NIS2 Rollen und Verantwortlichkeiten rund um Awareness

Geschäftsleitung: Steuern und Verantworten

Nach § 38 BSIG n.F. und NIS2 Artikel 20 Absatz 1 und 2 trägt die Geschäftsleitung die unmittelbare Verantwortung für Cybersicherheit. Sie muss die Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und selbst regelmäßig an Schulungen teilnehmen, die geeignet sind, Cyberrisiken zu erkennen und ihre Auswirkungen auf die Einrichtung zu beurteilen.

Die persönliche Haftung bei Pflichtverletzungen ist eine direkte Folge. In der Praxis bedeutet das: Cybersicherheit als festen Tagesordnungspunkt, dokumentierte Beschlüsse, regelmäßige Überprüfung des Umsetzungsstands. Eine vollständige Delegation an den CISO ist nicht ausreichend, die Geschäftsleitung muss selbst urteilsfähig sein.

In größeren Organisationen wird häufig ein Mitglied der Geschäftsleitung als Cybersicherheitsverantwortlicher benannt. Diese Person fungiert als Sponsor des Programms, Adressat der Berichte und erster Ansprechpartner für das BSI. Die kollektive Verantwortung der gesamten Geschäftsleitung bleibt davon unberührt.

CISO oder Informationssicherheitsbeauftragter: Koordinieren und Berichten

Der CISO (Chief Information Security Officer) oder, in kleineren Einrichtungen, der Informationssicherheitsbeauftragte (ISB) ist operativ verantwortlich für Aufbau, Pflege und Überwachung der Informationssicherheit. Nach § 30 BSIG n.F. muss diese Rolle ausdrücklich besetzt sein, mit hinreichendem Mandat und unmittelbarem Zugang zur Geschäftsleitung.

Aufgaben: Risikoanalysen, Pflege des ISMS, Auftragsvergabe für Awareness-Programme, Definition und Berichterstattung von KPIs an die Geschäftsleitung, Kontakt zum BSI und zu sektoralen Aufsichtsbehörden wie BNetzA oder BaFin, Koordination bei Vorfällen mit IT und Rechtsabteilung.

Wichtig: der CISO setzt technische Maßnahmen nicht selbst um, das ist Aufgabe des IT-Betriebs. Der CISO ist die zweite Linie: er definiert Anforderungen, prüft und berichtet. In kleineren Organisationen kann die Rolle mit DSB oder Risk Officer kombiniert werden, sofern Unabhängigkeit und Mandat gewahrt sind.

IT-Betrieb und CSIRT

Der IT-Betrieb (interne IT-Abteilung oder externer Managed Service Provider) setzt die technischen Maßnahmen um: Patchen, Segmentieren, Monitoring, Backup und Recovery, Identity and Access Management, Endpoint-Schutz. Nach § 30 BSIG n.F. fallen diese unter die "geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen".

Das CSIRT (Computer Security Incident Response Team) bearbeitet Vorfälle von der Erkennung bis zur Wiederherstellung und Nachbereitung. Nach § 32 BSIG n.F. besteht eine dreistufige Meldepflicht an das BSI: Frühwarnung innerhalb von 24 Stunden, Zwischenbericht innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Das CSIRT braucht Playbooks, eine 24/7-Rufbereitschaft und regelmäßige Übungen.

In Deutschland kooperiert das CSIRT mit dem BSI-Lagezentrum und mit sektoralen CERTs (etwa CERT@VDE für Industrie, CERT-Bund für Bundesverwaltung, branchenspezifische ISACs). Eine frühzeitige Einbindung dieser Stellen erleichtert sowohl die Meldepflicht als auch die fachliche Unterstützung im Ernstfall.

HR, Kommunikation und Awareness-Lead

Die Awareness-Pflicht aus § 30 BSIG n.F. ist keine reine IT-Aufgabe. HR verankert Sicherheit in der Personalpolitik: Einführungsschulung neuer Mitarbeitender, jährliche Wiederholung, Dokumentation im Personalsystem, Konsequenzen bei dauerhafter Nichtteilnahme.

Der Awareness-Lead oder Programmmanager (häufig dem CISO oder HR zugeordnet) plant und koordiniert das Programm: Inhalte, Zeitplan, Phishing-Simulationen, Kommunikation, Berichterstattung. In größeren Organisationen ist das eine eigenständige Rolle, in kleineren wird sie mit CISO oder interner Kommunikation kombiniert.

Daneben benennen viele Einrichtungen Risk Owner pro Geschäftsbereich: Linienverantwortliche, die für die Risiken in ihren Prozessen einstehen und Awareness-Botschaften an die operative Ebene übersetzen. Damit wird vermieden, dass Sicherheit nur eine Aufgabe der Zentralfunktionen bleibt.

