Volljurist und Compliance-Experte
20 Mar 2026
7 min
.svg)
§38 Abs. 3 BSIG verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen zur regelmäßigen Teilnahme an Cybersicherheits-Schulungen.
Die Schulung muss drei Kompetenzfelder abdecken: Risikoerkennung, Risikomanagement-Maßnahmen und Auswirkungsbewertung auf die erbrachten Dienste.
Das BSI empfiehlt jährliche Schulungen, die alle drei Kompetenzfelder integriert behandeln. Einzelaspekte reichen nicht aus.
SECJUR bietet die §38-Pflichtschulungen direkt auf der Plattform an und dokumentiert Teilnahmenachweise zentral im ISMS.
Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Für Geschäftsführer betroffener Unternehmen bedeutet das unter anderem eine persönliche Schulungspflicht. §38 Abs. 3 BSIG verlangt, dass die Geschäftsleitung regelmäßig an Schulungen teilnimmt, um Cybersicherheitsrisiken erkennen und bewerten zu können. Diese Pflicht ist nicht delegierbar.
Dieser Artikel erklärt, was §38 konkret von Geschäftsführern verlangt, welche Inhalte eine Schulung abdecken muss und welche Formate zur Verfügung stehen.
§38 BSIG regelt drei Pflichten für Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen:
Absatz 1 (Umsetzungs- und Überwachungspflicht): Die Geschäftsleitung muss die Risikomanagement-Maßnahmen nach §30 umsetzen und deren Umsetzung überwachen. Absatz 2 (Haftung): Wer diese Pflichten verletzt, haftet der Einrichtung persönlich nach den gesellschaftsrechtlichen Regeln. Welche persönlichen Haftungsrisiken §38 für Geschäftsführer mit sich bringt, erfahren Sie in unserem Artikel zur NIS2-Haftung für Geschäftsführer.
Absatz 3 (Schulungspflicht): Die Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um "ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken" zu erlangen (§38 Abs. 3 BSIG). Diese Schulungspflicht gilt unabhängig davon, ob ein Unternehmen bereits ein ISMS betreibt. Sie betrifft jede Person, die zur Führung der Geschäfte berufen ist: Geschäftsführer, Vorstände, geschäftsführende Gesellschafter.
Das BSI hat eine Handreichung zur Geschäftsleitungsschulung veröffentlicht, die drei Kompetenzfelder definiert. Alle drei müssen abgedeckt werden. Ein Seminar, das nur eines behandelt, erfüllt laut BSI die gesetzlichen Anforderungen nicht.
| Kompetenzfeld | Was GFs wissen müssen | Praxisbeispiel |
|---|---|---|
| Risikoerkennung | Aktuelle Bedrohungslage, typische Angriffsvektoren, Schwachstellen im eigenen Unternehmen | Ransomware-Angriff über Phishing-Mail an einen Mitarbeiter |
| Risikomanagement-Maßnahmen | Die zehn Maßnahmenbereiche nach §30, Stand der Technik, Verhältnismäßigkeitsprinzip | Welche Maßnahmen für ein Unternehmen mit 200 Mitarbeitern angemessen sind |
| Auswirkungsbewertung | Wie sich Cyberrisiken auf die erbrachten Dienste und das Geschäft auswirken | Wenn ein Produktionssystem 48 Stunden ausfällt: Kosten, Lieferverzug, Reputationsschaden |
Die zehn konkreten Risikomanagement-Maßnahmen, die §30 BSIG vorschreibt, finden Sie in unserem Artikel zu den NIS2-Anforderungen.
Für Geschäftsführer, die keine IT-Experten sind, geht es nicht darum, Firewalls konfigurieren zu können. Es geht darum, die richtigen Fragen zu stellen: Haben wir eine aktuelle Risikoanalyse? Sind unsere Notfallpläne getestet? Wer entscheidet bei einem Vorfall innerhalb der ersten 24 Stunden? Wer diese Fragen nicht beantworten kann, erfüllt die Anforderungen des §38 nicht.
