Art. 20 Abs. 1 NIS2 verlangt, dass die EU-Mitgliedstaaten sicherstellen müssen, dass die Leitungsorgane betroffener Einrichtungen die von ihnen zur Einhaltung der gesetzlich geforderten Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für entsprechende Verstöße verantwortlich gemacht werden können. Der Begriff „billigen“ bedeutet letztlich, dass Leitungspersonen konkrete Maßnahmen der Cybersicherheit verstehen, anhand des eigenen Risikos einschätzen und anschließend zur Umsetzung in die Praxis freigeben müssen. Zudem müssen sie sie auch anschließend überwachen, ob sie wirksam sind und bleiben. Das setzt vertiefte Kenntnisse in IT und Netzwerktechnik sowie im Bereich Risikomanagement voraus.
Gesetzlich verankerte Fortbildungspflicht für die Leitungsebene
Da NIS2 als EU-Richtlinie keine unmittelbare Geltung entfaltet, bedarf es einer Umsetzung in nationales Recht; die ist bis zum heutigen Tage in Deutschland und manchen anderen EU-Staaten noch nicht erfolgt. Es existiert aber ein Entwurf eines deutschen Umsetzungsgesetzes, das u. a. Änderungen am BSI-Gesetz (BSIG-E) vorsieht. In § 38 BSIG-E wird Folgendes geregelt: