Cybersecurity Executive Briefing — In einem Tag zur Cyber-Resilienz für Entscheider.

Wusstest Du, dass Geschäftsleitungen persönlich für Cyberrisiken haften können?

„Jedes dritte Unternehmen in Deutschland war 2024 Ziel eines Cyberangriffs – Tendenz steigend.“
(BSI-Lagebericht 2024)

Die EU-Richtlinie NIS-2 verpflichtet viele Unternehmen, Fachkenntnisse im Risikomanagement nachzuweisen und regelmäßig zu schulen. In unserem Executive Briefing lernst Du, wie Dein Unternehmen resilient wird, rechtliche Pflichten erfüllt und warum das besonders für Agenturen und Dienstleister in Lieferketten relevant ist.

Aktuelle Bedrohungslage & Ethical-Hacking
NIS-2, BSIG-E, DSGVO & persönliche Haftung
Risikomanagement und organisatorische Resilienz
Wettbewerbsvorteile für Unternehmen in der Lieferkette

Bewerbung	Berlin
Gültig ab	26.11.2025

Jetzt anmelden Teilnahmebedingungen

Jetzt anmelden

Referenten und Inhalte von führenden Experten

Zur Website

Programm & Bescheinigung

Ziel des Executive Briefings

Du wirst in einem Tag zur handlungs- und haftungssicheren Führungskraft im Bereich Cybersecurity. Dir werden Kenntnisse und Fähigkeiten vermittelt, die zur Umsetzung von § 38 Abs. 3 BSIG-E zwingend erforderlich sind. Damit werden betroffene Unternehmen optimal vorbereitet und sichern sich Wettbewerbsvorteile.

Auch wenn viele Unternehmen nicht direkt unter NIS-2 fallen, sind sie über ihre Kunden und Aufträge ebenfalls betroffen. Wer für öffentliche Einrichtungen oder kritische Infrastrukturen arbeitet, steht automatisch in deren Lieferkette und damit in der Verantwortung, Sicherheitsstandards nachzuweisen.

Nach dem Briefing kannst Du…

die Anforderungen der NIS-2-Richtlinie und des deutschen BSIG-E einordnen
auch als NIS-2-Betroffener in der Lieferkette, „Flow-Down Anforderungen“ richtig bewerten
rechtliche Pflichten und Haftungsrisiken für Geschäftsleitungen bewerten
zentrale Maßnahmen des Risikomanagements und der organisatorischen Resilienz identifizieren
bestehende Prozesse im Unternehmen auf Compliance und Krisenfähigkeit prüfen

Programmübersicht

Format	Titel	Inhalte
Keynote	„Der Sturm ist schon da – Lagebild 2025“	Ein kompaktes Update zur aktuellen Cybersicherheitslage: geopolitische Spannungen, wachsende Professionalisierung von Cybercrime und reale Risiken für Unternehmen jeder Größe.
Deep-Dive I	DSGVO & NIS-2 – Rechtliche Pflichten und Haftungsszenarien	Datenschutz trotz Cyberangriff: Datenvorfälle verpflichten Unternehmen zu weitreichenden Melde- und Informationspflichten. Gleichzeitig verlangt der aktuelle Entwurf des NIS-2-Umsetzungsgesetzes die lückenlose Umsetzung und Überwachung aller vorgeschriebenen Risikomanagementmaßnahmen. Wer diese Pflichten verletzt, riskiert eine persönliche Haftung und Bußgelder.
Expert-Session I	Hacking hautnah – Wie Hacker tatsächlich vorgehen	Ein Ethical Hacker zeigt, wie schnell Unternehmen ins Visier geraten und wie Angriffe unbemerkt bleiben. Die Teilnehmer*innen erfahren, welche Angriffswege tatsächlich genutzt werden, welche typischen Fehler in der Infrastruktur vorkommen & welche Rolle menschliche Schwachstellen spielen.
Deep-Dive II	„Bei uns ist alles sicher…“ – Realität der Informationssicherheit	Dieser Deep Dive zeigt, wie Du technische, organisatorische und menschliche Faktoren zu einem belastbaren Sicherheitskonzept verbindest. Von Incident Response und Notfallwiederherstellung über Lieferkettensicherheit bis zu Awareness-Maßnahmen.
Expert-Session II	Versicherungsrealität – Policen im Härtetest	Cyber-Versicherungen greifen nur, wenn definierte Voraussetzungen erfüllt sind. Diese Session zeigt, welche Leistungen typische Policen tatsächlich abdecken, wo Deckungslücken bestehen und wie Du Deinen Versicherungsschutz strategisch prüfst.
Executive Summary	Konkrete Handlungsfelder für Entscheider:innen	Zum Abschluss werden alle Erkenntnisse verdichtet und in Handlungsfelder für Geschäftsleitungen übersetzt. Du erhältst eine klare Roadmap, um die Cyber-Resilienz Deines Unternehmens gezielt zu stärken.
Networking	Exklusives Dinner für Austausch und Vernetzung	Der Tag klingt mit einem gemeinsamen Abendessen im vertraulichen Rahmen aus. Es besteht Gelegenheit zum offenen Austausch mit Referent:innen und den anderen Entscheidungsträger:innen.