Die BSI-Handreichung betont, dass Geschäftsleitungen die drei Kompetenzfelder als integriertes Konzept verstehen müssen. Ein Seminar, das nur die Bedrohungslage darstellt, aber nicht erklärt, welche Maßnahmen angemessen sind und wie sich Risiken auf das eigene Geschäft auswirken, greift zu kurz. Die Schulung muss den Bogen spannen: von der Bedrohung über die Maßnahme bis zur geschäftlichen Auswirkung.
Das Gesetz spricht von "regelmäßig", ohne eine feste Frequenz zu nennen. Die BSI-Handreichung empfiehlt eine jährliche Schulung. Eine feste Verwaltungspraxis gibt es noch nicht, weil das Gesetz erst seit Dezember 2025 gilt. Wer auf der sicheren Seite sein will, orientiert sich am jährlichen Rhythmus.
Zur Qualifikation der Schulungsanbieter macht das Gesetz keine konkreten Vorgaben. Es gibt kein TÜV-Siegel und keine BSI-Zulassung für Trainer. Die BSI-Handreichung dient als Orientierung für Inhalte und Tiefe. Ein Anbieter, der alle drei Kompetenzfelder integriert behandelt und aktuelle Bedrohungsszenarien einbezieht, ist ein guter Anhaltspunkt. Reine Frontalvorträge über Compliance-Paragraphen reichen nicht aus.
Ein Punkt, der in der Praxis oft übersehen wird: Die Schulungspflicht gilt für jede Person in der Geschäftsleitung individuell. In einem Unternehmen mit drei Geschäftsführern müssen alle drei die Schulung absolvieren. Es reicht nicht, wenn einer teilnimmt und die anderen informiert. Die Nachweisführung sollte daher pro Person erfolgen: Wer hat wann an welcher Schulung teilgenommen, und welche Inhalte wurden behandelt?
Für die Umsetzung der Schulungspflicht gibt es drei gängige Formate. Jedes hat Vor- und Nachteile:
| Kriterium | Externes Seminar | Inhouse-Schulung | Plattform-Lösung |
|---|---|---|---|
| Kosten pro Durchlauf | Ab ca. 500-1.500 € pro Person | Ab ca. 2.000-5.000 € pro Workshop | Im ISMS-Paket enthalten |
| Zeitliche Flexibilität | Feste Termine, oft ganztägig | Termin frei wählbar | Jederzeit abrufbar |
| Nachweisführung | Teilnahmezertifikat | Dokumentation manuell | Automatisch im System dokumentiert |
| Verbindung zur Umsetzung | Isoliert, keine Anbindung an ISMS | Je nach Anbieter | Schulung + ISMS + Nachweise an einem Ort |
| Wiederholung | Jedes Jahr erneut buchen und bezahlen | Jedes Jahr erneut buchen | Aktualisierte Inhalte automatisch verfügbar |
Externe Seminare haben den Vorteil, dass sie strukturiert und von erfahrenen Trainern durchgeführt werden. Der Nachteil: Sie sind isolierte Einzelveranstaltungen. Die Teilnahmezertifikate landen in einer Schublade, und die Verbindung zwischen Schulung und tatsächlicher Umsetzung der NIS2-Anforderungen fehlt. Inhouse-Schulungen sind flexibler, erfordern aber eigene Organisation und kosten bei externer Beauftragung oft mehr. Plattformlösungen wie SECJUR integrieren hingegen die Schulung direkt in das ISMS und dokumentieren Teilnahmen systematisch.
Plattform-Lösungen verfolgen einen anderen Ansatz: Die Schulung ist kein separates Event, sondern Teil eines Systems, das Schulung, Risikomanagement und Nachweisführung verbindet. Für Unternehmen, die ohnehin ein ISMS aufbauen müssen (was bei NIS2-Betroffenen praktisch immer der Fall ist), spart das doppelte Arbeit.
SECJUR bietet die nach §38 Abs. 3 NIS2UmsuCG geforderten Geschäftsleitungsschulungen direkt auf der Plattform an. Der Vorteil: Die Schulung ist kein isoliertes Event, sondern Teil des ISMS. Teilnahmenachweise werden zentral dokumentiert, und die Geschäftsleitung kann den Fortschritt der Maßnahmenumsetzung im selben System verfolgen.
