Workshop Digitale Risiken - In einem Tag wissen, wo Sie stehen.
Seit dem 6. Dezember 2025 ist die Geschäftsleitung nach § 38 BSIG verpflichtet, die Risikomanagementmaßnahmen ihres Unternehmens umzusetzen und zu überwachen. Diese Pflicht ist nicht delegierbar — bei Verletzung haftet die Geschäftsleitung nach den Regeln des Gesellschaftsrechts.
NIS2, DSGVO und AI Act sind keine abstrakten Gesetze mehr. Sie sind Ihre persönliche Verantwortung als Geschäftsleitung – heute, nicht irgendwann. Die meisten Mittelständler haben Technik. Was fehlt, ist Klarheit: Wo stehen Sie wirklich? Wo sind die Lücken? Und was müssen Sie als nächstes tun?
Der Workshop Digitale Risiken beantwortet diese Fragen in einem strukturierten Tag – auf Führungsebene, nicht auf IT-Ebene.
Was auf dem Spiel steht
Im Mai 2025 legte ein Ransomware-Angriff die Fasana GmbH in Euskirchen lahm – ein traditionsreicher Serviettenhersteller mit rund 240 Mitarbeitenden. Etwa 190 Endgeräte mussten neu aufgesetzt werden, die Produktion stand still, der Umsatz brach weg. Wenige Tage später, zum 1. Juni 2025, musste das Unternehmen Insolvenz anmelden. (Quelle: Security-Insider, 24.06.2025)
Das ist kein Einzelfall. Laut BKA-Präsident Holger Münch werden in Deutschland jeden Tag zwei bis drei schwere Ransomware-Angriffe bei der Polizei zur Anzeige gebracht — 950 Fälle allein im Jahr 2024. Auch leicht verwundbare kleine und mittelständische Unternehmen sind laut BKA stark betroffen — Unternehmen genau Ihrer Größenordnung. (Quelle: BKA Bundeslagebild Cybercrime 2024)
Und seit dem 6. Dezember 2025 kommt eine neue Dimension dazu: § 38 BSIG verpflichtet die Geschäftsleitung, die Risikomanagementmaßnahmen umzusetzen und zu überwachen. Bei Verletzung haftet die Geschäftsleitung der eigenen Gesellschaft auf Schadensersatz nach den Regeln des Gesellschaftsrechts (§ 43 GmbHG / § 93 AktG). Diese Verantwortung ist nicht delegierbar — auch nicht an Ihren IT-Dienstleister.
Die Frage ist nicht ob Sie betroffen sind. Die Frage ist:
Wissen Sie, wo Ihre größten Lücken sind – und was im Ernstfall in den nächsten 24 Stunden passieren muss?
Was Sie nach einem Tag haben
Der Workshop verschafft Ihnen Klarheit auf fünf Ebenen – von der technischen Basis bis zur persönlichen Führungsverantwortung. Keine 50-seitige Checkliste. Keine IT-Fachsprache. Entscheidungsreife Informationen in Ihrer Sprache.
Nach dem Workshop haben Sie:
✓ Ihr individuelles Risiken-Radar – eine visuelle Darstellung Ihres Ist-Stands auf allen 5 Ebenen. Ein Bild das Sie intern nutzen können: für Budgetgespräche, für Ihren Aufsichtsrat, für Gespräche mit Ihrem IT-Dienstleister.
✓ Klarheit über Ihre NIS2-, DSGVO- und AI-Act-Lage – in Managementsprache, nicht in Paragrafen.
✓ 3–5 priorisierte Maßnahmen mit konkreten Verantwortlichkeiten und realistischen Terminen – nicht zwanzig Punkte die niemand umsetzt, sondern die Schritte mit dem größten Schutz bei geringstem Aufwand.
✓ Einen schriftlichen Bericht als Entscheidungsgrundlage für Geschäftsleitung, IT-Leitung und Aufsichtsgremien – innerhalb von fünf Werktagen.
✓ Eine dokumentierte Teilnahmebestätigung über die Workshop-Teilnahme (zur internen Dokumentation Ihrer Auseinandersetzung mit digitalen Risiken)
Das 5-Ebenen-Modell: Technik trifft Führung
Statt Checklisten abzuhaken, arbeiten wir mit einem Modell das Technik, Prozesse und Verantwortung zusammenbringt. Jede Ebene endet mit einer klaren Bewertung: Wo stehen Sie? Was muss bis wann passieren?
Ebene 1 – Technische Stabilität Backups, Patches, Zugriffsrechte, Netzwerksicherheit. Nicht ob Sie Technik haben – sondern ob sie im Ernstfall funktioniert, und ob Sie das als Führungskraft wissen.
