dem NIS-2-Gesetz gibt. Darüber hinaus ermöglichen die etablierten ISMS-Prozesse eine systemati- sche und nachvollziehbare Umsetzung des NIS-2-Gesetzes. gesehen werden kann. Das erläuterte Mapping minimiert demnach den Umsetzungs- und damit auch den Ressour- cenaufwand. Mapping zwischen NIS-2-Gesetz und ISO/IEC 27001 Da nicht alle Inhalte des NIS-2-Gesetzes glei- chermaßen für jeden Geltungsbereich der verschiedenen Einrichtungen relevant sind, müssen nur die jeweils zu- treffenden Anforderungen umgesetzt werden. Nach einer grundsätzlichen Betroffenheitsprüfung sollte zunächst identifiziert werden, welche NIS-2-Anforderungen ver- pflichtend einzuhalten sind. Die identifizierten Anforderungen, besonders die aus § 30 des NIS-2-Gesetzes, sind für viele Einrichtungen die größten Aufwandstreiber bei der Umsetzung der ge- setzlichen Vorgaben. Diese Anforderungen lassen sich be- stehenden Maßnahmen aus dem Anhang A der ISO/IEC 27001 zuordnen. Das Mapping schafft im Rahmen einer GAP-Analyse eine klare und strukturierte Übersicht über den aktuellen Umsetzungsstand. So erkennt eine Einrich- tung, in welchen Bereichen sie bereits konform ist und wo noch Handlungsbedarf besteht. Multi-Compliance-ISMS Die beschriebene Methodik zum NIS-2-Gesetz lässt sich auch auf weitere gesetzliche und regulatorische Rahmenwerke übertragen. Mit diesem Multi-Complian- ce-Ansatz können mehrere Anforderungskataloge effizient für verschiedene Geltungsbereiche innerhalb einer Ein- richtung abgebildet werden. Durch die jeweils verschiedenen, sich aber teils überlappenden Geltungsbereiche von Gesetzen und Re- gularien mit häufig sehr ähnlichen Anforderungen inner- halb einer Einrichtung lässt sich der Multi-Compliance- Ansatz mit einem Multi-Scope-Ansatz kombinieren. Ein konkretes Beispiel hierfür ist ein Energienetzbetreiber, der zukünftig folgende Anforderungen berücksichtigen muss: Sicherheitskatalog nach § 11 (1a) sowie § 11 (1 g) EnWG (beides künftig § 5c EnWG), NIS-2-Gesetz, KRITIS-Dachgesetz, Gefährdungsbeurteilungen gemäß TRBS 1115 – 1. Die Vorgehensweise des Mappings von Anforde- rungen mit einem ISMS nach ISO/IEC 27001 ist effizient und zielführend. Eine große Zahl der generisch formulier- ten Anforderungen des § 30 NIS-2-Gesetzes entsprechen den durch die ISO/IEC 27001 implementierten Prozes- sen und umgesetzten Maßnahmen. Dies kann in einer Einrichtung dazu führen, dass ein Teil, wenn nicht sogar ein Großteil der Anforderungen bereits als umgesetzt an- Alle genannten Regelwerke verlangen risiko- orientierte Maßnahmenableitung und -umsetzung. Im wirtschaftlichen Interesse eines Unternehmens sollte dies mit einem möglichst geringen Aufwand an Zeit und Res- sourcen geschafft werden. An dieser Stelle kommt das be- reits erläuterte Mapping zwischen Anforderungen und die damit einhergehende Vorgehensweise zur Umsetzung von Regelwerken zum Einsatz: © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025 3 Special

4

Verlagsbeilage Abbildung 3: Gegen- überstellung von NIS- 2-Konformität und ISO/IEC 27001-Um- setzung in TTS trax (Bild: TTS Trusted Technologies and Solutions GmbH) Auswahl eines Basiskatalogs an Maßnahmen, der den Stand der Technik repräsentiert, zum Beispiel Anhang A der ISO /IEC 27001 oder ein unternehmensspezifisches Regelwerk. Erstellung eines Mappings für jedes Regelwerk zum Basiskatalog. Da die Maßnahmen des Basiskataloges bereits risikobasiert umgesetzt sind, müssen die Pendants des neuen Regelwerks nicht nochmal, sondern gegebenen- falls nur kleinere Differenzen umgesetzt werden. Anschließend Umsetzung aller Maßnahmen aus einem Regelwerk, die kein Pendant im Basiskatalog haben. Damit dieser Ansatz funktioniert, muss es im Un- ternehmen eine zentrale Stelle geben, welche die Umset- zung solcher gesetzlichen Anforderungen koordiniert. Das kann beispielsweise die Informationssicherheit beziehungs- weise der CISO sein. Ist dies der Fall, ergeben sich durch den Multi-Compliance-Ansatz eine Reihe von Vorteilen: Geringer Zusatzaufwand für die Umsetzung von Anforderungen weiterer Regelwerke, die einem bestehen- den Basiskatalog zugeordnet werden können. Bei Verwendung des Anhang A der ISO/IEC 27001 als Basiskatalog wird dies international anerkannt und kann im Kontext von Marketing und Vertrieb ver- wendet werden. Die Konformität zu jedem der Regelwerke kann nach innen, zum Beispiel für die Unternehmensleitung oder nach außen, zum Beispiel im Rahmen von Audits und Prüfungen, dargestellt werden. Tool-gestützte Efﬁzienz und Transparenz Für die Erstellung und Nutzung des Mappings zwischen ISO/IEC 27001 inklusive Anhang A und den Maßnahmen aus NIS-2 § 30 ist prinzipiell kein besonde- res Tool notwendig. Dies funktioniert grundsätzlich auch mit den Bordmitteln zur Tabellenkalkulation einer jeden Einrichtung. Spezielle Anwendungen wie das ISMS Tool TTS trax erleichtern jedoch die Arbeit an sich und er- höhen die Effizienz. Über die Nutzung der Stichwör- ter-Funktion werden (1) heterogene Geltungsbereiche verschiedener Gesetze und Regulatorien erzeugt und (2) Mappings zwischen den verschiedensten Anforderungen eines Multi-Compliance-Frameworks erstellt und doku- mentiert. Es erfolgt eine Homogenisierung der Betrach- tungs- und Anforderungslandschaft innerhalb einer Ein- richtung. Durch Anwendung der umfassenden Filter- möglichkeiten von TTS trax können Unternehmen ohne großen Aufwand den Umsetzungsgrad verschiedener An- forderungen für jeden beliebigen Geltungsbereich ermit- teln und aufzeigen. Eine Prüf- und Nachweisfähigkeit ist hiermit jederzeit gegeben. Fazit Die nachhaltige Umsetzung der NIS-2-Anforde- rungen gelingt am besten, wenn Einrichtungen ihr ISMS als strategisches Instrument verstehen und gezielt zur Steuerung gesetzlicher Verpflichtungen einsetzen. Durch die Verknüpfung mit einem Multi-Compliance-Ansatz können mehrere gesetzliche und regulatorischen Vor- gaben gleichzeitig erfüllt und Synergien genutzt werden. Unterstützt durch ein geeignetes Tool wird dies nicht nur effizienter, sondern auch nachvollziehbar und prüfsicher dokumentiert. ■ 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025

5

Cybersicherheit ist Chefsache – Sind Sie bereit für NIS-2? Die neue EU-Richtlinie NIS-2 (Network and Information Security) verändert alles: Sind Ihre IT-Systeme fit für die Zukunft? Rechtssicher durch den Cyberdschungel Wer jetzt nicht handelt, riskiert Bußgelder in Millionenhöhe – und persönliche Haftung. Besonders betroffen sind mittelständische Unternehmen aus 18 Sektoren.  Haben Sie ein dokumentiertes Risikomanagement nach Art. 21 NIS-2?  Sind Ihre Meldeprozesse bei Si- cherheitsvorfällen klar geregelt? Lesen Sie unseren vollständigen Blogartikel zur NIS-2 Richtlinie: www.tuev-nord.de/wissen/nis2 Warum gerade jetzt? Die Richtlinie ist eine Antwort auf die digitale Realität:  Cyberangriffe nehmen zu – allein in Deutschland liegt der jährliche Schaden bei über 200 Milliarden Euro.  Digitalisierung beschleunigt sich – vernetzte Lieferketten schaffen neue Risiken.  Resilienz wird zur Pflicht – die EU will ihre digitale Souveräni- tät sichern und systemischen Schocks standhalten. Was bedeutet NIS-2 für Ihre Organisation? Die Anforderungen sind klar: Cyber- sicherheit wird zur Pflichtaufgabe der Geschäftsleitung. Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Umsatz müssen handeln. Die Richt- linie verlangt verbindliche Stan- dards – vom Risikomanagement über Lieferkettensicherheit bis zur Schulungspflicht. Stellen Sie sich folgende Fragen:  Ist Ihre Geschäftsleitung ausrei- chend geschult in Cybersicher- heitsfragen? Ihre Vorteile durch gezielte Weiterbildung: Rechtssicherheit durch fundiertes Wissen zu NIS-2 und BSIG-neu Schutz vor Haftungsrisiken durch geschulte Führungskräfte Wettbewerbsvorteil durch nach- weisbare Cyberresilienz Jetzt handeln! Die TÜV NORD Aka- demie bietet praxisnahe Seminare zur NIS-2-Umsetzung – speziell für Führungskräfte und Verantwortliche aus betroffenen Branchen. Schließen Sie Ihr Wissens-Gap und erweitern Sie Ihre Kompetenzen für die Zukunft, damit Ihre Führungs- kräfte wissen, was bei einem Cyber- vorfall zu tun ist und Sie Ihre Pflich- ten gegenüber dem BSI erfüllen. Hören Sie unseren Podcast „Wissen kompakt“ Episode: Cybersicherheit ist Chefsache NIS-2 im Fokus – Unwissenheit (bei der Cybersicherheit) schützt vor Strafe nicht. www.tuev-nord.de/ podcast-nis2 Ein Schutzschild für Ihr Business! Mit unseren Weiterbildungen qualifizieren Sie sich oder Ihre Mitarbeitenden für diese wich- tigen Aufgaben und setzen die hohen Anforderungen der NIS- 2-Richtlinie an Unternehmen sicher um. Stellen Sie die Weichen für eine starke IT-Sicherheit in Ihrem Unternehmen! Alle Details zu den TÜV NORD Akademie Seminaren zur NIS-2-Richtlinie Seminar Cybersecurity und IT-Strate- gie für Geschäftsführung und leitende Mitarbeitende IT strategisch führen, Risiken beherrschen und Pflichten der Geschäftsführung erfüllen Seminar-Nr.: 10201531 im Shop www.tuev-nord.de/seminare

