Art. 20 + Art. 27 NIS 2 · §33(5) + §38 + §65 BSIG

Geschäftsführerwechsel — NIS 2 Verantwortung sicher übergeben

Wenn der CEO oder die Geschäftsführerin geht, geht die §38 BSIG Schulungspflicht nicht mit. Drei Dinge müssen bei der Übergabe geschehen, sonst überträgt sich persönliche Verantwortung auf die schlechteste denkbare Weise.

Simon OrzelSimon Orzel·

Warum die Übergabe der am häufigsten übersehene NIS 2 Moment ist

Die meisten Einrichtungen bereiten sich auf den Tag vor, an dem NIS 2 erstmals für sie gilt. Wenige bereiten sich auf den Tag vor, an dem die Person geht, die die Umsetzung trägt. Genau dort überträgt sich §38 BSIG Verantwortung still, werden BSI Registrierungsdaten veraltet, werden unterzeichnete Risikoakzeptanzen herrenlos.

Nach Art. 20 NIS 2 kann die Geschäftsführung 'zur Verantwortung gezogen werden'. Die Verantwortung haftet der Rolle, nicht der Person. Die einsteigende Geschäftsführung erbt alles, was die ausscheidende freigegeben hat, einschließlich Risiken, die ihr nie vorgelegt wurden. Das Übergabeprotokoll sorgt dafür, dass diese Einweisung dokumentiert stattfindet.

Es gibt keine eigene NIS 2 Übergaberegelung. Die Pflichten kommen aus drei Quellen: die 2-Wochen-Aktualisierungsregel nach §33(5) BSIG für Registrierungsdaten, die §38 BSIG Schulungspflicht für das neue Geschäftsführungsmitglied, und die allgemeine Pflicht aus Art. 20 NIS 2 zu Billigung und Überwachung, die sofort mit der Bestellung überträgt.

Drei Pflichten, die am Übergabetag aktiv werden
Keine davon ist optional, alle drei können im Übergabetrubel untergehen.

Art. 20(1) NIS 2 + §38 BSIG (Schulung)

Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen für Verstöße der Einrichtungen gegen Artikel 21 zur Verantwortung gezogen werden können. Die Mitglieder der Leitungsorgane sind verpflichtet, an Schulungen teilzunehmen, um ausreichende Kenntnisse zu erwerben.

Verantwortung und Schulungspflicht greifen am Tag der Bestellung der neuen Person, nicht zu einem bequemen späteren Zeitpunkt. Die Richtlinie kennt keine Karenzzeit.

§33(5) BSIG + Art. 27(2) NIS 2 (Registrierungsaktualisierung)

Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.

Zwei-Wochen-Frist. Die beim BSI registrierte Kontaktperson ist der Kanal, über den Vorfallsanfragen, Warnmeldungen und Aufsichtsbescheide eingehen. Eine veraltete Kontaktperson heißt: BSI-Anfragen scheitern still.

Art. 20(1) NIS 2 (Fortbestand der Billigung)

Die Leitungsorgane wesentlicher und wichtiger Einrichtungen billigen die von ihren Einrichtungen ergriffenen Cybersicherheitsrisikomanagementmaßnahmen und überwachen deren Umsetzung.

'Billigen' ist eine fortlaufende Pflicht. Von der ausscheidenden Geschäftsführung unterzeichnete Freigaben binden die Einrichtung, aber die einsteigende Geschäftsführung wird ab Tag eins für deren Überwachung verantwortlich. Sie kann nicht abstreiten, was sie nicht eingewiesen bekommen hat. Daher die Einweisung bei der Übergabe.

Was in die Übergabemappe gehört
Vier Artefakte. Sie existieren bereits, wenn die Einrichtung ein ISMS betreibt; die Übergabe macht sie der einsteigenden Geschäftsführung sichtbar.

§38 BSIG Schulungsnachweise (ausscheidend)

Teilnahmebestätigung für das ausscheidende Geschäftsführungsmitglied. Die eigene §38 Schulung des neuen Mitglieds ist getrennt und zeitnah zu planen.

Unterzeichnete Risikoakzeptanzen

Jeder Eintrag im Risikoregister, den die ausscheidende Geschäftsführung akzeptiert (statt behandelt) hat, ist nun eine Verpflichtung, die die einsteigende Geschäftsführung erbt. Bei der Übergabe besprechen, nicht im Audit entdecken.

