Governance
RECHTSGRUNDLAGE
§38 Abs. 1 BSIG – Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach §30 zu ergreifenden Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen.
§38 Abs. 3 BSIG – Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken zu erlangen.
Geschäftsleitungspflichten
Die NIS2-Umsetzung in Deutschland legt erstmals persönliche Pflichten der Geschäftsleitung für Cybersicherheit fest:
| Pflicht | Beschreibung | Nachweis |
|---|---|---|
| Billigung | Formale Genehmigung der Risikomanagementmaßnahmen | Dokumentierte Freigabe |
| Überwachung | Laufende Kontrolle der Umsetzung | Regelmäßige Berichte |
| Schulung | Persönliche Teilnahme an Cybersicherheitsschulungen | Teilnahmenachweis |
| Haftung | Persönliche Haftung bei Pflichtverletzung (§38 Abs. 2 BSIG) | — |
HAFTUNG
Nach §38 Abs. 2 BSIG haften Geschäftsleitungen für Schäden, die durch Verletzung ihrer Billigungs- und Überwachungspflichten entstehen. Verzichtsvereinbarungen und Vergleiche sind unwirksam.
Governance-Struktur
| Rolle | Verantwortlichkeit |
|---|---|
| Geschäftsleitung | Billigung der Maßnahmen, Ressourcenzuweisung, persönliche Schulung |
| Informationssicherheitsbeauftragter (ISB) | Operative Steuerung, Risikoanalyse, Vorfallkoordination, BSI-Kontakt |
| IT-Leitung | Technische Umsetzung, Systemsicherheit, Patch Management |
| Fachbereichsleiter | Einhaltung der Sicherheitsrichtlinien im eigenen Bereich |
Berichtswesen
| Bericht | Empfänger | Intervall |
|---|---|---|
| Sicherheitsstatus | Geschäftsleitung | Quartalsweise |
| Vorfallberichte | Geschäftsleitung | Anlassbezogen (bei Stufe Hoch/Kritisch sofort) |
| Jährlicher Sicherheitsbericht | Geschäftsleitung | Jährlich |
| KPI-Report | ISB / Geschäftsleitung | Monatlich |
Schulungspflicht der Geschäftsleitung
Die Geschäftsleitung nimmt mindestens jährlich an einer Cybersicherheitsschulung teil, die folgende Inhalte abdeckt:
- Aktuelle Bedrohungslage und relevante Vorfälle
- NIS2/BSIG-Pflichten und Haftung
- Risikomanagement und Maßnahmenbewertung
- Incident-Response-Prozess und Eskalation
AI-Act-Synergie
Das AI-Act-Governance-Framework ergänzt die NIS2-Governance-Anforderungen bei KI-gestützten Systemen. Details in der AI-Act-Governance-Dokumentation.