6

Verlagsbeilage Governance, Risk und Compliance aus einer Hand TopEase bündelt NIS-2-Compliance und digitale Resilienz Die NIS-2-Richtlinie verlangt von Unternehmen ein höheres Maß an Transparenz, Sicherheit und organisatorischer Verantwortung. Sie verpﬂichtet dazu, Risiken systematisch zu erkennen, Infor- mationssicherheit nachweisbar zu steuern und die digitale Widerstandsfähigkeit der gesamten Organisation zu stärken. Mit TopEase bietet F24 eine integrierte Plattform, die all diese Anforde- rungen in einer Lösung vereint. Von Timo Lutzenberger, F24 Die NIS-2-Richtlinie ver- ändert die Sicherheitslandschaft Europas tiefgreifend. Sie verlangt von Unternehmen und Behörden ein neues Niveau an Transparenz, Ver- antwortlichkeit und digitaler Resili- enz. Besonders betroffen sind Betrei- ber kritischer Infrastrukturen. Vom Energiesektor über Finanzdienst- leister bis hin zur öffentlichen Ver- waltung. Doch wie lässt sich dieser neue Ordnungsrahmen in die Praxis überführen, ohne den Überblick zu verlieren? TopEase, die integrierte Governance-, Risk- und Complian- ce-Plattform von F24, unterstützt Organisationen Struktur, Transparenz und Nachvollziehbar- keit zu schaffen und ermöglicht so die ganzheitliche Umsetzung der NIS-2-Anforderungen. dabei NIS-2 fordert ein Umdenken in Governance und Sicherheit Die neue Richtlinie geht weit über klassische IT-Sicherheit hi- naus. Sie verlangt eine organisations- weite Verantwortung für Informa- tionssicherheit, Risikomanagement, Business Continuity und Lieferket- tenresilienz. CIOs, CISOs und IT- Leiter stehen damit vor der Aufga- be, technische, organisatorische und regulatorische Maßnahmen zu ver- zahnen und diese jederzeit prüf- und nachweisbar zu dokumentieren. TopEase setzt genau hier an: Mit einem objekt- und regelbasierten Ansatz bildet die Plattform sämtliche sicherheitsrelevanten Strukturen ei- nes Unternehmens ab. Von Prozessen über Assets bis zu Risiken, Kontrol- len und Maßnahmen. So entsteht ein digitales Abbild der Organisation, das Transparenz schafft und gleich- zeitig eine belastbare Grundlage für Audits, Reports und Management- entscheidungen bietet. Digitaler Zwilling als Kernkonzept Ein zentrales Konzept von TopEase ist der digitale Zwilling der Organisation. In diesem werden alle relevanten Elemente strukturiert er- fasst, miteinander verknüpft und be- wertet. Abgebildet werden können Prozesse, IT-Systeme, Lieferanten, Standorte, Risiken und Maßnah- men. Durch diese Darstellung lassen sich Abhängigkeiten und Schwach- stellen auf einen Blick erkennen: Welche Systeme sichern kri- tische Geschäftsprozesse? Welche Dienstleister sind besonders sensibel? Wo bestehen regulatorische Risiken? Über interaktive Diagramme und Dashboards visualisiert TopEase diese Zusammenhänge und liefert damit die Grundlage für fundier- te Entscheidungen. Statt isolierter Maßnahmen entsteht eine integrier- te Sicht auf Governance, Risiko und Compliance, genauso, wie NIS-2 sie fordert. Wie TopEase unterstützt Die Module von TopEase übersetzen die regulatorischen Vor- gaben der NIS-2-Richtlinie in struk- turiertes Handeln – automatisiert, nachvollziehbar und integriert über alle Ebenen der Organisation hin- weg. Alle Module sind integriert und datengetrieben. Änderungen wirken sich automatisch auf verknüpfte Be- reiche aus. Das Ergebnis: einheitliche Daten, konsistente Reports und au- 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025

7

ditfeste Nachvollziehbarkeit. Für die NIS-2-Umsetzung sind besonders folgende Module geeignet: Sicherheit (ISMS) – Infor- mationssicherheit strukturiert steuern: Das Sicherheits-Modul von TopEase ermöglicht die systematische Umset- zung von Sicherheitsrichtlinien nach BSI- und ISO-Standards. Schutzbe- darfsanalysen, Abweichungsmanage- ment und automatische Risikoablei- tungen sorgen für Transparenz und Nachweisfähigkeit – inklusive State- ment of Applicability (SOA) und do- kumentierter Sicherheitsziele. Risikomanagement (NFR) – Risiken erkennen und beherrschen: Das Risiko-Modul erfüllt die NIS- 2-Forderung nach einem nachvoll- ziehbaren Risikomanagementpro- zess. Risiken werden zentral erfasst, bewertet und mit Prozessen, Assets und Kontrollen verknüpft. Auto- matisierte Assessments und Risiko- Maps schaffen einen klaren Über- blick über Bedrohungslagen und Maßnahmenwirksamkeit. Business Continuity Manage- ment (BCM/BIA) – Betriebsfähigkeit sichern: Das BCM-Modul bildet die Anforderungen an Resilienz und Wiederanlaufplanung ab. Prozesse, Systeme und Ressourcen werden end-to-end dokumentiert, BIAs durchgeführt und Notfall-, Wieder- anlauf- und Testpläne erstellt. So lässt sich die Betriebs- und Lieferket- tenkontinuität gezielt absichern und belegen. Drittparteien-Risikomanage- ment (TPR) – Lieferketten im Blick be- halten: Dieses Modul sorgt für Trans- parenz und Kontrolle über externe Dienstleister. Es erfasst Lieferanten zentral, bewertet Risiken und Com- pliance-Standards und überwacht SLAs. Damit unterstützt TopEase die NIS-2-Pflicht, die Sicherheit der gesamten Lieferkette nachweisbar zu gewährleisten. Kontrollmanagement (IKS) – Governance und Wirksamkeit sicher- stellen: Unter Kontrollmanagement lassen sich interne Kontrollen doku- mentieren, bewerten und regelmäßig 2 - S I N Strukturierte Risikoerfassung und -bewertung, ergänzt durch interaktive Dashboards für Analysen, Monitoring und Reporting auf allen Organisationsebenen. prüfen. Über das Prinzip der „Three Lines of Defense“ und integrierte Kontrollmatrizen wird die Wirk- samkeit von Sicherheitsmaßnahmen nachgewiesen. Dies ist ein zentraler Bestandteil der NIS-2-Governance- Anforderungen. Compliance, die mitdenkt TopEase ist keine klassische sondern Dokumentationslösung, eine intelligente Steuerungsplatt- form. Das System prüft automatisch auf Vollständigkeit, steuert Freiga- ben nach dem Vier-Augen-Prinzip und generiert Benachrichtigungen für Verantwortliche. Die Historien- funktionen sorgt für vollständige Nachverfolgbarkeit. Über integrier- te Reporting-Tools lassen sich Au- ditberichte, Management-Reports und regulatorische Nachweise auf unkompliziert erzeugen. So wird Compliance zu einem dynamischen Prozess, der nicht hemmt, sondern Effizienz und Verantwortlichkeit stärkt. TopEase unterstützt Single Sign-On (SSO), standardisierte Da- tenimporte und Schnittstellen-Syn- chronisationen. Damit fügt sich die Plattform reibungslos in bestehende IT-Infrastrukturen ein. Organisatio- nen behalten die Kontrolle über ihre Datenhoheit und profitieren von zentraler Governance ohne System- bruch. NIS-2 als Chance für einen integrierten GRC-Ansatz Die europäische NIS- 2-Richtlinie ist ein Katalysator für nachhaltige Informationssicherheit und digitale Resilienz. Mit dem vom Bundeskabinett verabschiedeten NIS2-Umsetzungs- und Cybersi- cherheitsstärkungsgesetz (NIS2Um- suCG) nimmt Deutschland Kurs auf eine neue Sicherheitskultur. Weg vom reaktiven IT-Schutz, hin zu in- tegriertem Risikomanagement, kla- rer Governance und kontinuierlicher Überprüfung. Auch wenn der Druck be- züglich einer ganzheitlichen Regu- lierung hinsichtlich Sicherheit und Governance steigt, ist die neue Re- gulierung eine Chance zur professio- nellen Modernisierung von Sicher- heitsstrukturen TopEase bietet dafür das passende Fundament: struktu- rierte Datenerfassung, transparente Abhängigkeiten und automatisierte Prozesse in einer Plattform. ■ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025 7 Special