Bescheinigung

Im Nachgang an die Präsenzveranstaltung erhältst Du eine Bescheinigung, welche Dir bestätigt, dass Du als Geschäftsleitung erfolgreich an der Schulung im Bereich der Informationssicherheit teilgenommen hast. Es werden Kenntnisse und Fähigkeiten vermittelt, die zur Umsetzung von § 38 Abs. 3 BSIG-E zwingend erforderlich sind.

Weitere Antworten auf Deine Fragen liefert Dir unser FAQ.

Termin

26. November 2025, Berlin (BVDW Homebase)
9:30- 17:00 Uhr (bis ca. 22:00 inkl. Diner)

Kein passender Termin, Du möchtest eine Individualschulung oder Du hast noch Fragen?
Dann schreib uns an: zertifikate@bvdw.org

Jetzt Platz sichern

Was ist NIS-2 und warum betrifft Dich das?

Die EU-Richtlinie NIS-2 verpflichtet Unternehmen, die als wichtige oder besonders wichtige Einrichtung nach § 28 BSIG-E einzustufen sind, ihre Widerstandsfähigkeit gegen Cyberangriffe deutlich zu stärken. Im Rahmen des aktuellen Entwurfs des deutschen NIS-2-Umsetzungsgesetzes (zukünftig § 38 Abs. 3 BSIG) besteht dafür voraussichtlich ab 2026 eine konkrete Schulungspflicht. Sie richtet sich explizit an die Geschäftsleitung.

Die betrifft nicht nur Unternehmen der kritischen Infrastruktur sondern auch all ihre Lieferketten. Schon jetzt kannst Du Dir hier einen entscheidenden Wettbewerbsvorteil sichern. Wir haben Dir im nächsten Abschnitt der Website einige echte Fallbeispiele zusammengestellt.

Kernpunkte der Richtlinie

– Verantwortung der Geschäftsleitung: Pflicht zur aktiven Überwachung der Sicherheitsmaßnahmen

– Nachweispflicht: Schulung und Fachkenntnisse müssen regelmäßig belegt werden

– Bußgelder & Haftung: Verstöße können persönliche Konsequenzen nach sich ziehen

– Lieferkettensicherheit: Auch indirekt betroffene Unternehmen fallen unter die Regelung

Wie NIS-2 Deine Kunden und Dich betrifft

Website-Relaunch für eine Hochschule

Eine Digitalagentur erhält den Auftrag, den Webauftritt einer Hochschule technisch und visuell zu modernisieren. Die Hochschule fällt unter das Hochschulgesetz des jeweiligen Bundeslands und gilt als öffentliche Einrichtung mit kritischer Infrastrukturbezug, da sie personenbezogene Daten von Studierenden, Forschenden und Bewerbern verarbeitet.

Situation:
Im Vertrag fordert die Hochschule von der Agentur:

eine Risikoanalyse der Hosting- und CMS-Umgebung,
Nachweis eines Informationssicherheitskonzepts (z. B. ISMS-light),
Verschlüsselung, Penetrationstest, Logging, Rechtemanagement,
Verfügbarkeit von Ansprechpartnern für Incident Response.

Warum das passiert:
Hochschulen müssen NIS-2-ähnliche Sicherheitsanforderungen erfüllen. Sie geben diese Pflichten an Dienstleister weiter, um eigene Haftungsrisiken auszuschließen.
Die Agentur steht dadurch faktisch in der Lieferkette kritischer Einrichtungen und muss sich an Standards wie ISO 27001 oder BSI-Grundschutz orientieren – auch wenn sie formal nicht direkt betroffen ist.

Lernpunkt für das Seminar:
Auftragnehmer werden indirekt NIS-2-pflichtig, sobald sie für kritische oder öffentliche Einrichtungen arbeiten.

