GF-Schulung – §38 BSIG Nachweis

Für: Geschäftsführer PERSÖNLICH Lesezeit: 4 Minuten

Wer NIS2-betroffen ist, kennt §30 BSIG – die Pflicht, ein Mindestmaß an Cybersicherheit zu gewährleisten. Was viele übersehen: §38 BSIG verlangt zusätzlich, dass die Geschäftsleitung persönlich eine regelmäßige Schulung absolviert.

Das ist nicht delegierbar. Auch nicht an den IT-Leiter. Auch nicht an einen externen Berater. Sie müssen es selbst tun – und nachweisen können.

Was steht in §38 BSIG?

Der Gesetzestext (verkürzt):

„Die Geschäftsleitung von Einrichtungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zu erwerben, mit denen sie die Risiken im Bereich der Cybersicherheit erkennen und bewerten und Risikomanagementmaßnahmen einschätzen kann.”

Was das praktisch bedeutet:

• Sie müssen Cybersecurity-Risiken selbst verstehen
• Sie müssen bewerten können, ob Ihr ISMS angemessen ist
• Sie müssen selbst entscheiden können, ob ein Vorfall „erheblich” ist
• Sie müssen die Schulung dokumentiert haben

Wer ist die „Geschäftsleitung”?

• GmbH: alle Geschäftsführer
• AG: alle Vorstände
• KG: alle Komplementäre, die zur Geschäftsführung berechtigt sind
• OHG / GbR: alle vertretungsberechtigten Gesellschafter

Aufsichtsräte und Beiräte sind nicht §38-pflichtig, aber sollten sich freiwillig schulen lassen.

Schritt 1: Schulung in Hugo DSB starten

In Hugo DSB öffnen Sie das Modul „NIS2 → GF-Schulung”. Sie sehen einen Hinweis:

„Diese Schulung ist nur für Mitglieder der Geschäftsleitung gedacht. Sie ist persönlich und kann nicht delegiert werden.”

Klicken Sie auf „Schulung starten”.

Schritt 2: Identität bestätigen

Bevor die Schulung beginnt, müssen Sie bestätigen:

• Ihren Namen (vorausgefüllt)
• Ihre Funktion (Geschäftsführer / Vorstand / …)
• Ihre Bestätigung, dass Sie die Schulung persönlich absolvieren

Diese Bestätigung wird im Audit-Trail festgehalten.

Schritt 3: Inhalte durcharbeiten (ca. 20 Minuten)

Die Schulung besteht aus fünf Modulen:

Modul 1: NIS2 – Was, warum, wer? (4 Min)

• Was ist NIS2 und woher kommt sie?
• Welche Sektoren sind betroffen?
• Was sind „besonders wichtige” und „wichtige” Einrichtungen?
• Welche Pflichten gelten für wen?

Modul 2: Die 8 Cyber-Pflichten aus §30 BSIG (5 Min)

• Risikomanagement
• Vorfall-Bewältigung
• Aufrechterhaltung des Betriebs
• Lieferketten-Sicherheit
• Sicherheit in Erwerb, Entwicklung, Wartung
• Wirksamkeitsbewertung
• Kryptographie
• Personal-Sicherheit

Modul 3: Geschäftsführer-Haftung (4 Min)

• Was bedeutet „persönliche Verantwortung”?
• Welche Sanktionen drohen bei Versäumnissen?
• Was kann ich delegieren, was nicht?
• Wie schütze ich mich (D&O-Versicherung, Dokumentation)?

Modul 4: Notfall-Entscheidungen (4 Min)

• Was tun bei Ransomware?
• Lösegeld zahlen oder nicht?
• Wer wird wann informiert?
• Wie kommuniziere ich nach außen?

Modul 5: Risiken erkennen und bewerten (3 Min)

• Was ist eine „angemessene” Risikobewertung?
• Wie erkenne ich, ob mein ISMS ausreicht?
• Wann muss ich nachsteuern?

Schritt 4: Quiz absolvieren (ca. 5 Minuten)

Nach den Modulen kommt ein Quiz mit 10 Fragen. Jede Frage prüft, ob Sie ein zentrales Konzept verstanden haben. Beispiele:

• „Wer trifft im Vorfall die Entscheidung über eine Lösegeldzahlung – Sie oder der IT-Leiter?”
• „Welche Frist gilt für die NIS2-Erstmeldung?”
• „Können Sie die Verantwortung für die NIS2-Compliance delegieren?”
• „Was bedeutet ‚angemessene Sicherheitsmaßnahmen’ nach §30 BSIG?”

Bestehensgrenze: 80 % korrekt.

Bei Nicht-Bestehen wiederholen Sie die relevanten Module und versuchen es erneut. Es gibt keine Begrenzung der Versuche – aber Hugo DSB protokolliert alle Versuche.

Schritt 5: Zertifikat herunterladen

Wenn Sie bestanden haben, generiert Hugo DSB ein personalisiertes Zertifikat:

• Ihr Name
• Ihre Funktion
• Datum des Bestehens
• Modulnamen
• Quiz-Score
• Eindeutige Zertifikats-ID
• QR-Code zur Online-Verifizierung

Das Zertifikat ist als PDF verfügbar und wird in Ihrer Compliance-Akte gespeichert.

Schritt 6: Wiederholung planen

§38 BSIG verlangt „regelmäßige” Schulung. Eine konkrete Frist nennt das Gesetz nicht – die Datenschutzaufsichten und das BSI gehen aber davon aus, dass mindestens jährlich geschult werden muss.

Hugo DSB setzt automatisch eine Erinnerung für ein Jahr. Sie bekommen rechtzeitig eine Mail: „Ihre §38-Schulung läuft in 30 Tagen ab. Bitte aktualisieren.”

Was, wenn ich die Schulung nicht mache?

Bei einem Vorfall oder Audit prüft das BSI, ob die Geschäftsleitung geschult ist. Wenn Sie das nicht nachweisen können:

• Es gibt einen Befund im Audit
• Bei Schäden können persönliche Bußgelder verhängt werden (bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes)
• Die D&O-Versicherung kann die Deckung verweigern, wenn „erkennbare Pflichtverletzungen” vorliegen

Kurz: Die 20 Minuten sind die billigste Versicherung Ihres Lebens.

FAQ

„Ich bin nur einer von drei Geschäftsführern – muss jeder?” Ja, jeder einzeln. Hugo DSB legt für jeden GF einen eigenen Schulungs-Eintrag an.

„Gibt es das auch in Englisch?” Ja. Im Modul-Start können Sie zwischen Deutsch und Englisch wählen.

„Kann mein Sekretariat das in meinem Namen machen?” Nein. Die Schulung muss persönlich absolviert werden. Hugo DSB protokolliert IP, Browser und Zeit – Manipulation würde im Audit auffallen.

„Was, wenn ich das Quiz nicht bestehe?” Sie können beliebig oft wiederholen. Niemand außer Ihnen erfährt von Fehlversuchen.

Verwandte Artikel

• NIS2-Dashboard
• BSI-Registrierung
• Vorfall melden

20 Minuten für Ihre persönliche Sicherheit

14 Tage Hugo DSB Professional gratis – inklusive GF-Schulung mit Zertifikat.

14 Tage Pro testen →