8

Verlagsbeilage Angriffserkennung mit der ScanBox Die Umsetzung der NIS-2-Richtlinie ist oft komplex und ressourcenintensiv. Die ScanBox bietet eine einfache, skalierbare Lösung zur Angriffserkennung. Sie erleichtert die Einhaltung der Vor- gaben durch intelligente Analyse und Expertenunterstützung. Von Prof. Dr. Kai-Oliver Detken, DECOIT GmbH & Co. KG Die NIS-2-Richtlinie der Europäischen Union (EU) zur Ver- besserung der Cyber- und Informa- tionssicherheit für Unternehmen und Institutionen ist am 17. Okto- ber 2024 in Kraft getreten. Sie er- weitert die Cybersicherheitsanfor- derungen auf mehr Sektoren und Unternehmen und führt strengere Mindeststandards, Meldepflichten bei Sicherheitsvorfällen sowie höhe- re Strafen ein für mittlere und gro- ße Unternehmen ein, die bestimmte Schwellenwerte bei Mitarbeiterzahl und Umsatz überschreiten. Eine Umsetzung in nationales Recht ist im ersten Quartal 2026 in Deutschland geplant. Spätestens jetzt sollten sich also Unternehmen Gedanken über die Erweiterung ihrer Strategie zur Cybersicherheit machen, um gegen Angriffe von außen und innen sich besser zu schützen oder schlichtweg die Gesetzesvorgaben zu erfüllen. Zentraler Bestandteil der NIS-2-Richtlinie sind die durchzu- führenden Sicherheitsmaßnahmen, die über den bisherigen Stand der Technik hinausgehen. So werden Firewalls als Schutz von äußeren Einflüssen nicht mehr ausreichend angesehen und sollten durch Intru- sion-Detection-Systeme (IDS) und Verschlüsselungstechnologien er- gänzt werden. Eine kontinuierliche Schwachstellenanalyse sollte durch ein IT-Sicherheitsmonitoring ein- geführt werden, um Sicherheitslü- cken frühzeitig erkennen zu können. Hier kommen sogenannte Security- Information-and-Event-Manage- ment-(SIEM) Systeme ins Spiel, die Sicherheitsdaten aus verschiedenen Unternehmensquellen sammeln, analysieren und quasi nahe Echtzeit auswerten. Das Ziel ist es, Bedrohun- gen und Sicherheitsverstöße frühzei- tig zu erkennen, die Einhaltung von Vorschriften zu überwachen und eine schnelle Reaktion zu ermöglichen. Allerdings fehlt häufig in mittelständischen Unternehmen das entsprechende Fachpersonal, um Si- cherheitslücken erkennen und damit Das ScanBox Security-Dashbo- ard bietet einen umfassenden Überblick über die IT-Sicherheitslage mit Echtzeit-Kenn- zahlen zu Events, Alarmen und Agentenstatisti- ken. (Bild: DECOIT GmbH & Co. KG) umgehen zu können. Dies wird von vielen SIEM-Systemen nicht adres- siert. Sie sind für Sicherheitsfach- leute in Security Operation Centern (SOC) entwickelt worden. Hinzu kommt, dass meistens nach volu- menbasierten Tarifen abgerechnet wird. Das heißt, es wird nach dem tatsächlich anfallenden Datenver- kehr der Preis eines solchen Systems ermittelt, wodurch eine feste Plan- barkeit der Kosten sich für Unter- nehmen schwierig gestaltet. Die DECOIT hat diese Problematik erkannt und ein SIEM- System mit dem Namen ScanBox (https://scanbox-product.de) ent- wickelt, welches ein einfach zu ver- stehendes Dashboard für den IT-Sys- temadministrator enthält und nach der Anzahl der zu überwachenden Assets fest tarifiert wird. Es passt sich daher speichermäßig, als auch preislich der Firmengröße an. Zu- dem ist es „Made in Germany“. Durch die integrierte Cyber-Thre- at-Intelligence-Korrelation werden aktuelle Bedrohungsdaten genutzt, um verdächtige Muster zu erkennen, Angriffe auszumachen und schnell entsprechende Gegenmaßnahmen einleiten zu können. Auf einen Blick kann so der Administrator erkennen, ob eine problematische Sicherheits- lücke vorhanden ist, auf die er sofort reagieren muss, oder die Schwach- stellbehebung noch warten kann. Bei technischen Fragen kann er sich nach Bedarf an ein externes SOC wenden, dass die Sicherheitslücke ebenfalls analysiert und ihm Lösungsvorschlä- ge unterbreitet. So ist er gut auf zu- künftige Bedrohungen vorbereitet. ■ 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025

9

Secupedia – das Portal für Sicherheitsinformationen Wir bedanken uns bei unseren Sponsoren: Bild: comauthor - stock.adobe.com

10

Verlagsbeilage Software ibi systems iris unterstützt Unternehmen bei der NIS-2-Umsetzung Die ISMS- und GRC-Software ibi systems iris bietet Funktionen zur strukturierten Umsetzung der NIS-2-Anforderungen. Das Tool deckt zentrale Bereiche von der Betroffenheitsprüfung bis zum Risikomanagement ab. Von Dr. Stefan Wagner, Jad Al-Gaf, Teresa Geiger, ibi systems GmbH Die Software ibi systems iris hilft Unternehmen dabei, gezielt die Anforderungen der NIS-2-Richtlinie umzusetzen. Sie gewährleistet eine nachvollziehbare Ein- haltung gesetzlicher Vorgaben und schafft Transparenz in allen Compliance-Prozessen. Den Ausgangspunkt hierfür bildet ein integrier- ter Prüfkatalog des Bundesamtes für Informationssicher- heit (BSI) zur Ermittlung der Betroffenheit. Dieser hilft Unternehmen dabei, zuverlässig festzustellen, ob sie unter den Anwendungsbereich der NIS-2-Richtlinie fallen. Ein weiterer Katalog bildet die NIS-2-Umsetzungsverordnung (NIS2 UmsVO) ab, welche die Vorgaben der Richtlinie (Richtlinie (EU) 2022/2555) konkretisiert. Der Prüfka- talog ermöglicht es, die Anforderungen systematisch zu prüfen, Lücken zu identifizieren und die Umsetzung ge- zielt anzugehen. Damit entsteht eine fundierte Grundlage für die strukturierte Erfassung und Bewertung der Sicher- heitsanforderungen sowie für die Steuerung der damit ver- bundenen Sicherheitsmaßnahmen und Risiken. NIS2 UmsVO 4/100 Frage delegieren Kommentare Übersicht 2. Risikomanagement 2.1 Rahmen 2.2 Einhaltung 2.3 Netzsicherheit 3. Sicherheitsvorfälle 3.1 Bewältigung 3.2 Protokollierung 3.3 Meldung 3.4 Bewertung 3.5 Reaktion Beschreibung 2.2 Einhaltung Nicht umgesetzt Teilweise umgesetzt Umgesetzt Nicht relevant Begründung Schreiben… Nachweis Schreiben… Zurück Weiter Eine dedizierte App für die Prüfungs- durchführung leitet intuitiv durch die Anforderungen mit den vorab definierten Antwort- möglichkeiten. Bei der Beantwortung der Fragen kann eine Begründung sowie ein Nachweis hinter- legt werden. (Bild: ibi systems GmbH) 1. Risikomanagement und Maßnahmen Mit der Software kann der Anwendungsbereich bestehend aus Organisationseinheiten, Assets und Prozes- sen inkl. Schutzbedarfsfeststellung als Basis für das Risiko- management abgebildet werden. Im Rahmen von Prüfungen lassen sich Schwach- stellen identifizieren, die zu Risiken führen können. Je- des Risiko erhält eine Kategoriezuordnung und definier- te Verantwortlichkeiten. Bei der an die Identifikation anschließenden Risikobewertung werden die Risiken in den Dimensionen Schadenauswirkung und Eintrittswahr- scheinlichkeit bewertet und in einer Risikomatrix darge- stellt. Dabei ist auch die Einbeziehung weiterer Parameter, wie beispielsweise vergangener Vorfälle, möglich. Bei der Auswahl der Risikobehandlungsstrategie lassen sich risikomindernde Maßnahmen unmittelbar ab- leiten und planen. Für eine Maßnahme können zum Bei- spiel die Wirksamkeit, die Umsetzer sowie das geplante Umsetzungsdatum angegeben werden. Darüber hinaus lässt sich die Entwicklung der Ri- siken über die Historie der Risikobewertungen einschließ- lich der jeweils definierten Maßnahmen nachvollziehen. Übersicht Risiko Risikomatrix IST-Bewertung - r h a w s t t i r t n E i t i e k h c i l i n e h c s X Schadenauswirkung SOLL-Bewertung X Schadenauswirkung - r h a w s t t i r t n E i t i e k h c i l i n e h c s 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025 Risikoübersicht mit IST- und SOLL-Vergleich (Bild: ibi systems GmbH)

