Das NIS-2-Umsetzungsgesetz sieht in § 38 (3) vor, dass Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen in Risikomanagement geschult werden müssen, um die Cyberresilienz zu gewährleisten. Der BDI spricht sich in der Umsetzung durch das BSI für einen unbürokratischen, europaweit einheitlichen, funktions- und kompetenzbezogenen Ansatz aus, der den Unternehmen Gestaltungsfreiräume bietet.