Ebene 2 – Daten & Prozesse DSGVO-Grundlagen, Datenflüsse, kritische Prozesse, Notfallpläne. Könnten Sie heute innerhalb von 72 Stunden dem Datenschutzbeauftragten und dem BSI melden, was bei einem Angriff passiert ist?
Ebene 3 – KI & Entscheidungslogik Welche KI-Tools nutzen Ihre Mitarbeiter – und wissen Sie davon? ChatGPT, Copilot, KI in der Produktion. Was bedeutet das für Ihre Haftung nach DSGVO und AI Act?
Ebene 4 – Risikomanagement & Verantwortlichkeiten Wer ist in Ihrem Unternehmen verantwortlich für Informationssicherheit – mit Namen, Mandat und dokumentierter Zuständigkeit? Wenn das BSI anruft: Wen nennen Sie?
Ebene 5 – Führung & Haftung Ihre persönliche Absicherung als Geschäftsleitung: § 38 BSIG, Ihre gesetzliche Schulungspflicht, D&O-Versicherung, Dokumentation als Schutzschild. Das ist die Ebene, auf der Sie als Geschäftsleitung allein stehen.
Für wen ist dieser Workshop Digitale Risiken?
Geschäftsleitungen und Vorstandsmitglieder mittelständischer Unternehmen, die ihre persönliche Verantwortung nach BSIG nicht dem Zufall überlassen wollen und die einen dokumentierten Nachweis ihrer Sorgfaltspflicht aufbauen möchten.
IT-Leiter und CIOs, die eine strukturierte Grundlage für Budgetentscheidungen und Priorisierung brauchen – und die der Geschäftsleitung endlich erklären können, was wirklich wichtig ist.
Besonders relevant für Unternehmen in diesen Branchen: verarbeitendes Gewerbe, Maschinenbau, Elektrotechnik, Medizintechnik und Gesundheit – sowie Zulieferer für Unternehmen in regulierten Sektoren.
Nicht sicher ob Sie NIS2-pflichtig sind? Viele Unternehmen schätzen ihre Betroffenheit falsch ein – weil sie sich nicht in den klassischen KRITIS-Sektoren verorten oder die indirekte Pflicht über Lieferketten unterschätzen. Das klären wir im kostenfreien Erstgespräch – in 15 Minuten.
Leistungsumfang und Investition des Workshop Digitale Risiken
Im Workshop-Paket enthalten
✓ Vorbereitendes 15-minütiges Gespräch zur Klärung Ihrer Ausgangssituation
✓ 1 Tag moderierter Workshop vor Ort (max. 8 Teilnehmer)
✓ Systematische Analyse aller 5 Ebenen mit Ampelbewertung
✓ Individuelles Risiken-Radar als visuelle Darstellung Ihres Ist-Stands
✓ Schriftlicher Bericht mit Handlungsempfehlungen (innerhalb 5 Werktage)
✓ 3–5 priorisierte Maßnahmen mit Zeitrahmen und Verantwortlichkeiten
✓ Teilnahmebestätigung über die Workshopteilnahme
✓ Optionales Nachgespräch zur Klärung offener Fragen (60 Min.)
Investition: Ab 4.500 Euro zzgl. MwSt.
(Endpreis abhängig von Unternehmensgröße und Standort)
Hinweis: Der Workshop stellt eine strategische Beratung zur Risikoeinschätzung dar. Es erfolgt keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes.
Workshop oder Schulung – was brauche ich?
Ich biete zwei unterschiedliche Formate mit unterschiedlichen Zielen an:
NIS2-Geschäftsleitungsschulung — vierstündiges Live-Webinar zur Erfüllung der gesetzlichen Schulungspflicht nach § 38 Abs. 3 BSIG. Orientiert sich an der BSI-Handreichung. Liefert den formalen Schulungsnachweis für die Geschäftsleitung. Zum Schulungsangebot
Workshop Digitale Risiken — eintägige Standortbestimmung zum Ist-Stand Ihres Unternehmens. Orientiert sich am 5-Ebenen-Modell. Liefert ein individuelles Risiken-Radar und priorisierte Maßnahmen.
In der Praxis ergänzen sich beide Formate: Erst das Pflichtwissen aus der Schulung, dann die praktische Anwendung im Workshop.
Warum Juergen L. Sommer?
Ich spreche IT und Business, Technik und Führung, C-Level und Arbeitsebene – weil ich 30 Jahre lang auf beiden Seiten des Tisches gesessen habe.