11

2. Meldepﬂichten für Sicherheitsvorfälle Zentral erfasste Vorfälle können per API-Schnitt- stelle in ibi systems iris übertragen werden. Die Lösung ermöglicht die Aufbereitung und Nachverfolgung der Vorfälle im Rahmen gesetzlicher Meldepflichten. Ferner unterstützt das System direkte Follow-up-Aktivitäten – etwa die Verknüpfung der dokumentierten Vorfälle mit Risiken und Maßnahmen. 3. Betriebskontinuitäts- und -krisenmanagement Die Grundlage für das Business-Continuity-Ma- nagement bildet die Erfassung von Assets, kritischen Ge- schäftsprozessen und Schadensszenarien in ibi systems iris. Mithilfe der Software können strukturierte Business- Impact-Analysen (BIA) durchgeführt und die geforderte Wiederanlaufzeit definiert werden. Die Reportingfunk- tion erstellt Wiederanlauf- und Wiederherstellungspläne. Notfallereignisse können ebenfalls erfasst und analysiert werden. Aus den Ergebnissen resultierende Risiken wer- den bewertet und behandelt. 4. Sicherheit der Lieferkette ibi systems iris bildet vordefinierte oder individu- elle Prüfkataloge ab – von internen und externen Audits über Checklisten und Fragebögen bis hin zu Lieferan- tenprüfungen und Application Security Checks. Die de- dizierte App für die Prüfungsdurchführung bindet auch Dritte ein, die ausschließlich Zugriff auf ihre zugewiese- nen Prüfungen erhalten. Die Anwendung führt durch die Fragestellungen; Rückfragen werden direkt in der App ohne Medienbruch geklärt. Prüfungsergebnisse werden über die aus den Er- gebnissen resultierenden Maßnahmen, Feststellungen und Risiken nachverfolgt. Da die Elemente eine Verknüpfung zur Prüfung haben, ist jederzeit eine Auswertung pro Prü- fung mit dem Status der dazugehörigen Follow-Up-Akti- vitäten möglich. 5. Zuweisung von Rollen und Verantwortlichkeiten Unternehmen können in der Software Rollen definieren und sämtlichen Datensätzen Verantwortlich- keiten zuordnen. Dadurch werden Compliance-Pflichten transparent abgebildet und Verantwortlichkeiten bleiben jederzeit nachvollziehbar. 6. Überwachungen und Audits die Risiken selbst kontinuierlich zu überwachen und den Maßnahmenstatus zu verfolgen. Individuell definierbare Automationen und Be- nachrichtigungsregeln stellen die Umsetzung sicherheits- relevanter Aufgaben sicher. So kann zum Beispiel die auto- matische Erstellung von Prüfungen geplant, der Umsetzer einer Maßnahme rechtzeitig vor dem Umsetzungstermin erinnert oder die für ein Risiko verantwortliche Person bei einer anstehenden Neubewertung informiert werden. 2 - S I N Dashboards bieten beispielsweise einen Überblick über Vorfälle, Maßnahmen oder den Grad der Compliance zu Regelwerken. (Bild: ibi systems GmbH) Vorgefertigte und frei konfigurierbare Reports und interaktive Dashboards tragen ebenfalls zum effekti- ven Management bei. Beispielsweise liefern Heatmaps zu Risiken, Statusübersichten zu Maßnahmen, Vorfallsüber- sichten oder Compliance-Cockpits relevante Informatio- nen für Management, Audits oder Behördenmeldungen. Somit werden notwendiger Handlungsbedarf und Verbes- serungspotenziale auf einen Blick ersichtlich. Fazit ibi systems iris deckt die wesentlichen Anforde- rungsbereiche der NIS-2-Richtlinie in einer integrierten Lösung ab. Die durchgängige Verknüpfung von Risiken, Maßnahmen, Vorfällen und Prüfungen ermöglicht eine konsistente Dokumentation und erleichtert die Nachweis- führung gegenüber Aufsichtsbehör- den. Die modulare Struktur erlaubt eine schrittweise Einführung ent- sprechend den organisationsspezi- fischen Prioritäten. ■ ibi systems iris macht es durch weitere Prüfungen und Kennzahlen einfach, sowohl die Maßnahmen als auch www.ibi-systems.de © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025 11 Special

12

Verlagsbeilage NIS-2: Mehr als eine Checkliste Warum echte Resilienz jetzt zum entscheidenden Wettbewerbsvorteil wird NIS-2 ist die Antwort auf systemische Risi- ken und verlagert die Verantwortung für Cybersicherheit auf die Führungsebene und die gesamte Lieferkette. Als globaler Berufs- verband, der Fachkräfte und Organisatio- nen beim Aufbau von digitalem Vertrauen fördert, unterstützt ISACA Unternehmen mit anerkannten Rahmenwerken und der Quali- ﬁzierung umfassend geschulter Cybersicher- heitsexperten dabei, die weitreichenden Anforderungen der Richtlinie zu erfüllen und die notwendige Kompetenz sowie echte Resilienz aufzubauen. Von Chris Dimitriadis, ISACA Die zunehmende Vernetzung globaler Lieferket- ten und digitaler Ökosysteme ist Fluch und Segen zu- gleich. Sie steigert die Effizienz, schafft aber auch neue, systemische Risiken. Ein einzelner Ausfallpunkt – ob bei einem Cloud-Anbieter, einem Software-Hersteller oder einem anderen kritischen Dienstleister – kann eine Ket- tenreaktion auslösen. Die Auswirkungen dieses Phäno- mens, eine Art digitaler Pandemie, hat die Welt in der jüngsten Vergangenheit mehrfach zu spüren bekommen: Kritische Sektoren wie Kommunikation, Verkehr, Handel und zentrale Arbeitsprozesse wurden dabei weitreichend beeinträchtigt. Die Konsequenzen – von Produktivitätsverlusten über schwindendes Vertrauen bis hin zu wirtschaftlicher Instabilität – stellen ein allgegenwärtiges Risiko für jedes Unternehmen dar. Cyber-Resilienz darf daher nicht nur eine reaktive Maßnahme sein, sondern muss zum funda- mentalen Bestandteil der Infrastruktur und Geschäftsstra- tegie werden. Hier setzt die NIS-2-Richtlinie der Europäischen Union an. Sie ist die legislative Antwort auf die neue Ri- sikolandschaft und bietet – richtig interpretiert – Unter- nehmen einen strategischen Rahmen, um die eigene Wi- derstandsfähigkeit zu stärken. Dies gilt nicht nur für die Unternehmen der kritischen Infrastruktur, die direkt von NIS-2 betroffen sind, sondern für alle Organisationen, welche die Richtlinie als strategischen Rahmen für ihre Cybersicherheit nutzen. 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025

