§38 BSIG · GF-Nachweis
Arbeitsdokument
GF-Nachweis
§38 BSIG
Nachweis der Leitungsverantwortung: Schulung, Kenntnisnahme, Billigung und Wiedervorlage nach §38 NIS2-Umsetzungsgesetz (BSIG).
EVID-01 · Einordnung
Wann dieser GF-Nachweis hilft
✓ Dieses Dokument hilft bei
Schulungsnachweis der Geschäftsführung
Dokumentierter Kenntnisnahme der Risikolage
Billigung wesentlicher Maßnahmen
Wiedervorlage und regelmäßiger Überwachung
Befassung der Geschäftsführung bei Ausnahmen, Restrisiken und Vorfällen
✗ Dieses Dokument ersetzt nicht
Vollständiges ISMS
Vollständige Risikoanalyse
Incident-Protokoll
Lieferantenbewertung
Juristische Einzelfallprüfung
EVID-01 ist ein Nachweis- und Arbeitsdokument für Leitungseinbindung. Weitere Nachweise entstehen in den jeweiligen NIS2-Arbeitsständen.
Befüllhilfe
Welche Einträge einen GF-Nachweis belastbar machen
Entscheidend ist, dass Schulung, Kenntnisnahme, Entscheidung und Wiedervorlage nachvollziehbar bleiben — nicht nur formal ausgefüllt sind.
B · Schulungsnachweis
Schulung
zu allgemein
„Cyber-Schulung durchgeführt."
belastbar
„Schulung zu NIS2-Leitungspflichten, §30 Risikomanagement, §32 Meldepflicht und §38 BSIG. Datum, Teilnehmer, Dauer, Anbieter und Ablageort dokumentiert."
C · Kenntnisnahme
Kenntnisnahme
zu allgemein
„IT-Sicherheit besprochen."
belastbar
„Geschäftsführung hat Risikolage, offene Maßnahmen, kritische Lieferanten und Patch-Ausnahmen zur Kenntnis genommen. Offene Punkte mit Owner und Wiedervorlage dokumentiert."
C · Billigung
Billigung / Maßnahme
zu allgemein
„Maßnahmen genehmigt."
belastbar
„Billigung der priorisierten Maßnahmenliste einschließlich offener Restrisiken, Budgetbedarf, Fristen, Verantwortlichen und nächstem Review-Termin."
Diese Beispiele sind Formulierungshilfen. Sie ersetzen keine eigene Einordnung des konkreten Sachverhalts.
A · Basisdaten
Einrichtung und verantwortliche Leitungsperson
Abschnitt A
Einrichtung
Unternehmen
[Firma, Rechtsform]
NIS2-Einstufung
[wE / bwE / KRITIS]
Sektor · Anhang
[z.B. Gesundheit · Anhang I]
Leitungsperson
Name
[Vorname Nachname]
Funktion
[Geschäftsführer · Vorstand]
Bestellung seit
[TT.MM.JJJJ]
Dokument
Dokument-ID
GF-Nachweis §38 BSIG
Version
v1.0
Stand
[TT.MM.JJJJ]
Status
Schulung
Ausstehend
Kenntnisnahme
Ausstehend
Billigung
Ausstehend
B · Schulungsnachweis
Dokumentierte Teilnahme an NIS2-Schulung
Abschnitt B
Schulung
Datum
[TT.MM.JJJJ]
Format
[Präsenz / Online / Selbststudium]
Dauer
[Stunden / Halbtag / Tag]
Anbieter / intern
[Name Anbieter oder „intern"]
Inhalte · §38 BSIG
NIS2-Grundlagen
[Ja / Teilweise / Nein]
GF-Pflichten §38
[Ja / Teilweise / Nein]
Risikomanagement §30
[Ja / Teilweise / Nein]
Meldepflichten §32
[Ja / Teilweise / Nein]
Nachweis und Ergebnis
Teilnahmebestätigung
[Zertifikat / Bestätigungsmail / Eigenerklärung — Ablage: [Pfad/System]]
Verständnis bestätigt
[Ja — dokumentiert durch [Test / Gesprächsprotokoll / Selbstauskunft]]
Nächste Schulung
[Quartal / Jahr — z.B. Q2 2027]
Trigger · Geschäftsführung
Wann die Geschäftsführung befasst werden sollte
Nicht jede IT-Entscheidung gehört zur Geschäftsführung. Eine Befassung der Geschäftsführung wird relevant, wenn eine Entscheidung wesentliche Risiken, Ausnahmen, Ressourcen oder Betriebswirkung betrifft.