Und in Österreich? Rollenverteilung unter dem NISG 2024

In Österreich übernimmt das Bundesministerium für Inneres (BMI) die zentrale Koordinationsrolle als zuständige Behörde im Sinne von NIS2 Artikel 8. Das BMI steuert das nationale CSIRT, koordiniert mit sektoralen Aufsichtsbehörden und stellt zentrale Meldestelle und Frühwarnsystem bereit.

Die Verantwortung der Leitungsorgane ist im NISG 2024 parallel zum deutschen § 38 BSIG ausgestaltet: Billigung der Risikomanagementmaßnahmen, Überwachung der Umsetzung, eigene Schulungspflicht, persönliche Haftung. Bußgelder bis zu €10 Mio. oder 2% des weltweiten Jahresumsatzes sind für wesentliche Einrichtungen möglich.

Sektorale Aufsichten ergänzen das Bild: FMA für den Finanzsektor, RTR/Telekom-Control für Telekommunikation, E-Control für Energie. Deutsche Unternehmen mit österreichischen Tochtergesellschaften prüfen die Hauptniederlassungsregel aus NIS2 Artikel 26; sektorale Pflichten gelten jedoch parallel im jeweiligen Tätigkeitsland.

Verwandte Artikel

• Vorstandsschulungspflicht nach NIS2UmsuCG und NISG 2024
• Was ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG)?
• NIS2 Awareness Checkliste für Organisationen

Quellen

• BSI, NIS2-Portal und Umsetzungshinweise
• BMI Österreich, Cyber-Sicherheit und NISG 2024
• NIS2-Richtlinie (EUR-Lex)

FAQ

Müssen alle Mitglieder der Geschäftsleitung an Schulungen teilnehmen oder reicht ein benannter Cybersicherheitsverantwortlicher?

§ 38 BSIG n.F. und NIS2 Artikel 20 Absatz 2 sind eindeutig: alle Mitglieder des Leitungsorgans müssen regelmäßig geschult werden. Ein benanntes Mitglied für Cybersicherheit kann als Sponsor und Ansprechpartner agieren, doch dies entbindet die übrigen Mitglieder weder von ihrer individuellen Schulungspflicht noch von der kollektiven Haftung.

Was unterscheidet CISO und Datenschutzbeauftragten?

Der CISO verantwortet die Informationssicherheit insgesamt (Vertraulichkeit, Integrität, Verfügbarkeit), der Datenschutzbeauftragte überwacht spezifisch die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten. Beide Rollen können kooperieren, müssen aber organisatorisch unabhängig bleiben, um Interessenkonflikte zu vermeiden.

Kann die CISO-Rolle extern besetzt werden?

Ja, ein CISO-as-a-Service-Modell ist möglich und für kleinere Einrichtungen oft praktisch. Voraussetzungen: ausreichende Verfügbarkeit, klares Mandat, direkte Berichtslinie an die Geschäftsleitung, kein Interessenkonflikt mit anderen Dienstleistungen (zum Beispiel dem SOC-Anbieter). Die Endverantwortung der Geschäftsleitung nach § 38 BSIG n.F. bleibt unberührt.

Wer meldet einen Vorfall an die Behörde?

Verfahrensmäßig führt das CSIRT die Meldung durch, mit Zustimmung des CISO und Information der Geschäftsleitung. Rechtlich ist die Einrichtung meldepflichtig; der konkrete Unterzeichner variiert je nach interner Regelung. In Deutschland erfolgt die Meldung über das BSI-Meldeportal. In Österreich über das nationale CSIRT beim BMI.

Wie dokumentiere ich die Rollenverteilung für eine Prüfung?

Erstellen Sie eine RACI-Matrix (Responsible, Accountable, Consulted, Informed) für die NIS2-Pflichten, verknüpfen Sie diese mit Stellenbeschreibungen und fixieren Sie die Verantwortung der Geschäftsleitung in einem Vorstandsbeschluss. Nehmen Sie die Rollen in das ISMS-Handbuch und in den Incident-Response-Plan auf. Die Kombination aus RACI und Beschluss ist in Prüfungen das stärkste Belegmaterial.

Brauchen HR-Mitarbeitende ebenfalls Schulung zu NIS2-Pflichten?

Ja, zumindest die HR-Personen, die Awareness-Trainings planen oder registrieren. Sie müssen wissen, welche Nachweise für eine Prüfung erforderlich sind (Teilnahmelogs, Zertifikate, Wiederholungsfrequenz) und wie neue Mitarbeitende innerhalb einer angemessenen Frist (typisch 30 bis 90 Tage) ihre Einführungsschulung erhalten. Eine kurze Governance-Briefing von 60 Minuten genügt meistens.