13

2 - S I N Verlagerter Fokus Die Richtlinie verschärft die Sicherheitsanforde- rungen für Unternehmen und erweitert den Kreis der be- troffenen Sektoren. Ziel ist, ein einheitlich hohes Cyber- sicherheitsniveau in der gesamten EU zu gewährleisten. Zwei Aspekte stehen dabei besonders im Fokus. NIS-2 verankert die Cybersicherheit unmissverständlich auf der Führungsebene. Geschäftsführer und Vorstände sind in der Pflicht, Risikomanagementmaßnahmen für die Cy- bersicherheit zu überwachen und zu genehmigen. Um strategische Entscheidungen zur Stärkung der Resilienz zu treffen, müssen sie daher die Risikolandschaft aktiv verstehen. Zudem zeigt die Richtlinie, dass die eigene Resili- enz untrennbar mit der Sicherheit der Partner und Dienst- leister verbunden ist. Unternehmen werden verpflichtet, die Cybersicherheitsrisiken in ihrer gesamten Lieferkette zu bewerten und zu managen. Dazu gehören eine sorgfäl- tige Auswahl von Lieferanten, die vertragliche Festlegung von Sicherheitsstandards und eine kontinuierliche Über- wachung der Partner. Zwischen Anspruch und Wirklichkeit Das zentrale Hindernis bei der Umsetzung ist für viele Organisationen die Lücke zwischen den regulatori- schen Anforderungen und den verfügbaren Ressourcen. Dies betrifft zum Beispiel den kritischen Mangel an quali- fizierten Cybersicherheits-Fachkräften. So geben laut dem „State of Cybersecurity“-Report von ISACA 58 Prozent der europäischen Cybersicherheitsexperten an, dass ihre Teams unterbesetzt sind. Zudem sagen 54 Prozent aus, dass die Budgets für Cybersicherheit in ihrem Unterneh- men unterfinanziert sind. Verschärft wird die Herausforderung durch eine zunehmend komplexe regulatorische Landschaft, in der NIS-2 neben anderen wesentlichen Vorgaben wie DORA und dem AI Act steht. CISOs und die verantwortlichen Führungskräfte müssen jetzt unter hohem Druck die Compliance sicherstellen und gleichzeitig die Ressourcen- knappheit navigieren. ter und Partner wünschen sich resiliente Glieder in der Lieferkette. NIS-2 fordert eine integrierte Sicht auf Governan- ce, Risiko und Compliance (GRC), die Silos zwischen IT, Geschäftsleitung und Lieferanten aufbricht. Genau diese Vorgehensweise ist ausschlaggebend, um echte Resilienz zu schaffen. Wenn die Geschäftsführung die Risiken versteht und der CISO die Sprache des Vorstands spricht, können Investitionen gezielt und strategisch getätigt werden: zum Schutz kritischer Prozesse und Aufbau eines vertrauens- würdigen digitalen Ökosystems. NIS-2 ist der Rahmen, der Unternehmen befähigt, diese Transformation struktu- riert anzugehen. Kompetenz als Fundament Die erfolgreiche Umsetzung von NIS-2 hängt maßgeblich von der nachweisbaren Expertise der verant- wortlichen Fachkräfte ab. Die international anerkannten Qualifikationen von ISACA bieten einen weltweit akzep- tierten Standard für die Kompetenzen, die für die neuen Anforderungen unerlässlich sind. Sie befähigen Experten unter anderem dazu, Cybersicherheitsstrategien auf Füh- rungsebene zu entwickeln und zu steuern, robuste Gover- nance-Strukturen zu etablieren, komplexe Risiken in der gesamten Lieferkette zu bewerten und zu managen sowie die implementierten Sicherheitsmaßnahmen unabhängig zu prüfen und die Compliance zu belegen. Die Struktur für diese Prozesse liefern interna- tional anerkannte Rahmenwerke wie das von ISACA ent- wickelte Control Objectives for Information and Related Technology (COBIT), das als bewährtes Modell für die IT- Governance dient. Ergänzt wird es unter anderem durch Leitfäden und Whitepaper sowie den Austausch innerhalb der globalen ISACA-Community, der bei der Interpreta- tion neuer Regularien hilft. Durch das Zusammenspiel aus Qualifizierung, strukturierten Rahmenwerken und praxis- orientiertem Wissen unterstützt ISACA Organisationen dabei, NIS-2 nicht nur als Pflicht zu erfüllen, sondern als strategische Chance für den Aufbau nachhaltiger Resilienz und eines entscheidenden Wettbewerbsvorteils zu nutzen: digitales Vertrauen. Vom Regelwerk zum Wettbewerbsvorteil Der CISO als Architekt der Resilienz Als globaler Berufsverband, der sich seit über 55 Jahren dem Aufbau von digitalem Vertrauen widmet, betrachtet ISACA die NIS-2-Richtlinie als Katalysator für einen überfälligen Wandel. Es geht darum, Cybersicher- heit als integralen Bestandteil der Unternehmensstrategie und als Grundlage für digitales Vertrauen zu etablie- ren – ein Faktor, der zunehmend über den Markterfolg entscheidet. Denn er wird zum direkten Wettbewerbs- vorteil: Kunden bevorzugen nachweislich sichere Anbie- Die erfolgreiche Bewältigung der NIS-2-Anforde- rungen ist eine Bewährungsprobe für die strategische Reife eines Unternehmens. Sie etabliert den CISO endgültig als Architekten der unternehmerischen Resilienz und löst ihn von der Rolle des technischen Verwalters. Organisationen, die jetzt in die Kompetenz ihrer Fachkräfte investieren, si- chern nicht nur ihre Compliance, sondern vor allem ihre Zukunftsfähigkeit in einer zunehmend vernetzten und an- fälligen digitalen Welt. ■ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special NIS-2 Lösungen und Services, Dezember 2025 13 Special

14

15

+ Mehr wissen mit Sichern Sie sich Ihren Wissensvorsprung in der Informationssicherheit! ▪ Fachzeitschrift inkl. Specials 6x jährlich per Post und digital. ▪ Zugang zu aktuellen Online-Fachartikeln und Studien sowie zu dem kompletten Online-Archiv. ▪ Exklusiver Zugriff auf über zwanzig neue Online-Premium-Artikel pro Monat sowie auf aktuelle Videos und Webinaraufzeichnungen. ▪ 10 % Rabatt auf DATAKONTEXT- Online-Schulungen im Bereich Informations sicherheit. ▪ nur 199,— € im Jahr (inkl. Mwst. und Versand) Leseprobe auf den Folgeseiten Jetzt informieren: www.kes-informationssicherheit.de

16

Management und Wissen NIS-2-Schulungspflicht §§ 500 ! §§ 1 0 0 0 ! Activation Teaming   Choice  Nesting  Outcome  Iteration Schulungspﬂicht für Top-Manager Inhalte, Standards und Prüfmaßstäbe nach NIS-2 für die obligatorische Cyberkompetenz von Geschäftsleitungen Die EU NIS-2-Richtlinie verschärft erheblich die Verantwortung des Top-Managements für Cybersicherheit. Geschäftsleitungen müs- sen Cybersicherheit als Teil der Unterneh- mensführung begreifen und sind regelmäßig zu schulen, um Risiken bewerten, Maßnah- men überwachen und gesetzliche Pﬂichten erfüllen zu können. Der vorliegende Beitrag beschreibt die inhaltlichen, organisatori- schen und regulatorischen Anforderungen an solche Management-Schulungen und liefert eine praxisnahe Orientierung, um Cyberkom- petenz systematisch zu verankern. Von Fabian M. Teichmann, St. Gallen (CH) Die NIS-2-Richtlinie der EU [1] stellt neue An- forderungen an Unternehmen in Bezug auf Cybersi- cherheit. Erstmals rückt dabei die Verantwortung der Geschäftsleitung stark in den Fokus, weil Führungsgremi- en (Management-Bodies) Cybersicherheit als inte gralen Bestandteil der Unternehmensführung etablieren müssen. In Deutschland wird die Richtlinie durch das Mitte No- vember verabschiedete „Gesetz zur Umsetzung der NIS- 2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundes- verwaltung“ (vormals NIS-2-Umsetzungs- und Cybersi- cherheitsstärkungsgesetz, NIS-2UmsuCG) umgesetzt. Bis zum Redaktionsschluss dieser Ausgabe lag allerdings noch keine konsolidierte Fassung des Gesetzestexts vor – zuletzt hatte der Innenausschuss in seiner Beschlussempfehlung [2] noch Änderungen am Entwurf der Bundesregierung [3] vorgeschlagen, die vom Deutschen Bundestag ange- nommen wurden. Das neue Gesetz sieht unter anderem in § 38 BSIG-E „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ vor, dass Geschäftsleitungen regelmäßig geschult werden, um ihren Pflichten bei der Umsetzung und Überwachung von Sicherheitsmaßnah- men gerecht zu werden. Verstöße können zu erheblichen Sanktionen und sogar persönlicher Haftung der leitenden Personen führen. Vor diesem Hintergrund steigt der Druck auf Vorstände* und Geschäftsführer, sich Cyberkompe- tenz anzueignen. Bereits am 30. September 2025 hat das BSI eine vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichti- ger Einrichtungen und wichtiger Einrichtungen [4] nach dem NIS-2-Umsetzungsgesetzentwurf publiziert. Im Folgenden wird erläutert, welche Inhalte die entsprechenden Schulungen abdecken müssen, wer sie durchführen sollte, wie sich die Wissensvermittlung effektiv gestalten (siehe auch S. 56) und woran sich die Wirksam- keit messen lässt. Ziel ist es, einen strukturierten fachlichen Überblick zu geben, der sowohl Geschäftsführungen, CI- SOs als auch Aufsichtsbehörden Orientierung bietet. 62 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#6

