Mit Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) werden über § 38 Abs. 3 BSI-Gesetz (neu) die Geschäftsleitungen wichtiger und besonderes wichtiger Einrichtungen, z. B. aus der kritischen Infrastruktur, dazu verpflichtet, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit der Informationstechnik und die Auswirkungen von Risiken auf die von der Einrichtung erbrachten Dienste zu erwerben.
Diese Pflichtschulung geht auf Art. 20 der europäischen NIS-2-Richtlinie zurück. Danach ist Cybersicherheit nicht nur ein IT-Thema, sondern ein strategisches Anliegen, das auf höchster Ebene des Unternehmens behandelt werden muss. Die Unternehmensleitung muss eine aktive Rolle bei der Überwachung der Cybersicherheitsbemühungen übernehmen und sicherstellen, dass angemessene Ressourcen zugewiesen werden und dass die Cybersicherheit in die allgemeine Geschäftsstrategie integriert wird.