Cybersecurity Executive Briefing — In einem Tag zur Cyber-Resilienz für Entscheider.
Wusstest Du, dass Geschäftsleitungen persönlich für Cyberrisiken haften können?
„Jedes dritte Unternehmen in Deutschland war 2024 Ziel eines Cyberangriffs – Tendenz steigend.“
(BSI-Lagebericht 2024)
Die EU-Richtlinie NIS-2 verpflichtet viele Unternehmen, Fachkenntnisse im Risikomanagement nachzuweisen und regelmäßig zu schulen. In unserem Executive Briefing lernst Du, wie Dein Unternehmen resilient wird, rechtliche Pflichten erfüllt und warum das besonders für Agenturen und Dienstleister in Lieferketten relevant ist.
- Aktuelle Bedrohungslage & Ethical-Hacking
- NIS-2, BSIG-E, DSGVO & persönliche Haftung
- Risikomanagement und organisatorische Resilienz
- Wettbewerbsvorteile für Unternehmen in der Lieferkette
Referenten und Inhalte von führenden Experten
Programm & Bescheinigung
Ziel des Executive Briefings
Du wirst in einem Tag zur handlungs- und haftungssicheren Führungskraft im Bereich Cybersecurity. Dir werden Kenntnisse und Fähigkeiten vermittelt, die zur Umsetzung von § 38 Abs. 3 BSIG-E zwingend erforderlich sind. Damit werden betroffene Unternehmen optimal vorbereitet und sichern sich Wettbewerbsvorteile.
Auch wenn viele Unternehmen nicht direkt unter NIS-2 fallen, sind sie über ihre Kunden und Aufträge ebenfalls betroffen. Wer für öffentliche Einrichtungen oder kritische Infrastrukturen arbeitet, steht automatisch in deren Lieferkette und damit in der Verantwortung, Sicherheitsstandards nachzuweisen.
Nach dem Briefing kannst Du…
- die Anforderungen der NIS-2-Richtlinie und des deutschen BSIG-E einordnen
- auch als NIS-2-Betroffener in der Lieferkette, „Flow-Down Anforderungen“ richtig bewerten
- rechtliche Pflichten und Haftungsrisiken für Geschäftsleitungen bewerten
- zentrale Maßnahmen des Risikomanagements und der organisatorischen Resilienz identifizieren
- bestehende Prozesse im Unternehmen auf Compliance und Krisenfähigkeit prüfen
Programmübersicht
| Format | Titel | Inhalte |
|---|---|---|
| Keynote | „Der Sturm ist schon da – Lagebild 2025“ | Ein kompaktes Update zur aktuellen Cybersicherheitslage: geopolitische Spannungen, wachsende Professionalisierung von Cybercrime und reale Risiken für Unternehmen jeder Größe. |
| Deep-Dive I | DSGVO & NIS-2 – Rechtliche Pflichten und Haftungsszenarien | Datenschutz trotz Cyberangriff: Datenvorfälle verpflichten Unternehmen zu weitreichenden Melde- und Informationspflichten. Gleichzeitig verlangt der aktuelle Entwurf des NIS-2-Umsetzungsgesetzes die lückenlose Umsetzung und Überwachung aller vorgeschriebenen Risikomanagementmaßnahmen. Wer diese Pflichten verletzt, riskiert eine persönliche Haftung und Bußgelder. |
| Expert-Session I | Hacking hautnah – Wie Hacker tatsächlich vorgehen | Ein Ethical Hacker zeigt, wie schnell Unternehmen ins Visier geraten und wie Angriffe unbemerkt bleiben. Die Teilnehmer*innen erfahren, welche Angriffswege tatsächlich genutzt werden, welche typischen Fehler in der Infrastruktur vorkommen & welche Rolle menschliche Schwachstellen spielen. |
| Deep-Dive II | „Bei uns ist alles sicher…“ – Realität der Informationssicherheit | Dieser Deep Dive zeigt, wie Du technische, organisatorische und menschliche Faktoren zu einem belastbaren Sicherheitskonzept verbindest. Von Incident Response und Notfallwiederherstellung über Lieferkettensicherheit bis zu Awareness-Maßnahmen. |
| Expert-Session II | Versicherungsrealität – Policen im Härtetest | Cyber-Versicherungen greifen nur, wenn definierte Voraussetzungen erfüllt sind. Diese Session zeigt, welche Leistungen typische Policen tatsächlich abdecken, wo Deckungslücken bestehen und wie Du Deinen Versicherungsschutz strategisch prüfst. |
| Executive Summary | Konkrete Handlungsfelder für Entscheider:innen | Zum Abschluss werden alle Erkenntnisse verdichtet und in Handlungsfelder für Geschäftsleitungen übersetzt. Du erhältst eine klare Roadmap, um die Cyber-Resilienz Deines Unternehmens gezielt zu stärken. |
| Networking | Exklusives Dinner für Austausch und Vernetzung | Der Tag klingt mit einem gemeinsamen Abendessen im vertraulichen Rahmen aus. Es besteht Gelegenheit zum offenen Austausch mit Referent:innen und den anderen Entscheidungsträger:innen. |
Bescheinigung
Im Nachgang an die Präsenzveranstaltung erhältst Du eine Bescheinigung, welche Dir bestätigt, dass Du als Geschäftsleitung erfolgreich an der Schulung im Bereich der Informationssicherheit teilgenommen hast. Es werden Kenntnisse und Fähigkeiten vermittelt, die zur Umsetzung von § 38 Abs. 3 BSIG-E zwingend erforderlich sind.