Zugangssystem & Zeiterfassung für eine Sozialversicherung in Bayern

Eine Software-Agentur entwickelt ein cloudbasiertes Zutritts- und Zeiterfassungssystem für eine gesetzliche Krankenkasse.
Die Kasse fällt unter den Sektor „Gesundheit“ und wird mit Inkrafttreten des NIS2UmsuCG als „wichtige Einrichtung“ eingestuft.

Situation:
Im Rahmen der Vertragsverhandlungen verlangt die Kasse:

Auditierbare Protokollierung und Nachvollziehbarkeit von Zugriffen,
Hosting ausschließlich innerhalb der EU,
Nachweis über regelmäßige Schwachstellen-Scans,
Sicherheitszertifikate (z. B. ISO 27001, SOC 2) oder gleichwertige Dokumentation.

Warum das passiert:
Kritische Einrichtungen sind verpflichtet, Sicherheitsstandards entlang ihrer Lieferkette sicherzustellen (§ 30 Abs. 2 BSIG-neu).
Dadurch entstehen faktisch „NIS-2-Schattenpflichten“: Die Agentur wird zum Sicherheitsnachweis verpflichtet, obwohl sie selbst keine meldepflichtige Einrichtung ist.

Lernpunkt für das Seminar:
Sicherheits- und Compliance-Pflichten „diffundieren“ über Verträge in die gesamte Dienstleisterkette hinein.

Kampagnen- und CRM-System für ein Energieversorgungsunternehmen

Eine Marketing-Agentur betreibt das Kampagnen- und Kundenkommunikationssystem für einen regionalen Energieversorger (EVU). Das EVU ist eine besonders wichtige Einrichtung nach NIS-2 (Sektor Energieversorgung).

Situation:
Das EVU verlangt im Rahmen des Projekts:

Nachweis der Datensicherheit und Verfügbarkeit (Service Level Agreements),
Regelmäßige Sicherheitsaudits, Multi-Faktor-Authentifizierung für alle Zugänge,
verpflichtende Awareness-Schulungen für Agenturmitarbeitende,
Meldung sicherheitsrelevanter Vorfälle binnen 24 Stunden.

Warum das passiert:
Das EVU steht unter direkter Aufsicht nach NIS-2. Um Bußgelder und Haftungsrisiken zu vermeiden, muss es sicherstellen, dass auch externe Dienstleister seine Sicherheitsanforderungen erfüllen.
Die Agentur wird so Teil der kritischen Infrastrukturkette – ohne formell reguliert zu sein.

Lernpunkt für das Seminar:
Informationssicherheit wird zum Wettbewerbsfaktor: Nur Agenturen mit nachvollziehbarem Sicherheitskonzept erhalten künftig solche Aufträge.

Preise & Leistungen

Das ist drin für Dich und Dein Unternehmen:

Eintägiges Executive-Briefing mit praxisnahen Fachvorträgen & Live-Hacking
Bescheinigung, zur Bestätigung, dass Du als Geschäftsleitung erfolgreich teilgenommen hast
Hochkarätige Referent:innen aus Recht, IT-Sicherheit, Versicherungswesen & Kommunikation
Umfangreiche Unterlagen zu NIS-2, Haftung & Risikomanagement
Optional: exklusives Networking-Dinner mit Expert:innen und Entscheider:innen

Preisübersicht	Mitglieder-Preis*	Standard-Preis*
pro teilnehmender Person exkl. Dinner	990.-€	1.290.-€
pro teilnehmender Person inkl. Dinner	1.090.-€	1.390.-€
		*Alle Preise sind Nettopreise zzgl. MwSt. und enthalten keine Reise- & Übernachtungskosten der Teilnehmer.

Jetzt Platz sichern!

Referent*innen

Immanuel Bär

Ethical Hacker | Speaker | Digitalberater | Co-Founder ProSec GmbH

Details

Dr. Clemens Birkert

Rechtsanwalt und Partner im Bereich IT/Datenschutz, OPPENLÄNDER Rechtsanwälte, Stuttgart

Details

David Pfau

Geschäftsführer bei conreri digital development GmbH

Details

Wolfgang Lanzrath

Managing Consultant Informationssicherheit

Judith de Vries

Rechtsanwältin im Bereich IT/Datenschutz, OPPENLÄNDER Rechtsanwälte, Stuttgart

Details

Artur Bachmann

Handlungsbevollmächtigter Spezialist Cyberversicherung, Dr. Hörtkorn München GmbH – Industrieversicherungsmakler

Details

Immanuel Bär

Ethical Hacker | Speaker | Digitalberater | Co-Founder ProSec GmbH

Mitgründer und Partner bei ProSec, Pionier im Bereich Social Engineering und physische Sicherheit, Entwickler von Tools und Prozessen sowie Berater in regulierten Umgebungen.

