Jüngst veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf. Mit dieser möchte das BSI Organisationen, Geschäftsleitungen und Schulungsanbietern eine erste Orientierung ermöglichen. Der nachfolgende Blog-Beitrag gibt einen ersten Überblick über die Inhalte und Empfehlungen.
Wen adressiert die Schulungspflicht?
Die Handreichung des BSI thematisiert die gesetzlichen Vorgaben aus § 38 Abs. 3 BSIG-E. Danach müssen Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Die Schulungspflicht adressiert dabei insbesondere die haftungsrelevanten Umsetzungs- und Überwachungspflichten der Geschäftsleitung.
Vom Begriff der Geschäftsleitung umfasst sein sollen natürliche Personen, „die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen“ sind. Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung sollen hingegen nicht als Geschäftsleitung im Sinne des Gesetzesentwurfs gelten (vgl. § 29 Abs. 2 BSIG-E). Neben der gesetzlichen Verpflichtung kann es allemal sinnvoll sein, die Schulungspflicht auf Personen mit vergleichbaren Positionen und Aufgaben zu erweitern.
Ergänzend sei zu erwähnen, dass es sich bei besonders wichtigen Einrichtungen gemäß § 28 Abs. 1 BSIG-E beispielsweise um Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdienstanbieter oder DNS-Diensteanbieter handelt. Aber auch weitere Organisationen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanzsumme von über 43 Millionen Euro, die einer der in Anlage 1 des Gesetzesentwurfs benannten Einrichtungsart zuzuordnen sind, unterfallen dem Begriff.
Neben Vertrauensdiensten gelten hingegen beispielsweise Organisationen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro als wichtige Einrichtungen, sofern sie einer der in den Anlagen 1 und 2 bestimmten Einrichtungsarten zugeordnet werden können. So werden laut Schätzungen allein in Deutschland etwa 30.000 Unternehmen in eine der beiden genannten Kategorien fallen und dementsprechend zukünftig erweiterte Cybersicherheitspflichten erfüllen müssen.
Wie oft müssen solche Schulungen stattfinden?
Eine konkrete Vorgabe, wie oft derartige Schulungen stattfinden müssen gibt der Gesetzeswortlaut nicht vor. Aus der Gesetzesbegründung lässt sich jedoch eine Orientierung entnehmen. Demnach soll als regelmäßig im Sinne des BSIG-E eine Schulung gelten, die mindestens alle drei Jahre angeboten wird. An dieser Orientierung sollte jedoch nicht zu starr festgehalten werden, stattdessen empfiehlt sich nach Angaben des BSI eine risikoangemessene Umsetzung unter besonderer Berücksichtigung von Wechsel in der Geschäftsleitung, signifikanten Änderungen in Geschäftsprozessen, signifikanten Änderungen in der Risikoexposition oder signifikanten Änderungen bei implementierten oder geplanten Risikomanagementmaßnahmen.
Auch zur konkreten Dauer schweigt der Gesetzesentwurf, wohingegen in der Gesetzesbegründung von durchschnittlich halbtägigen Schulungen ausgegangen wird. Das BSI verweist in diesem Zusammenhang darauf, dass jedoch in Einzelfällen „je nach Risikoexposition der Einrichtung und individuellen Fähigkeiten der Geschäftsleitungen“ die Dauer von vier Stunden auch deutlich überschritten werden könne. Ausschlaggebend sei die sinnvolle Übermittlung der geforderten Kenntnisse und Fähigkeiten.
Unerheblich ist dabei, ob eine Schulung durch qualifiziertes internes Personal oder spezialisierte externe Schulungsanbieter durchgeführt wird. Jedoch sollten insbesondere externe Anbieter darauf achten, dass die jeweiligen Schulungsinhalte auf die individuellen Aspekte der jeweiligen Organisation angepasst werden. In jedem Fall sind die durchgeführten Schulungen mit Nennung der Teilnehmenden, der Inhalte und der Dauer zu dokumentieren. Die Dokumentation ist aufzubewahren und den zuständigen Stellen auf Verlangen vorzulegen. Eine Pflicht zur Durchführung von Wissenskontrollen bei den Teilnehmenden ist hingegen weder gesetzlich noch durch das BSI verpflichtend vorgesehen.
Welche Inhalte sollen derartige Schulungen aufweisen?
Einen groben Rahmen gibt hierbei bereits die zuvor zitierte Formulierung des § 38 Abs. 3 BSIG-E vor. Das BSI hat hieraus in Kapitel 2 der Handreichung (S. 9 ff.) eine Auflistung dringend empfohlener und fakultativ empfohlener Inhalte abgeleitet. Diese können den vorbereitenden Kategorien „Überblick NIS-2-Richtlinie“, „Umsetzung und Dokumentation von Risikomanagementmaßnahmen“, „Melde- und Unterrichtungspflichten“, „Registrierungspflichten und ggf. besondere Registrierungspflichten“, „Pflichten für Geschäftsleitungen“ sowie den Kernkategorien „Risikoanalyse“, „Risikomanagementmaßnahmen“ und „Auswirkungen von Risiken und Risikomanagementmaßnahmen“ zugeordnet werden.
Ergänzt werden können die Inhalte zudem durch sektoren- und einrichtungsspezifische Inhalte sowie durch Szenarien, Übungen und Fallstudien. Ziel ist insgesamt die Vermittlung von „Verantwortlichkeiten und Wirkungszusammenhängen“, nicht von technischen Details. Die Handreichung des BSI enthält ferner in Kapitel 3 (S. 15 ff.) eine Reihe von Leitfragen, die den Geschäftsleitungen einen Überblick ermöglicht, welche Fragen im Rahmen derartiger Schulungen beantwortet werden sollten.
Fazit
Die vorläufige Handreichung „NIS-2-Geschäftsleitungsschulung“ enthält eine Reihe wichtiger und sinnvoller Orientierungspunkte für die Gestaltung und Umsetzung entsprechender Schulungen. Positiv hervorzuheben ist insbesondere, dass sich das BSI bereits zum derzeitigen Umsetzungsstand des NIS-2-Umsetzungsgesetzes um klare Handlungsempfehlungen bemüht. Für besonders wichtige Einrichtungen und wichtige Einrichtungen ist die Auseinandersetzung mit den Anforderungen des Gesetzgebers und der Handreichung des BSI auf jeden Fall ein Muss.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