17

Erforderliche Schulungsinhalte NIS-2 verpflichtet das Top-Management, sich aus- reichende Kenntnisse und Fähigkeiten in der IT-Sicherheit anzueignen. Der Kerninhalt solcher Schulungen ist das Ri- sikomanagement (vgl. [5]): Führungskräfte sollen lernen, IT-Risiken zu erkennen, zu bewerten und angemessen zu steuern. Tatsächlich betont § 38 Abs. 3 BSIG-E, dass Ge- schäftsleitungen in die Lage versetzt werden müssen, Ri- siken und Risikomanagement-Praktiken im Bereich der Informationssicherheit zu identifizieren und zu beurteilen – diese methodische Kompetenz steht im Zentrum. Darüber hinaus sollten Schulungen für die Ge- schäftsführung folgende Themenbereiche abdecken: Aktuelle Bedrohungslage: Vermittlung der neuesten Cyberbedrohungen und Angriffsarten, etwa Ransomware, Ausnutzung von Schwachstellen, Supply- Chain-Angriffe et cetera sowie deren potenzielle Auswir- kungen auf das eigene Unternehmen (vgl. [6]). Damit wird sichergestellt, dass die Leitung über aktuelle Entwick- lungen und Bedrohungen informiert ist und ein Gefühl für die Dringlichkeit von Schutzmaßnahmen entwickelt. Grundlagen von Incident-Response und Notfall- planung/Business-Continuity-Management (BCM): Die Geschäftsleitung sollte wissen, welche Notfall- und Reak- tionspläne sowie Krisenmaßnahmen bereitstehen und wie sie im Ernstfall zu aktivieren sind. Dazu gehören Melde- wege bei IT-Sicherheitsvorfällen, Kommunikationspläne sowie Zuständigkeiten im Krisenstab. Empfohlen wird auch, das Krisenmanagement regelmäßig in Planspielen oder Simulationen zu üben, damit Entscheider die Abläu- fe verinnerlichen. Einführung in methodisches Risikomanagement – Aufbau eines Informationssicherheits-Risikoprozesses: Dies umfasst das Identifizieren von schutzwürdigen Gü- tern und Schwachstellen, Analysieren von Risiken (Be- drohung und Verwundbarkeit), Bewerten von Risiken (z. B. nach Eintrittswahrscheinlichkeit und Schadens- höhe) sowie deren Behandlung durch geeignete Sicher- heitsmaßnahmen – die kontinuierliche Überwachung des Risikoprozesses gehört ebenfalls dazu. Ein strukturelles Verständnis versetzt das Management in die Lage, Sicher- heitsrisiken angemessen einzuschätzen und priorisierte Entscheidungen zu treffen. Überblick über anerkannte Standards und Best Practices der Informationssicherheit, damit die Führungs- ebene die eigenen Sicherheitsmaßnahmen im Kontext ver- orten kann: Dazu zählen beispielsweise die ISO/IEC 27001 (Informationssicherheits-Managementsystem, ISMS) so- wie darauf aufbauende Normen wie ISO 27002 (IS-Maß- nahmen) und ISO 27005 (Risikomanagement, vgl. Kap. 5 in [7]) oder branchenspezifische Standards. Auch der BSI IT-Grundschutz (www.bsi.bund.de/grundschutz) sowie branchenspezifische Sicherheitsstandards (B3S, www.bsi. bund.de/dok/13099278) sollten erwähnt werden, sofern relevant. Durch diese Orientierung wird verdeutlicht, wel- che Mindestanforderungen üblich sind und wo das eigene Unternehmen steht. Zudem sollten grundlegende orga- nisatorische und technische Maßnahmen auf „Manage- ment-Niveau“ (Strategie und Verantwortlichkeiten, keine technische Detailtiefe) besprochen werden – etwa Zu- gangskontrollen, Backup-Strategien, Patchmanagement, Netzwerksicherheit und Security-Monitoring. Rechtliche Pflichten und Haftung: Die gesetz- lichen Verpflichtungen für die Geschäftsleitung nach NIS-2 erfolgen in nationaler Umsetzung durch das ein- gangs erwähnte Gesetz. § 38 BSIG-E fordert die Billigung und Überwachung von Cyberrisikomanagement-Maß- nahmen durch das Leitungsorgan. Den Führungskräften muss klar werden, welche Pflichten sie persönlich treffen – zum Beispiel Schulungspflicht, Pflicht zur Umsetzung an- gemessener Sicherheitsmaßnahmen oder Meldepflichten bei Incidents (§ 32 BSIG-E) – und welche Konsequenzen drohen, falls sie diese Pflichten vernachlässigen: beispiels- weise Bußgelder bis zu 10 Mio. € beziehungsweise 2 % vom Umsatz (§ 65 Abs. 5 BSIG-E) oder persönliche Haf- tungsansprüche bei grober Pflichtverletzung. Dieses The- ma sensibilisiert für die Verantwortlichkeit und schafft Motivation, die zuvor genannten Inhalte ernst zu nehmen. Auch verwandte Rechtsgebiete – etwa der Datenschutz (sowie DSGVO-Bußgelder bei unzureichender Sicherheit, siehe etwa [8] zu Art. 33 DSGVO) – können kurz ange- sprochen werden, um ein ganzheitliches Verständnis der Compliance-Lage zu vermitteln. Zur didaktischen Aufbereitung empfehlen Exper- ten – und auch das BSI in seiner ersten Handreichung [4] – eine modulare Gliederung der Schulungsinhalte. Konkret lässt sich der Lehrstoff in Vorbereitungs-, Kern- und Er- gänzungsmodule unterteilen: Vorbereitende Module liefern der Geschäftsleitung wichtiges Kontextwissen wie Grund- begriffe der IT-Sicherheit, Bedrohungslandschaft oder rechtliche Rahmenbedingungen, um ein gemeinsames Verständnis zu schaffen. Darauf bauen die Kern-Module auf, welche die oben genannten zentralen Inhalte vertiefen (Risikomanagement-Prozess, Notfallmanagement, Pflich- ten). Ergänzende Module können schließlich spezifische Themen behandeln, die je nach Unternehmensprofil re- levant sind – etwa besondere Branchenrisiken, Fallstudien zu realen Cybervorfällen oder neue Entwicklungen (z. B. Cloud-Sicherheit, Supply-Chain-Risiken oder künstliche Intelligenz, KI). Durch ein derart modulares Konzept lassen sich Schulungen flexibel an Vorkenntnisse und Bedürfnis- se der Teilnehmer anpassen. Das BSI schlägt vor, externe © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#6 63

18

Management und Wissen NIS-2-Schulungspflicht Standard-Schulungen durch solche unternehmensspezi- fischen Module zu ergänzen, um Theorie und Praxis zu verzahnen. Die allgemeinen Grundlagen werden also ge- gebenenfalls von externen Experten vermittelt, während interne Fachleute die Umsetzung im eigenen Unterneh- men illustrieren: beispielsweise die Vorstellung der eige- nen Notfallprozesse, Richtlinien und bereits umgesetzten Maßnahmen. Trainings: intern vs. extern Grundsätzlich kommen für die Durchführung von Schulungen sowohl interne Experten als auch exter- ne Anbieter infrage – oft ist eine Kombination sinnvoll. Ein internes Schulungsteam könnte etwa der Chief-Information-Security-Officer (CISO) oder IT-Si- cherheitsbeauftragte (IT-SiBE) leiten: Interne Experten kennen die spezifischen Geschäftsprozesse, die vorhande- ne IT-Landschaft und die Unternehmenskultur am bes- ten. Sie können dadurch Schulungsinhalte passgenau auf die eigene Organisation zuschneiden und mit vertrauli- chen Details arbeiten (etwa interne Risikoberichte oder vergangene Sicherheitsvorfälle). Zudem signalisiert es En- gagement, wenn der eigene CISO das Top-Management schult – es entsteht ein direkter Dialog zwischen Führung und Sicherheitsteam. Allerdings sind nicht alle Unternehmen in der Lage, solche Schulungen eigenständig didaktisch hochwer- tig aufzusetzen. Hier kommen externe Schulungsanbieter ins Spiel, die auf Management-Schulungen im Bereich Cybersecurity spezialisiert sind. Externe Trainer bringen breitgefächertes Fachwissen und Erfahrung aus vielen Un- ternehmen mit. Sie können anhand von Best Practices und Branchenvergleichen aufzeigen, wo Handlungsbedarf besteht, und kennen aktuelle Bedrohungen oft aus erster Hand (z. B. aus der Incident-Response- Beratung). Professionelle Anbieter, etwa von Schulungsaka- demien oder zertifizierte Trainer, verfügen zudem meist über erprobtes Schulungsmaterial und didaktische Kon- zepte, die speziell auf Führungskräfte zugeschnitten sind. Nicht zuletzt wird ein externer Nachweis von manchen Aufsichtsbehörden oder Kunden positiver wahrgenom- men: Ein offizielles Zertifikat oder eine Teilnahmebe- scheinigung eines renommierten Schulungsinstituts kann reputationsfördernd sein und im Audit als Beleg dienen. Die optimale Lösung liegt häufig in einer Misch- strategie: So könnte etwa ein externer Dienstleister ein Grundlagenseminar zu NIS-2-Anforderungen, Bedro- hungslage und Risikomanagement-Methodik anbieten, während interne Verantwortliche firmenspezifische Aspek- te ergänzen. Tatsächlich hält das BSI es für zweckmäßig, externe Schulungsangebote um unternehmensindivi- duelle Inhalte zu erweitern, die durch interne Experten vermittelt werden. Beispielsweise könnte nach einem all- gemeinen Teil ein interner CISO erläutern, wie das Risi- komanagement konkret im eigenen Haus umgesetzt wird, welche Notfallpläne existieren und wo die größten Risi- ken aus Sicht der Organisation liegen. Eine solche Zu- sammenarbeit stellt sicher, dass die Schulung sowohl dem allgemeinen Stand der Technik entspricht als auch die in- dividuellen Gegebenheiten berücksichtigt. Qualifikation der Referenten Ob intern oder extern, die Lehrenden sollten über umfassende Fachkenntnisse der Cybersecurity verfügen und didaktische Fähigkeiten besitzen. Führungskräfte ler- nen anders als Techniker, da es weniger um operative De- tails als um strategische Relevanz, Zusammenhänge und Entscheidungsfolgen geht. Daher sollten Trainer in der Lage sein, komplexe technische Sachverhalte in geschäfts- relevante Sprache zu übersetzen. Zertifizierungen (z. B. CISM, CISSP, ISO- 27001-Trainer) können ein Indikator für Kompetenz sein, sind aber nicht allein entscheidend. Wichtiger sind Erfahrungen in der Kommunikation mit dem Top-Ma- nagement und idealerweise ein Verständnis der jeweiligen Branche. Im Falle interner Trainer sollte man prüfen, ob eine „Train-the-Trainer“-Weiterbildung sinnvoll ist, um Präsentationstechniken und pädagogische Methoden zu optimieren. Effektive Wissensvermittlung Ein zentrales Anliegen ist, dass die adressierten Führungskräfte die vermittelten Inhalte wirklich verste- hen und in ihrem Handeln berücksichtigen. Dafür genügt es nicht, sie einmalig mit theoretischen Folien zu „beschal- len“ – stattdessen sind didaktisch abwechslungsreiche For- mate und regelmäßige Auffrischungen gefragt. Didaktische Aufbereitung Empfehlenswert sind interaktive Lehrmethoden, die das Top-Management aktiv einbinden: Klassische Frontalvorträge stoßen schnell an Grenzen und Mana- ger schätzen eher praxisnahe und relevante Inhalte. Fall- studien etwa bieten die Möglichkeit, echte Cybervorfälle – möglichst aus ähnlichen Branchen – gemeinsam zu ana- lysieren: Was ist passiert? Welche Entscheidungen hätte das Management treffen müssen? Welche Lehren ergeben sich? Solche Beispiele erhöhen die Aufmerksamkeit und zeigen konkret, warum ein Thema wichtig ist. Ebenfalls bewährt haben sich Planspiele oder Ta- bletop-Exercises, in denen man ein simuliertes Szenario 64 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#6