Weitere Antworten auf Deine Fragen liefert Dir unser FAQ.
Termin
- 26. November 2025, Berlin (BVDW Homebase)
9:30- 17:00 Uhr (bis ca. 22:00 inkl. Diner)
Kein passender Termin, Du möchtest eine Individualschulung oder Du hast noch Fragen?
Dann schreib uns an: zertifikate@bvdw.org
Was ist NIS-2 und warum betrifft Dich das?
Die EU-Richtlinie NIS-2 verpflichtet Unternehmen, die als wichtige oder besonders wichtige Einrichtung nach § 28 BSIG-E einzustufen sind, ihre Widerstandsfähigkeit gegen Cyberangriffe deutlich zu stärken. Im Rahmen des aktuellen Entwurfs des deutschen NIS-2-Umsetzungsgesetzes (zukünftig § 38 Abs. 3 BSIG) besteht dafür voraussichtlich ab 2026 eine konkrete Schulungspflicht. Sie richtet sich explizit an die Geschäftsleitung.
Die betrifft nicht nur Unternehmen der kritischen Infrastruktur sondern auch all ihre Lieferketten. Schon jetzt kannst Du Dir hier einen entscheidenden Wettbewerbsvorteil sichern. Wir haben Dir im nächsten Abschnitt der Website einige echte Fallbeispiele zusammengestellt.
Kernpunkte der Richtlinie
– Verantwortung der Geschäftsleitung: Pflicht zur aktiven Überwachung der Sicherheitsmaßnahmen
– Nachweispflicht: Schulung und Fachkenntnisse müssen regelmäßig belegt werden
– Bußgelder & Haftung: Verstöße können persönliche Konsequenzen nach sich ziehen
– Lieferkettensicherheit: Auch indirekt betroffene Unternehmen fallen unter die Regelung
Wie NIS-2 Deine Kunden und Dich betrifft
Eine Digitalagentur erhält den Auftrag, den Webauftritt einer Hochschule technisch und visuell zu modernisieren. Die Hochschule fällt unter das Hochschulgesetz des jeweiligen Bundeslands und gilt als öffentliche Einrichtung mit kritischer Infrastrukturbezug, da sie personenbezogene Daten von Studierenden, Forschenden und Bewerbern verarbeitet.
Situation:
Im Vertrag fordert die Hochschule von der Agentur:
- eine Risikoanalyse der Hosting- und CMS-Umgebung,
- Nachweis eines Informationssicherheitskonzepts (z. B. ISMS-light),
- Verschlüsselung, Penetrationstest, Logging, Rechtemanagement,
- Verfügbarkeit von Ansprechpartnern für Incident Response.
Warum das passiert:
Hochschulen müssen NIS-2-ähnliche Sicherheitsanforderungen erfüllen. Sie geben diese Pflichten an Dienstleister weiter, um eigene Haftungsrisiken auszuschließen.
Die Agentur steht dadurch faktisch in der Lieferkette kritischer Einrichtungen und muss sich an Standards wie ISO 27001 oder BSI-Grundschutz orientieren – auch wenn sie formal nicht direkt betroffen ist.
Lernpunkt für das Seminar:
Auftragnehmer werden indirekt NIS-2-pflichtig, sobald sie für kritische oder öffentliche Einrichtungen arbeiten.
Eine Software-Agentur entwickelt ein cloudbasiertes Zutritts- und Zeiterfassungssystem für eine gesetzliche Krankenkasse.
Die Kasse fällt unter den Sektor „Gesundheit“ und wird mit Inkrafttreten des NIS2UmsuCG als „wichtige Einrichtung“ eingestuft.
Situation:
Im Rahmen der Vertragsverhandlungen verlangt die Kasse:
- Auditierbare Protokollierung und Nachvollziehbarkeit von Zugriffen,
- Hosting ausschließlich innerhalb der EU,
- Nachweis über regelmäßige Schwachstellen-Scans,
- Sicherheitszertifikate (z. B. ISO 27001, SOC 2) oder gleichwertige Dokumentation.
Warum das passiert:
Kritische Einrichtungen sind verpflichtet, Sicherheitsstandards entlang ihrer Lieferkette sicherzustellen (§ 30 Abs. 2 BSIG-neu).
Dadurch entstehen faktisch „NIS-2-Schattenpflichten“: Die Agentur wird zum Sicherheitsnachweis verpflichtet, obwohl sie selbst keine meldepflichtige Einrichtung ist.
Lernpunkt für das Seminar:
Sicherheits- und Compliance-Pflichten „diffundieren“ über Verträge in die gesamte Dienstleisterkette hinein.