"Die Schulungspflicht nach §38 ist kein bürokratischer Selbstzweck. Sie stellt sicher, dass Geschäftsführer Cybersicherheit als strategisches Thema verstehen, nicht als IT-Problem delegieren. Wer die Schulung ernst nimmt, trifft danach bessere Entscheidungen bei Budget, Personal und Priorisierung."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Die Schulung nach §38 Abs. 3 ist ein notwendiger erster Schritt. Sie stellt sicher, dass die Geschäftsleitung die Risiken kennt und die Anforderungen versteht. Die eigentliche Arbeit beginnt danach: die systematische Umsetzung der zehn Maßnahmenbereiche nach §30, der Aufbau eines ISMS, die Dokumentation für den Nachweis gegenüber dem BSI.
Unternehmen, die die Schulung als isolierte Pflichtübung betrachten, verpassen den Punkt. Die Schulung soll Geschäftsführer befähigen, die Umsetzung zu steuern und zu überwachen. Wer nach der Schulung nicht weiß, wo das eigene Unternehmen bei der NIS2-Umsetzung steht, hat die Schulung zwar absolviert, aber nicht genutzt. Die Schulungspflicht lässt sich über Plattformen wie SECJUR erfüllen, die Teilnahmenachweise zentral dokumentieren und den Übergang von der Schulung zur Umsetzung nahtlos gestalten.
Was genau NIS2 für Ihr Unternehmen bedeutet, lesen Sie in unserem Überblicksartikel. Die konkreten nächsten Schritte nach der Schulung finden Sie in unserem Artikel zu den NIS2-Anforderungen.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Ja. §38 Abs. 3 BSIG verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen zur regelmäßigen Teilnahme an Cybersicherheits-Schulungen. Diese Pflicht ist nicht delegierbar.
Die Schulung muss drei Kompetenzfelder abdecken: Risikoerkennung, Risikomanagement-Maßnahmen und Auswirkungsbewertung. Laut BSI reicht ein Seminar, das nur Einzelaspekte behandelt, nicht aus.
Das Gesetz verlangt regelmäßige Schulungen, ohne eine feste Frequenz zu nennen. Das BSI empfiehlt eine jährliche Teilnahme.
Es gibt keine gesetzliche Zertifizierungspflicht für Schulungsanbieter. Die BSI-Handreichung zur Geschäftsleitungsschulung dient als Orientierung für Inhalte und Qualitätsanforderungen.
Ja. Plattformen wie SECJUR bieten §38-konforme Geschäftsleitungsschulungen an und dokumentieren Teilnahmenachweise zentral im ISMS.
Die neuen NIS2-Meldepflichten stellen viele Unternehmen vor Herausforderungen: strenge Fristen, komplexe Prozesse und hohe Risiken bei Verstößen. Erfahren Sie, wie Automatisierung Ihr Incident Management transformieren kann und Sie rechtskonform bleiben.
Der EU AI Act verändert die Haftung für KI grundlegend und führt eine Beweislastumkehr bei Schäden durch Hochrisiko-Systeme ein. Dieser Artikel zeigt, wann Unternehmen für KI-Fehler haften, wie Schadensersatzansprüche leichter durchgesetzt werden können und warum saubere Dokumentation zur wichtigsten Absicherung wird. Erfahren Sie, wie Compliance, Transparenz und Human-in-the-Loop Ihr Haftungsrisiko senken und Vertrauen in KI schaffen.
Ein Remote Audit nach ISO 9001 ist längst mehr als eine Notlösung, es ist der nächste Schritt in der digitalen Qualitätssicherung. Dieser Leitfaden zeigt, wie Sie Ihr Audit effizient, sicher und stressfrei online durchführen. Lernen Sie, wie gute Planung, klare Kommunikation und der richtige Technologieeinsatz aus einem Pflichttermin ein modernes Steuerungsinstrument für Ihr QMS machen.
.svg)
.svg)
.svg){kind=small}