19

Management und Wissen NIS-2-Schulungspflicht durchspielt. Beispielsweise könnte ein Ransomware-An- griff auf das eigene Unternehmen simuliert werden; Die Geschäftsleitung muss unter Zeitdruck entscheiden, ob Systeme abgeschaltet, externe Stellen informiert oder Lösegeldforderungen adressiert werden. Durch solche Übungen in geschützter Umgebung wird klar, wo noch Unsicherheiten bestehen, und die Führungskräfte lernen durch Erfahrung. NIS-2 fordert explizit, dass das Manage- ment Cybersicherheitsrisiken beurteilen kann – auch das gelingt am besten durch kontinuierliches Üben. Format und Dauer Die gesetzliche Mindestvorgabe laut Entwurf ist eine Schulung alle drei Jahre für etwa vier Stunden (§ 38 Abs. 3 BSIG-E bzw. Vorgabe 4.2.4 in [3]). Experten hal- ten dieses Intervall für das absolute Minimum – sinn- voll ist es, häufiger und in kleineren Häppchen Wissen zu vermitteln. Beispielsweise könnte jährlich eine kürzere Fortbildung (1–2 Stunden) zu neuen Bedrohungen oder geänderten Compliance-Vorgaben stattfinden sowie alle 2–3 Jahre ein größerer Workshop inklusive Simulations- training. Auf diese Weise bleibt das Thema präsent und die Inhalte veralten nicht. Wichtig ist, die verfügbare Zeit der Top-Mana- ger effizient zu nutzen: E-Learning-Module können etwa Grundwissen vorausliefern, sodass die Präsenzzeit für Dis- kussion und Praxis genutzt wird. Auch Blended Learning – also eine Mischung aus Online-Selbststudium und ge- meinsamen Workshops – kann den Wissenstransfer ver- bessern. Entscheidend ist, dass nach Abschluss einer Schu- lung Raum für Fragen bleibt – ein moderiertes Q&A oder Rundengespräch hilft, Unklarheiten auszuräumen und Feedback der Teilnehmer aufzunehmen. So spürt der Trai- ner, ob die Kernbotschaften angekommen sind – und die Führungskräfte haben Gelegenheit, die Relevanz für ihr Tagesgeschäft zu reflektieren. Verständnis prüfen Um sicherzugehen, dass vermitteltes Wissen wirk- lich verankert ist, bieten sich leichte Kontrollmechanis- men an. Das muss kein Examen sein, aber etwa ein kurzes Quiz oder die gemeinsame Bewertung eines Beispielrisi- kos können Aufschluss über die Erfolge geben. Manche Organisationen lassen die Teilnehmer am Ende anonym Feedback geben und ein Selbstassessment durchführen: „Wie sicher fühle ich mich nun beim The- ma Cyberrisiken?“ Andere führen einige Wochen nach der Schulung einen Follow-up-Termin oder ein Memo mit Schlüsselfragen durch, um das Gelernte aufzufrischen. Solche Maßnahmen fördern die nachhaltige Verankerung. Wichtig ist zu bedenken, dass Menschen die ent- scheidenden Faktoren in der Cyberabwehr bleiben (vgl. auch [6]). Schließlich lässt sich auch beobachten, ob und wie sich das Verhalten der Geschäftsführung ändert – etwa ob in Vorstandssitzungen nun regelmäßig Cyberrisi- ken erörtert werden oder Sicherheitsüberlegungen stärker in Entscheidungsprozesse einfließen. Solche Verhaltensin- dikatoren deuten darauf hin, dass echtes Verständnis ge- wachsen ist. Dokumentation und Nachweis Von großer Bedeutung – gerade im Hinblick auf Prüfbarkeit – ist die sorgfältige Dokumentation der Schulungen. Jede durchgeführte Maßnahme sollte pro- tokolliert werden – inklusive Datum, Dauer, Teilnehmer, Dozenten und behandelten Inhalten. Empfehlenswert ist beispielsweise das Führen von Teilnahmebescheinigungen oder -listen, die von den Teilnehmern unterschrieben oder digital bestätigt werden (vgl. § 30 Abs. 1 BSIG-E inkl. Er- läuterung in [3] sowie Ziff. 3.2 in [4]). Auch die Schu- lungsunterlagen (Präsentationen, Handouts) sollte man archivieren. All diese Nachweise dienen intern der Quali- tätssicherung und gegenüber Aufsichtsbehörden als Beleg der Compliance. Das BSI betont, dass Geschäftsleitungen durch regelmäßige Schulungen und Awareness-Maßnahmen ihr Sicherheitsbewusstsein schärfen und aktuelle Bedrohun- gen besser einschätzen können. Zugleich erwartet es eine entsprechende Nachweisführung – das heißt im Falle ei- ner Prüfung muss das Unternehmen zeigen können, dass Führungskräfte tatsächlich wie gefordert geschult wurden. Daher ist es ratsam, die Dokumentation im Rahmen des ISMS vorzuhalten und zum Beispiel in Management-Re- views auf Vorstandsebene das Thema „Schulung der Lei- tung“ regelmäßig abzuhaken. Prüfmaßstäbe und Wirksamkeitskontrolle Die Wirksamkeit von Management-Schulungen lässt sich anhand mehrerer Maßstäbe messen. Zum einen gibt es formale Compliance-Kriterien: Wurden die gesetz- lichen Vorgaben (Inhalt, Turnus, Dokumentation) erfüllt? Zum anderen stellt sich die Frage nach der tatsächlichen Wirkung auf das Sicherheitsniveau im Unternehmen. Nachfolgend einige Anhaltspunkte und Standards: Erfüllung formaler Standards Unternehmen sollten ihr Schulungsprogramm an etablierten Normen und Rahmenwerken ausrichten: ISO/ IEC 27001 fordert zum Beispiel, dass alle rollenbezoge- nen Kompetenzen entwickelt und erhalten werden – in- 66 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#6