Eine Marketing-Agentur betreibt das Kampagnen- und Kundenkommunikationssystem für einen regionalen Energieversorger (EVU). Das EVU ist eine besonders wichtige Einrichtung nach NIS-2 (Sektor Energieversorgung).
Situation:
Das EVU verlangt im Rahmen des Projekts:
- Nachweis der Datensicherheit und Verfügbarkeit (Service Level Agreements),
- Regelmäßige Sicherheitsaudits, Multi-Faktor-Authentifizierung für alle Zugänge,
- verpflichtende Awareness-Schulungen für Agenturmitarbeitende,
- Meldung sicherheitsrelevanter Vorfälle binnen 24 Stunden.
Warum das passiert:
Das EVU steht unter direkter Aufsicht nach NIS-2. Um Bußgelder und Haftungsrisiken zu vermeiden, muss es sicherstellen, dass auch externe Dienstleister seine Sicherheitsanforderungen erfüllen.
Die Agentur wird so Teil der kritischen Infrastrukturkette – ohne formell reguliert zu sein.
Lernpunkt für das Seminar:
Informationssicherheit wird zum Wettbewerbsfaktor: Nur Agenturen mit nachvollziehbarem Sicherheitskonzept erhalten künftig solche Aufträge.
Preise & Leistungen
Das ist drin für Dich und Dein Unternehmen:
- Eintägiges Executive-Briefing mit praxisnahen Fachvorträgen & Live-Hacking
- Bescheinigung, zur Bestätigung, dass Du als Geschäftsleitung erfolgreich teilgenommen hast
- Hochkarätige Referent:innen aus Recht, IT-Sicherheit, Versicherungswesen & Kommunikation
- Umfangreiche Unterlagen zu NIS-2, Haftung & Risikomanagement
- Optional: exklusives Networking-Dinner mit Expert:innen und Entscheider:innen
| Preisübersicht | Mitglieder-Preis* | Standard-Preis* |
|---|---|---|
| pro teilnehmender Person exkl. Dinner | 990.-€ | 1.290.-€ |
| pro teilnehmender Person inkl. Dinner | 1.090.-€ | 1.390.-€ |
| *Alle Preise sind Nettopreise zzgl. MwSt. und enthalten keine Reise- & Übernachtungskosten der Teilnehmer. |
Referent*innen
Du hast noch Fragen?
Das Seminar richtet sich an Geschäftsleitungen und das Management aus privaten Unternehmen und öffentlichen Stellen, sowie an Beiräte, Gesellschafter, Vorstände, und Führungskräften aus allen Unternehmensbereichen (m/w/d).
Ein Fokus liegt auf Unternehmen, welche direkt oder indirekt – insbesondere über die Sicherheit der Lieferkette – unter die deutsche Umsetzung der NIS-2-Richtlinie fallen. Jedoch sind die enthaltenen Informationen für alle Unternehmen relevant, welche die eigene Widerstandsfähigkeit prüfen und verbessern möchten.
Im Seminar zeigen wir unter anderem auf, wie Unternehmen angegriffen werden, wie man sich dagegen schützen kann, welche rechtlichen Rahmenbedingungen, Haftungsszenarien und Versicherungsoptionen greifen und wie das gelernte im eigenen Unternehmen angewendet werden kann.
Die folgenden Inhalte werden über die Tagesveranstaltung hinweg vermittelt:
- Ziele, Pflichten und weitere relevante Paragrafen der NIS-2-Richtlinie / des NIS2UmsuCG
- Verantwortlichkeiten der Geschäftsleitung
- Erkennung und Bewertung von Risiken
- Kenntnis, Umsetzung und Dokumentation von Risikomanagementmaßnahmen Prozesse zur Überwachung und Sicherstellung der Compliance
- Melde- und Unterrichtungspflichten
- Schulung und Sensibilisierung der Mitarbeiter:innen
- Konsequenzen bei Nicht-Einhaltung der Richtlinie
- Gesetzliche Rahmenbedingungen der persönlichen Haftung
Das Seminar wurde vom BVDW in Zusammenarbeit mit dem Beratungsunternehmen conreri aus Hamburg entwickelt. Die Inhalte wurden mit einem Team von Expert*innen kuratiert, welche auch als Referent*innen Vor-Ort sind.
Einen Tag Deiner wertvollen Zeit, Aufmerksamkeit und Neugier. Es sind keine Vorkenntnisse erforderlich. Die teilnehmenden Personen werden durch die Inhalte und Referent*innen dazu befähigt, die Widerstandsfähigkeit des eigenen Unternehmens einzuordnen und kontinuierlich zu stärken.
Mit dieser Tagesveranstaltung werden Dir Kenntnisse und Fähigkeiten vermittelt, die zur Umsetzung von § 38 Abs. 3 BSIG-E zwingend erforderlich sind.
Im Nachgang an die Präsenzveranstaltung erhältst Du eine Bescheinigung, welche Dir bestätigt, dass Du als Geschäftsleitung erfolgreich an der Schulung im Bereich der Informationssicherheit teilgenommen hast.
