§ 38 BSIG — Schulungspflicht

NIS2-Schulung für die Geschäftsleitung

§ 38 BSIG verpflichtet Geschäftsführer und Vorstände persönlich zu regelmäßigen Cybersicherheitsschulungen — mit Nachweispflicht gegenüber dem BSI.

Beratung anfragen NIS2-Übersicht

§ 38 BSIG

Schulungspflicht der Geschäftsleitung — was das Gesetz fordert

Die Schulungspflicht nach § 38 BSIG ist kein bürokratisches Beiwerk. Sie ist Ausdruck der Erkenntnis, dass Cybersicherheit top-down geprägt wird: Wer an der Spitze keine Kompetenz hat, kann keine verantwortliche Steuerung von Cyberrisiken gewährleisten.

Was § 38 BSIG konkret verlangt

Geschäftsleiter und Vertretungsberechtigte müssen Schulungen zu Cyberrisiken und Risikomanagementmaßnahmen absolvieren
Die Schulungen müssen auf das Unternehmen angepasst sein — keine generischen Online-Kurse
Regelmäßige Wiederholung ist Pflicht — das BSI empfiehlt jährliche Auffrischung
Nachweisbarkeit: Schulungsnachweis muss bei Bedarf vorgelegt werden können
Die Geschäftsleitung kann die Pflicht nicht delegieren — sie betrifft die Person, nicht die Rolle

BSI-Handreichung April 2026

Was Geschäftsleitungen wissen müssen

Das BSI hat in seiner Handreichung vom April 2026 konkretisiert, welche Inhalte eine NIS2-konforme Geschäftsleitungsschulung abdecken muss. Vier Themenbereiche stehen im Mittelpunkt.

Cyberbedrohungslandschaft

Aktuelle Angriffsszenarien, typische Angriffsvektoren auf Unternehmen Ihrer Größe und Branche, Ransomware-Risiken.

Risikobewertung & Entscheidung

Wie Cyberrisiken eingeschätzt und in Geschäftsentscheidungen einbezogen werden — Budgetverantwortung und Priorisierung.

Rechtliche Pflichten & Haftung

Persönliche Haftung nach § 38 BSIG, Bußgeldrahmen, Meldepflichten und Konsequenzen bei Pflichtverletzung.

Krisenreaktion & Kommunikation

Rolle der Geschäftsleitung im Ernstfall: Entscheidungswege, externe Kommunikation, Behördenkontakt.

Konsequenzen

Was passiert, wenn die Schulungspflicht verletzt wird?

Die Verletzung der Schulungspflicht nach § 38 BSIG ist ein eigenständiger Bußgeldtatbestand — unabhängig davon, ob ein Sicherheitsvorfall eingetreten ist oder nicht. Hinzu kommt die persönliche Haftung für Schäden, die aus unzureichendem Risikomanagement entstehen.

Persönliche Haftung: Geschäftsführer und Vorstandsmitglieder haften nach § 38 BSIG persönlich für die Umsetzung der NIS2-Anforderungen. Eine fehlende Schulung kann im Schadensfall als Pflichtverletzung gewertet werden — mit direkten Konsequenzen für das persönliche Vermögen.

Verwandte Themen

Weiterführende NIS2-Themen

NIS2-Schulung für Ihre Geschäftsleitung

Wir bieten maßgeschneiderte Geschäftsleitungsschulungen, die § 38 BSIG erfüllen und praxisnah auf Ihre Branche und Unternehmenssituation ausgerichtet sind.

Schulung anfragen