Immanuel Bär zählt zu den profiliertesten Ethical Hackern Deutschlands. Als Co-Founder der ProSec GmbH leitet er ein Team, das praxisnahe IT-Sicherheitsanalysen durchführt – von technischen Penetration-Tests bis hin zu physischem Eindringen und Social-Engineering-Angriffen.Er ist maßgeblich für die strategische Ausrichtung, Technologierichtungen und Innovationen im Bereich Penetration Testing und Cybersecurity verantwortlich.

Dabei baut er realitätsnahe Tests auf, die auch menschliche und physische Schwachstellen sichtbar machen. Zudem hat er entscheidend zur Entwicklung von Sicherheitsstandards beigetragen, die heute in zahlreichen Unternehmen implementiert sind. Er verfügt über umfangreiche Erfahrung in Projekten, die Compliance-Anforderungen wie DORA oder NIS-2 abbilden – selbst unter hohem Sicherheitsdruck.Bekannt wurde er durch seine praxisnahen Angriffsszenarien in Unternehmen, die unter anderem in heise online, c’t Magazin und 3Sat Nano dokumentiert wurden.

Dr. Clemens Birkert

Rechtsanwalt und Partner im Bereich IT/Datenschutz, OPPENLÄNDER Rechtsanwälte, Stuttgart

Clemens Birkert ist spezialisiert auf das Datenschutz- und IT-Recht. Er hat den Entstehungsprozess der Datenschutz-Grundverordnung von Grund auf mitbegleitet, zunächst durch seine Forschungstätigkeit am Institut für Medien- und Informationsrecht der Universität Freiburg und anschließend bei der anwaltlichen Beratung zahlreicher Großprojekte zur Implementierung der Datenschutz-Grundverordnung, u. a. für mehrere DAX-30 Unternehmen aus der Banken- und Automobilbranche. Er verfügt über besondere Erfahrung in der Begleitung von IT-Projekten und IT-Sicherheitsvorfällen sowie in der Verteidigung seiner Mandanten in komplexen Rechtsstreitigkeiten. Er hat hervorragende Branchenkenntnisse in den Bereichen eHealth, eCommerce, Medien / Presse und Digitalisierung.

Clemens Birkert ist gefragter Redner zu datenschutz- und IT-rechtlichen Themen. Er ist Autor zahlreicher Fachveröffentlichungen, darunter Mitautor des Rechtshandbuchs E-Health / Digital Health im Verlag C.H.BECK. Für seine Tätigkeit als Rechtsanwalt wird er regelmäßig ausgezeichnet, u.a. von Best Lawyers: Ones to Watch in Germany, Handelsblatt und der WirtschaftsWoche.

David Pfau

Geschäftsführer bei conreri digital development GmbH

David Pfau ist Geschäftsführer bei der conreri digital development GmbH in Hamburg. Der studierte Wirtschaftspsychologe gilt als ausgewiesener Experte für regulatorische Fragestellungen in der Medien- und Digitalbranche und verfügt über langjährige Erfahrung in der Beratung. Bei conreri verantwortet er das Geschäftsfeld Compliance und fungiert für seine Mandanten als Schnittstelle und Übersetzer zwischen den Bereichen Politik, Wirtschaft, Technik und Recht.

Darüber hinaus unterstütz Pfau als Troubleshooter Mandanten dabei, rechtliche Konflikte mit Datenschutzaufsichtsbehörden zu lösen. Zudem agiert er als Seismograf für regulatorische und ökonomische Entwicklungen, um die Mandantschaft frühzeitig auf Veränderungen vorzubereiten und mit diesen gemeinsam passenden Strategien aufzusetzen.

David Pfau ist Lehrbeauftragter an der German Business Faculty an der Kaplan Business & Accountancy School in Hong Kong, mit den Schwerpunkten Digitalisierung und Datenwirtschaftsrecht. Zudem ist er Autor des Rechtshandbuches „Datenschutz im Internet“ (Hrsg. Schwartmann, Benedikt, Reif).