Lieferantenabhängigkeitsplan

Welche Lieferanten tragen NIS 2 Risiko nach Art. 21(2)(d). Die einsteigende Geschäftsführung muss wissen, wen sie nicht schnell ablösen kann, wer vertragliche Haftung trägt, wer überprüfungsreif ist.

Verantwortlichkeiten für Vorfallsantwort

Wer hat Portalzugang, wer zeichnet Meldungen, wer ist die benannte Meldestelle. Namen, Kontaktdaten, Eskalationskette. Das Dokument, das um 03:00 im Vorfall gezogen wird.

Drei Schritte in den ersten zwei Wochen
Die 2-Wochen-Frist aus §33(5) BSIG gibt den Takt vor. Tag 1 der neuen Geschäftsführung ist Tag 1 der Uhr.

Schritt 1 — BSI Registrierung aktualisieren

Über das BSI Portal nach §33(5) BSIG: neue Kontaktperson, Rolle, Kontaktdaten. Zwei Wochen ab Bestellung. Das bestehende ELSTER Organisationszertifikat bleibt, es ändert sich nicht mit der Geschäftsführung.

Schritt 2 — §38 BSIG Schulung planen

Das neue Mitglied ist zur Schulung im Cybersicherheitsrisikomanagement verpflichtet. Keine feste Frist im BSIG, aber 'unverzüglich' nach §38(2). Innerhalb des ersten Quartals der neuen Rolle einplanen.

Schritt 3 — Bestehende Freigaben bestätigen oder ersetzen

Risikoregister und Lieferantenplan mit dem neuen Mitglied durchgehen. Eigene Unterschrift unter alles, was bleibt, eigene Entscheidung über alles, was neu betrachtet werden soll. Einweisungsdatum dokumentieren.

Drei Dinge, die still schiefgehen
Alle drei sind unauffällige Ausfälle. Sie zeigen sich erst beim Vorfall oder im Audit.

  • BSI Kontakt nie aktualisiert

    Die 2-Wochen-Uhr aus §33(5) läuft im Hintergrund eines beschäftigten Übergangs. Verpasste Aktualisierung heißt: BSI Vorfallskontakt ist eine Person, die nicht mehr in der Einrichtung arbeitet. Bußgeldrisiko nach §65 BSIG plus im schlimmsten Fall ein gescheiterter Vorfallsmeldungsprozess.

  • Risikoakzeptanzen blind geerbt

    Einsteigende Geschäftsführung unterzeichnet die Bestellung, wird kraft Gesetzes für die Risiken verantwortlich, die der Vorgänger akzeptiert hat. Ohne Einweisung ist die Position im Audit nicht zu verteidigen. Die Übergabe-Einweisung ist die Brücke.

  • §38 Schulung 'später' geplant

    Da keine feste Frist genannt ist, rutscht sie. Jahre vergehen. Bei der nächsten Aufsicht fragt das BSI nach dem Nachweis und es gibt keinen. Innerhalb des ersten Quartals planen, nicht 'wenn Zeit ist'.

Was geschieht, wenn die Übergabe informell bleibt

Drei Versagensmodi addieren sich. Erstens veraltete BSI Registrierung, sodass Vorfallsmeldungen niemanden erreichen. Zweitens hat die einsteigende Geschäftsführung keine Einweisung in geerbte Risiken, sodass die Auditverteidigung zusammenbricht. Drittens fehlt die §38 Schulung, was ein eigener Verstoß nach §38(3) BSIG ist.

Jeder dieser drei löst denselben Eskalationspfad aus: Aufsichtsanordnung nach Art. 32 NIS 2, mögliches Bußgeld nach §65 BSIG, persönliche Exponierung des Geschäftsführungsmitglieds, das ohne Prüfung unterzeichnet hat. Nichts davon lässt sich durch eine nachträgliche Einweisung heilen.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Art. 20, Art. 27, Art. 32, www.eur-lex.europa.eu
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
  • BSI Handreichung zu §38 BSIG (April 2026, Version 1.0), www.bsi.bund.de
  • NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, BSIG, BSI Handreichung §38). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Persönliche Verantwortung von Geschäftsführungsmitgliedern ist eine Rechtsfrage für eine zugelassene Rechtsanwältin oder einen Rechtsanwalt. Stand: 2026-06-04.

Saubere Übergabe vor dem nächsten Wechsel
Die Plattform erzeugt eine Übergabemappe mit Erinnerung an die Registrierungsaktualisierung, §38 Schulungsverfolgung und Einweisungsvorlage für Risikoakzeptanzen.
Zur Plattform anmelden