§ 38 BSIG

§ 38 BSIG: die Pflichten der Geschäftsleitung

Umsetzen, überwachen, schulen: drei Pflichten, die bei der Leitung bleiben.

Simon OrzelSimon Orzel·Laufend geprüft

Was § 38 BSIG verlangt

§ 38 BSIG setzt Artikel 20 NIS 2 in deutsches Recht um und adressiert nicht die Einrichtung, sondern die Personen an ihrer Spitze. Die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen die Risikomanagementmaßnahmen nach § 30 BSIG umsetzen und ihre Umsetzung überwachen. Cybersicherheit ist damit ausdrücklich Leitungsaufgabe, nicht allein Sache der IT.

Artikel 20 NIS 2 spricht von billigen und überwachen, § 38 BSIG formuliert die Pflicht als umsetzen und überwachen. Gemeint ist dasselbe: Die Leitung muss die Maßnahmen kennen, verantworten und ihre Wirksamkeit im Blick behalten. Wer nur abnickt, erfüllt die Überwachungspflicht nicht.

Die drei Pflichten der Geschäftsleitung
§ 38 Absatz 1 und 3 BSIG, Artikel 20 NIS 2.
1

Umsetzung der Maßnahmen nach § 30

Die Geschäftsleitung muss dafür sorgen, dass die Risikomanagementmaßnahmen aus § 30 Absatz 2 BSIG tatsächlich umgesetzt werden. Die Verantwortung dafür lässt sich nicht an die IT-Abteilung oder einen Dienstleister abgeben.

2

Überwachung der Umsetzung

Umsetzen allein genügt nicht. Die Leitung muss laufend überwachen, ob die Maßnahmen wirken, und dies belegen können. Regelmäßige Berichte an die Geschäftsführung und deren dokumentierte Kenntnisnahme sind der übliche Nachweis.

3

Teilnahme an Schulungen

Nach § 38 Absatz 3 BSIG sollen die Mitglieder der Geschäftsleitung regelmäßig an Schulungen teilnehmen, um Cyberrisiken selbst erkennen und bewerten zu können. Das Gesetz nennt keine bestimmte Zertifizierung; entscheidend ist die nachweisbare Teilnahme.

Die persönliche Haftung nach § 38 Absatz 2

§ 38 Absatz 2 BSIG regelt eine Innenhaftung: Verletzen Mitglieder der Geschäftsleitung ihre Pflichten aus Absatz 1, haften sie ihrer eigenen Einrichtung für einen dadurch schuldhaft verursachten Schaden. Es ist eine Haftung gegenüber dem eigenen Unternehmen, nicht gegenüber Behörden oder Dritten.

Diese Innenhaftung tritt neben die allgemeine Organhaftung aus § 43 GmbHG und § 93 AktG. Sie ist der Grund, warum die Umsetzungs- und Überwachungspflicht keine Formsache ist: Ein dokumentierter Überwachungsprozess ist zugleich die Entlastung der handelnden Personen.

Die Schulungspflicht und ihr Nachweis

Die Schulungspflicht aus § 38 Absatz 3 BSIG liegt persönlich bei den Leitungspersonen. Verlangt wird ausreichendes Wissen, um Cyberrisiken zu erkennen und die Angemessenheit der Maßnahmen zu beurteilen, nicht technische Spezialkenntnis.

Weil das Gesetz keinen Anbieter und keine Zertifizierung vorschreibt, ist der Nachweis einfach: eine belegbare, regelmäßige Teilnahme. Eine Teilnahmebescheinigung und ein wiederkehrender Termin genügen als Grundlage.

Wer zur Geschäftsleitung zählt, und was delegierbar ist

Geschäftsleitung sind die gesetzlichen Vertreter der Einrichtung, etwa die Geschäftsführer einer GmbH oder der Vorstand einer AG. Die Pflichten aus § 38 BSIG treffen diese Personen unmittelbar, unabhängig von der Größe der internen IT.

Delegierbar ist die operative Ausführung, nicht die Verantwortung. Sie können die Umsetzung an ein Team oder einen Dienstleister übertragen und die Überwachung an eine Berichtslinie knüpfen; die Letztverantwortung für Umsetzung und Aufsicht bleibt bei der Leitung.

Häufige Fragen

Gilt § 38 BSIG auch für kleine Unternehmen?

Ja, sobald die Einrichtung als besonders wichtig oder wichtig eingestuft ist. Die Pflichten der Geschäftsleitung hängen an der Betroffenheit der Einrichtung, nicht an ihrer Größe innerhalb der Schwelle.

Kann die Geschäftsführung die Verantwortung an die IT oder einen Dienstleister abgeben?

Nein. Die operative Umsetzung ist delegierbar, die Verantwortung für Umsetzung und Überwachung nicht. Die Letztverantwortung bleibt bei der Leitung.

Welche Schulung erfüllt § 38 Absatz 3 BSIG?

Das Gesetz schreibt keine bestimmte Schulung oder Zertifizierung vor. Verlangt wird ausreichendes Wissen zur Erkennung und Bewertung von Risiken; nachgewiesen wird es durch regelmäßige, belegbare Teilnahme.

Wofür haftet die Geschäftsleitung genau?

Nach § 38 Absatz 2 BSIG haften Leitungsmitglieder ihrer eigenen Einrichtung für einen Schaden, den sie durch eine schuldhafte Verletzung ihrer Umsetzungs- und Überwachungspflichten verursachen. Es ist eine Innenhaftung gegenüber dem Unternehmen.

Wie unterscheidet sich § 38 von § 30 BSIG?

§ 30 BSIG legt fest, welche Maßnahmen die Einrichtung ergreifen muss. § 38 BSIG legt fest, dass die Geschäftsleitung diese Maßnahmen umsetzt, überwacht, sich schult und dafür haftet.

Die Schulungspflicht der Geschäftsleitung erfüllen
Der kostenlose NIS-2-Kurs für Geschäftsführer vermittelt das nach § 38 Absatz 3 BSIG verlangte Wissen, mit Teilnahmenachweis.