20

klusive der obersten Leitung. Ein zertifiziertes ISMS nach ISO 27001 impliziert also, dass regelmäßige Schulungen und Awareness-Maßnahmen geplant und umgesetzt wer- den. Auch der ISO-Standard zum Risikomanagement lässt sich heranziehen (vgl. Kap. 5 Rn. 67 in [7]): Wenn die Geschäftsführung gemäß ISO 27005 die Schritte des Risikomanagements versteht, erfüllt sie zugleich eine NIS-2-Kernforderung. Branchenspezifische Sicherheitsstandards (B3S), wie sie für KRITIS-Sektoren definiert sind, enthalten ebenfalls Schulungsanforderungen. So schreibt etwa der B3S für die Gesundheitsversorgung regelmäßige Schu- lungen und Übungen vor, um auf Notfälle vorbereitet zu sein. Solche branchenspezifischen Kataloge werden von Aufsichtsbehörden bei Prüfungen als Benchmark verwen- det – sie konkretisieren gewissermaßen die allgemeineren NIS-2-Vorgaben für die jeweilige Branche. Ein Unterneh- men, das die für seine Branche geltenden Standards ein- hält, wird also im Bereich „Management-Schulung“ die richtigen Themen abdecken und angemessene Intervalle einhalten. Anforderungen der Aufsichtsbehörden Die zuständigen Behörden – in Deutschland vor allem das BSI als zentrale Stelle für Cyber-Sicherheit – ach- ten im Rahmen von Audits oder Nachweisanforderungen auf dieses Thema. Gemäß nationalem NIS-2-Umset- zungsgesetz müssen kritische Einrichtungen alle drei Jahre ein Audit vorlegen, während für wichtige Einrichtungen Stichprobenprüfungen vorgesehen sind (§§ 30 und 39 Abs. 1 BSIG-E). Im Auditfall wird geprüft, ob das Top-Manage- ment seinen Pflichten nachkommt – hier wird das Vorhan- densein eines Schulungskonzepts und der entsprechenden Teilnahmenachweise verlangt (§ 39 Abs. 1 Satz 3 BSIG- E). Das BSI kann zum Beispiel anordnen, Nachweise über die Erfüllung aller Anforderungen vorzulegen – fehlende Schulungsnachweise würden dann als Compliance-Ver- stoß gewertet. Entsprechend sollten Unternehmen darauf vor- bereitet sein, einer Aufsichtsbehörde zum Beispiel ein Schulungskonzept oder eine Policy vorzulegen, aus denen Inhalte, Dozenten, Frequenz und Dokumentation hervor- gehen. Auch Auditoren – etwa ISO-27001-Prüfer oder die interne Revision – werden gezielt fragen, wie die Ge- schäftsführung in das Sicherheitsmanagement eingebun- den ist und ob sie geschult wurde. Ein positives Signal ist, wenn das Top-Management selbst in Audit-Interviews grundlegende Cybersecurity-Begriffe korrekt verwendet und die firmenspezifischen Top-Risiken benennen kann – dies deutet auf eine gelungene Sensibilisierung hin. Interne Erfolgskontrolle Auch über die reine Compliance hinaus sollte je- des Unternehmen selbst evaluieren, ob Schulungen den gewünschten Effekt haben. Hierfür bieten sich sowohl qualitative als auch quantitative Ansätze an. Qualitativ lassen sich Feedback-Runden nutzen, in denen Führungsmitglieder anonym Rückmeldung ge- ben, ob die Schulung für sie verständlich und relevant war, und wo sie noch Unsicherheiten sehen. Diese Rückmel- dungen sollte man ernst nehmen und das Schulungskon- zept kontinuierlich verbessern (Stichwort PDCA-Zyklus im ISMS). Quantitativ könnte man bestimmte Kennzahlen verfolgen – dies ist jedoch schwieriger, da der Erfolg von Cybersicherheit nicht leicht messbar ist. Dennoch: Man könnte zum Beispiel tracken, ob sich die Anzahl kritischer Sicherheitsvorfälle im Zeitverlauf ändert (weniger erfolg- reiche Angriffe nach intensiver Schulung der Leitung?) oder ob Investitionsentscheidungen zugunsten der IT-Si- cherheit zunehmen – das würde zeigen, dass das Manage- ment deren Wichtigkeit erkannt hat. Auch Ergebnisse von Phishing-Tests in der Belegschaft könnten indirekt beein- flusst werden: Wenn die Geschäftsführung Cybersicher- heit vorlebt, steigt oft die Sicherheitskultur insgesamt. Letztlich bleibt die Kulturveränderung ein weicher, aber wichtiger Indikator: Spricht das Management in Strategie- Meetings nun aktiv Risiken an? Fordert es von Fachabtei- lungen Berichte zur Cyberlage ein? So etwas lässt sich zum Beispiel in Management-Protokollen oder Risiko-Work- shops beobachten. Audits und Reviews Eine weitere sinnvolle Maßnahme sind interne Audits speziell zum Schulungsthema. Die interne Revisi- on oder ein externer Auditor könnten prüfen, ob Schu- lungsmaterialien aktuell sind, die Führungskräfte (falls durchgeführt) die Tests bestanden haben und ob Folge- maßnahmen aus dem Feedback umgesetzt wurden. Zu- sätzlich könnten Simulationen (wie schon erwähnt) nicht nur als Training, sondern auch als Reifegrad-Check die- nen: Wird ein Übungsszenario deutlich souveräner bewäl- tigt als eine frühere Übung vor ein, zwei Jahren, spricht das für einen Lerneffekt. Diese Fortschritte sollte man do- kumentieren. Gegebenenfalls kann man auch Zertifizierungen in Betracht ziehen: Es gibt mittlerweile Trainingszertifika- te für Manager im Bereich Cybersecurity (auch wenn die Qualität variiert). Solche Zertifikate, zum Beispiel Teilnah- mebestätigungen von TÜV-Seminaren oder Ähnliches, © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#6 67

21

Management und Wissen NIS-2-Schulungspflicht können in die Personalakten der Geschäftsführer aufge- nommen und gegenüber Gesellschaftern oder Aufsichtsrä- ten kommuniziert werden, um Vertrauen zu schaffen. Fazit Die Schulung des Top-Managements in Sa- chen Cybersicherheit ist kein Nice-to-have, sondern eine Pflichtaufgabe nach NIS-2, die mit Augenmaß und Stra- tegie angegangen werden muss. in Geschäftsführungen müssen regelmäßi- gen Abständen – mindestens alle drei Jahre, eher häufi- ger – Trainings absolvieren, die ihnen helfen, die digitale Bedrohungslage zu verstehen und informierte Entschei- dungen zu treffen. Inhaltlich stehen Risikomanagement und Notfallvorsorge im Mittelpunkt, eingebettet in einen Überblick über aktuelle Gefahren und Compliance-Anfor- derungen. Durch entsprechende Standards (ISO 27001 u. a.) sowie behördliche Vorgaben ist ein Rahmen abge- steckt, innerhalb dessen Organisationen ihre Lösungen finden können. Ob Schulungen intern, extern oder gemischt durchgeführt werden, hängt von den Möglichkeiten des Unternehmens ab. Wichtig ist in jedem Fall, dass Praxis- bezug und Interaktivität gegeben sind, damit der Lern- transfer gelingt. Die Wirksamkeit zeigt sich letztlich daran, dass das Management seiner Rolle gerecht wird, Cybersi- cherheit als Chefsache begreift und aktiv in die Unterneh- mensführung integriert. Werden Schulungsmaßnahmen konsequent ge- plant, durchgeführt und nachverfolgt, lässt sich nicht nur der gesetzlichen Nachweispflicht genügen, sondern vor al- lem ein höheres Schutzniveau für die gesamte Organisa- tion erreichen. Eine Investition in Cyberkompetenz im Vorstand zahlt sich aus: in Form informierter Entschei- der, geringerer Risikoexposition und letztlich einer resili- enten, vertrauenswürdigen Geschäftstätigkeit im digitalen Zeitalter. ■ Dr. iur. Dr. rer. pol. Fabian M. Teichmann, LL.M. (Lon- don), MBA (Oxford) ist Rechtsanwalt und Notar sowie Ma- naging Partner der Teichmann International (Schweiz). 68 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#6 Literatur[1] Europäische Union, Richtlinie (EU) 2022/2555 ... vom 14. Dezember 2022 über Maßnahmen für ein ho-hes gemeinsames Cybersicherheitsniveau in der Union, ... (NIS-2-Richtlinie), konsolodierte Fassung, Dezem-ber 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A02022L2555-20221227[2] Deutscher Bundestag – Innenausschuss, Beschluss-empfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung – Drucksachen 21/1501, 21/2072, 21/2146 Nr. 1.11, BT Drucksache 21/2782, Novem-ber 2025, https://dserver.bundestag.de/btd/21/027/ 2102782.pdf[3] Deutscher Bundestag, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheits-managements in der Bundesverwaltung, Gesetzent-wurf der Bundesregierung, BT Drucksache 21/1501, September 2025, https://dserver.bundestag.de/btd/21/ 015/2101501.pdf[4] Bundesamt für Sicherheit in der Informationstech-nik (BSI), NIS-2-Geschäftsleitungsschulung, Vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtun-gen und wichtiger Einrichtungen nach dem NIS-2-Um-setzungsgesetzentwurf, Version 0.9, September 2025, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-geschaeftsleitungsschulung.pdf[5] Fabian M. Teichmann, NIS2-Umsetzungs- und Cy-bersicherheitsstärkungsgesetz (NIS2UmsuCG) – neue Pflichten für Länder- und Kommunalverwaltungen, LKV – Landes- und Kommunalverwaltung 2025/6, Juni 2025, S. 253, https://beck-online.beck.de/?vpath=bib-data%2Fzeits%2FLKV%2F2025%2Fcont%2FLKV%2e2025%2eH06%2ehtm (kostenpflichtig)[6] Fabian M. Teichmann, NIS-2 in der Energiewirt-schaft: Pflichten und Haftungsregime für KRITIS-Be-treiber, EnWZ – Zeitschrift für das gesamte Recht der Energiewirtschaft 2025/7, Juli 2025, S. https://beck-on-line.beck.de/?vpath=bibdata%2Fzeits%2FENWZ%2F2025%2Fcont%2FENWZ%2e2025%2eH07%2ehtm (kostenpflichtig)[7] Dennis-Kenji Kipker (Hrsg.), Cybersecurity, C. H. BECK, 2. Auflage, Juni 2023, ISBN 978-3-406-79263-2[8] Peter Gola, Dirk Heckmann (Hrsg,), DS-GVO/BDSG – Datenschutz-Grundverordnung Bundesdaten-schutzgesetz, C. H. BECK, 3. Auflage, Oktober 2022, ISBN 978-3-406-78266-4