Kritische Patch-Ausnahme
Erheblicher Sicherheitsvorfall oder §32-Meldeprüfung
Lieferant mit kritischem Systemzugriff
Verzögerung wesentlicher Maßnahmen
Budget- oder Ressourcenentscheidung
Fehlende MFA oder privilegierte Ausnahme
OT- oder Produktionsrisiko
Wesentliche Abweichung vom Zielzustand
EVID-01 ist besonders nützlich, wenn aus einer operativen Entscheidung eine Leitungsentscheidung wird.
C · Kenntnisnahme · Billigung
Kenntnisnahme und Billigung dokumentieren
Abschnitt C
Die folgenden Punkte halten fest, welche Themen der Geschäftsführung vorgelegt wurden und welche Maßnahmen, Zuständigkeiten oder Wiedervorlagen sie zur Kenntnis genommen oder gebilligt hat.
Risikolage: Die Geschäftsführung hat die aktuelle Risikolage für die IT-Systeme des Unternehmens zur Kenntnis genommen und mit den zuständigen Verantwortlichen erörtert.
Maßnahmen §30: Die Geschäftsführung hat die umgesetzten und geplanten Sicherheitsmaßnahmen nach §30 BSIG zur Kenntnis genommen und deren Umsetzung formal zugestimmt.
Meldeprozess §32: Die Geschäftsführung kennt den internen Meldepfad für erhebliche Sicherheitsvorfälle und hat die zuständigen Personen benannt.
Zuständigkeiten: Interne Verantwortlichkeiten für IT-Sicherheit und NIS2-Umsetzung sind geregelt, dokumentiert und der Geschäftsführung bekannt.
Outsourcing: Soweit IT-Leistungen ausgelagert sind, hat die Geschäftsführung zur Kenntnis genommen, dass die Betreiberpflichten und die Überwachungsverantwortung intern verbleiben.
Wiedervorlage: Die Geschäftsführung hat zur Kenntnis genommen, dass Schulung, Kenntnisnahme und Billigung in regelmäßigen Abständen zu erneuern sind.
Unterschrift · Geschäftsführung
Gegenzeichnung (optional)
D · Wiedervorlage · Intervall
Regelmäßige Erneuerung der Leitungseinbindung
Abschnitt D
§38 BSIG verlangt eine laufende Überwachungsverantwortung — nicht nur einen einmaligen Nachweis. Die nachstehende Tabelle dokumentiert die geplanten und durchgeführten Wiedervorlagen.
Orientierung
Möglicher Review-Rhythmus
Jährlich
Schulung, Grundkenntnisnahme, Aktualisierung der Leitungspflichten
Quartalsweise
Maßnahmenstand, offene Risiken, Lieferantenstatus, Patch-Ausnahmen
Anlassbezogen
Incident, §32-Meldeprüfung, kritische Lieferantenänderung, OT-Risiko, Budgetentscheidung
Nach Umsetzung
Review, ob Maßnahme abgeschlossen, fortzuführen oder erneut zu entscheiden ist
Der konkrete Rhythmus hängt von Risikolage, Größe, Sektor, Betriebsmodell und bestehenden Governance-Terminen ab.
Nächster Schritt
Vom Einzelnachweis zum laufenden Leitungsarbeitsstand
EVID-01 dokumentiert Schulung, Kenntnisnahme und Billigung. Für laufende NIS2-Arbeit sollten offene Maßnahmen, Restrisiken, Wiedervorlagen und Nachweise regelmäßig fortgeschrieben werden.