Judith de Vries

Rechtsanwältin im Bereich IT/Datenschutz, OPPENLÄNDER Rechtsanwälte, Stuttgart

Judith de Vries ist Rechtsanwältin bei OPPENLÄNDER Rechtsanwälte und spezialisiert auf das Datenschutz- und IT-Recht. Im Fokus ihrer Tätigkeit steht die Schnittstelle von Recht und Technologie. Sie berät Unternehmen zu allen Fragestellungen im Zusammenhang mit innovativen Technologien, insbesondere im Umgang mit der Regulierung Künstlicher Intelligenz und der Umsetzung von Digitalisierungslösungen. Besondere Expertise besitzt sie in komplexen, datengetriebenen Regulierungsfragen sowie in den Bereichen Cybersecurity und KI-Governance.

Ihre technische und wissenschaftliche Auseinandersetzung mit der Entwicklung und dem Einsatz von KI-Systemen im regulierten Umfeld vertiefte Judith de Vries im Rahmen ihrer Dissertation. In anerkannten juristischen Fachzeitschriften veröffentlicht sie regelmäßig zu aktuellen Fragen der Digitalisierung, technologischer Innovationen und der Datensicherheit.

Artur Bachmann

Handlungsbevollmächtigter Spezialist Cyberversicherung, Dr. Hörtkorn München GmbH – Industrieversicherungsmakler

Artur Bachmann berät bundesweit Mandanten im Hinblick auf das Thema Cyberversicherung. Hierzu gehört die Risikoermittlung sowie das abschließende Placing der geeignetsten Lösung für das spezifische Unternehmen.

Zu den weiteren Tätigkeiten zählt eine aktive Marktüberwachung, um aktuelle Trends für Mandanten des frühzeitig zu erkennen sowie die Anbindung von Kooperationspartnern.

Du hast noch Fragen?

An wen richtet sich das Seminar?

Das Seminar richtet sich an Geschäftsleitungen und das Management aus privaten Unternehmen und öffentlichen Stellen, sowie an Beiräte, Gesellschafter, Vorstände, und Führungskräften aus allen Unternehmensbereichen (m/w/d).

Ein Fokus liegt auf Unternehmen, welche direkt oder indirekt – insbesondere über die Sicherheit der Lieferkette – unter die deutsche Umsetzung der NIS-2-Richtlinie fallen. Jedoch sind die enthaltenen Informationen für alle Unternehmen relevant, welche die eigene Widerstandsfähigkeit prüfen und verbessern möchten.

Welche Inhalte werden vermittelt?

Im Seminar zeigen wir unter anderem auf, wie Unternehmen angegriffen werden, wie man sich dagegen schützen kann, welche rechtlichen Rahmenbedingungen, Haftungsszenarien und Versicherungsoptionen greifen und wie das gelernte im eigenen Unternehmen angewendet werden kann.

Welche konkreten Inhalte zu NIS-2 und des deutschen NIS2UmsuCG werden vermittelt?

Die folgenden Inhalte werden über die Tagesveranstaltung hinweg vermittelt:

Ziele, Pflichten und weitere relevante Paragrafen der NIS-2-Richtlinie / des NIS2UmsuCG
Verantwortlichkeiten der Geschäftsleitung
Erkennung und Bewertung von Risiken
Kenntnis, Umsetzung und Dokumentation von Risikomanagementmaßnahmen Prozesse zur Überwachung und Sicherstellung der Compliance
Melde- und Unterrichtungspflichten
Schulung und Sensibilisierung der Mitarbeiter:innen
Konsequenzen bei Nicht-Einhaltung der Richtlinie
Gesetzliche Rahmenbedingungen der persönlichen Haftung

Wer hat die Inhalte kuratiert?

Das Seminar wurde vom BVDW in Zusammenarbeit mit dem Beratungsunternehmen conreri aus Hamburg entwickelt. Die Inhalte wurden mit einem Team von Expert*innen kuratiert, welche auch als Referent*innen Vor-Ort sind.

Was wird für die Teilnahme benötigt?

Einen Tag Deiner wertvollen Zeit, Aufmerksamkeit und Neugier. Es sind keine Vorkenntnisse erforderlich. Die teilnehmenden Personen werden durch die Inhalte und Referent*innen dazu befähigt, die Widerstandsfähigkeit des eigenen Unternehmens einzuordnen und kontinuierlich zu stärken.

Erhalte ich eine Teilnahmebescheinigung?

Mit dieser Tagesveranstaltung werden Dir Kenntnisse und Fähigkeiten vermittelt, die zur Umsetzung von § 38 Abs. 3 BSIG-E zwingend erforderlich sind.