Bei T-Systems, IBM, HPE, SUSE und Red Hat habe ich IT-Strategien für Weltmarktführer entwickelt und deren Umsetzung verantwortet. Ich kenne die Fragen die Geschäftsleitungen stellen – und die Antworten die IT-Abteilungen geben. Und ich kenne die Lücke zwischen beiden.
Mein Ansatz: Kein 50-seitiges PDF. Kein IT-Jargon. Sondern die 3–5 Maßnahmen, die wirklich umgesetzt werden – mit klaren Verantwortlichkeiten und einem realistischen Zeitrahmen.
Qualifikationen: MBA Corporate Governance (Henley Management College) | International Business Coach (Henley Management College) | Certified Senior Project Manager (IBM) | Certified EOQ Quality-Manager / EOQ-Auditor (DIN EN ISO 9001) | Business Sustainability Management (University of Cambridge, CISL)
So starten wir
Schritt 1 – Kostenfreies Erstgespräch (15 Minuten) Wir klären: Ist Ihr Unternehmen BSIG-pflichtig? Welche Ebenen sind für Sie am kritischsten? Wie läuft der Workshop konkret ab? Kein Pitch, kein Druck – nur Klarheit.
Schritt 2 – Workshop-Tag Ein strukturierter Tag in Ihrem Unternehmen. Ihr Team bringt die Fragen mit, ich bringe die Methode.
Schritt 3 – Bericht und Aktionsplan Innerhalb von fünf Werktagen erhalten Sie Ihren schriftlichen Bericht mit Risiken-Radar, Befunden und priorisierten Maßnahmen.
Häufige Fragen
Bin ich überhaupt BSIG-pflichtig?
Das BSIG gilt für Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in den 14 BSIG-Sektoren – sowie für Zulieferer dieser Unternehmen. Laut der VDMA-Studie „Industrial Security und Produktpiraterie 2024" sind rund 90 Prozent aller Maschinenbauer tatsächlich von NIS2/BSIG betroffen — viele schätzen ihre Betroffenheit aber falsch ein. Das BSI bietet eine kostenfreie Online-Prüfung an. Im Erstgespräch klären wir das gemeinsam.
Was unterscheidet diesen Workshop von einer IT-Sicherheitsberatung?
Dieser Workshop ist kein IT-Audit. Es geht nicht um Firewalls oder Penetrationstests. Es geht um Ihre Führungsverantwortung: Was müssen Sie als Geschäftsleitung wissen, entscheiden und dokumentieren? Die technische Umsetzung liegt bei Ihrem IT-Team oder Dienstleister.
Kann ich die Teilnahme als BSIG-Schulungsnachweis verwenden?
Nein. Der Workshop Digitale Risiken ist eine Standortbestimmung und Handlungsplanung auf Führungsebene, kein Schulungsformat im Sinne von § 38 Abs. 3 BSIG. Für den formalen Schulungsnachweis nach § 38 Abs. 3 BSIG biete ich ein separates Format an: die NIS2-Geschäftsleitungsschulung. Beide Formate ergänzen sich ideal: Die Schulung vermittelt das Pflichtwissen, der Workshop bringt es in die konkrete Anwendung in Ihrem Unternehmen.
Was passiert wenn wir bereits einen IT-Dienstleister haben?
Sehr gut – dann haben Sie eine wichtige Grundlage. Die Frage ist: Wissen Sie, was er konkret tut? Haben Sie das dokumentiert? Können Sie das dem BSI zeigen? Genau das ist der Gegenstand dieses Workshops.
Ist das auch für kleinere Unternehmen unter 50 Mitarbeitern relevant?
Wenn Sie Zulieferer für BSIG-pflichtige Unternehmen sind, werden Ihre Kunden zunehmend Sicherheitsnachweise von Ihnen verlangen — durch Fragebögen, Auditanforderungen oder Vertragsklauseln. Diese Lieferkettenpflicht ergibt sich aus § 30 Abs. 2 Nr. 4 BSIG. Ohne entsprechende Maßnahmen riskieren Sie Auftragseinbußen. Sprechen Sie mich an – ich kläre Ihre individuelle Situation im Erstgespräch.
Rechtlicher Hinweis
Die angebotenen Leistungen stellen eine strategische Beratung zur Einordnung, Einschätzung und Strukturierung digitaler Risiken dar. Sie dienen der Orientierung und Entscheidungsunterstützung für Geschäftsleitung und IT-Verantwortliche. Es erfolgt keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG). Die Verantwortung für die rechtliche Bewertung sowie für die Umsetzung regulatorischer Anforderungen liegt beim jeweiligen Unternehmen. Für rechtliche Fragestellungen zu NIS2, BSIG, AI Act oder DSGVO empfehlen wir die Hinzuziehung spezialisierter Rechtsanwälte sowie technischer Fachberater.