CISO as a Service: Informationssicherheitsleitung ohne Festanstellung
CISO as a Service liefert strategische IT-Sicherheitsführung auf Mandatsbasis. Für Unternehmen unter NIS-2 oder mit ISO 27001-Pflicht ist das Modell oft die wirtschaftlich sinnvollere Alternative zur Vollzeitstelle.
CISO as a Service bezeichnet die mandatsbasierte Bereitstellung einer Chief Information Security Officer-Funktion durch einen externen Dienstleister. Das Modell ist keine Notlösung für Unternehmen, die sich keinen internen CISO leisten können – es ist eine strukturierte Antwort auf den Fachkräftemangel im Bereich Informationssicherheit und die gestiegenen regulatorischen Anforderungen durch NIS-2 und ISO/IEC 27001:2022.
Dieser Artikel beschreibt, was ein CISO-as-a-Service-Mandat umfasst, für welche Unternehmensprofile es geeignet ist, worauf bei der Vertragsgestaltung zu achten ist und wie das Modell im CIVAC-Ökosystem funktioniert.
Auf einen Blick
- CISO as a Service erfüllt die regulatorischen Anforderungen aus § 30 BSIG und ISO/IEC 27001:2022, sofern die Bestellung schriftlich dokumentiert und die Qualifikation nachgewiesen ist.
- Das Modell ist wirtschaftlich sinnvoll für Unternehmen, die strategische CISO-Funktion brauchen, aber keinen Vollzeit-CISO beschäftigen können oder wollen.
- Entscheidend ist die Plattformintegration: Ein CISO, der mit strukturierten Aufgaben, Audit-Vorlagen und Dokumentations-Workflows arbeitet, erzeugt auditfeste Nachweise ohne Mehraufwand.
Abgrenzung: CISO as a Service vs. IT-Sicherheitsberatung
Eine IT-Sicherheitsberatung liefert Projektleistungen: Penetrationstest, Gap-Assessment, Policy-Erstellung. Sie endet mit einem Bericht und einer Rechnung. CISO as a Service ist strukturell anders: Der externe CISO übernimmt eine fortlaufende Führungsfunktion mit Berichtslinie zur Geschäftsleitung, formaler Bestellung und Verantwortung für das ISMS.
Der Unterschied ist rechtlich relevant: § 30 BSIG verlangt eine benannte Person, nicht eine beauftragte Firma. Die Bestellung muss personenbezogen sein, die Bestellurkunde muss den Namen der natürlichen Person enthalten. Ein Rahmenvertrag mit einem Beratungsunternehmen ohne namentliche Benennung erfüllt diese Anforderung nicht.
Im CIVAC-Modell wird der Beauftragte namentlich bestellt: Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Plattform dokumentiert alle Arbeitsergebnisse des bestellten CISO mit Zeitstempel. Mehr zur rechtlichen Grundlage unter Informationssicherheitsbeauftragter bei CIVAC.
Für welche Unternehmen ist CISO as a Service geeignet?
CISO as a Service ist besonders geeignet für vier Unternehmensprofile. Erstens: KMU und Mittelständler (50 bis 1.000 Mitarbeitende), die NIS-2 oder ISO/IEC 27001:2022 erfüllen müssen, aber keine Vollzeitstelle für einen CISO budgetiert haben. Zweitens: Unternehmen in der Wachstumsphase, die ihr ISMS professionalisieren wollen, bevor sie eine interne Stelle aufbauen.
Drittens: Unternehmen mit einer internen IT-Leitung, die operativ stark ist, aber strategische ISMS-Führung und regulatorische Expertise delegieren möchte. Das CISO-as-a-Service-Mandat ergänzt die interne IT, anstatt sie zu ersetzen. Viertens: Konzerne, die eine einheitliche CISO-Funktion für mehrere Tochtergesellschaften bereitstellen wollen, ohne für jede Tochter eine eigene Stelle zu schaffen.
Nicht geeignet ist das Modell für Unternehmen, die eine vollständige operative IT-Sicherheitsleitung inklusive täglichem Betrieb, Firewall-Management und 24/7-SOC-Koordination benötigen. Das geht über den typischen CISO-as-a-Service-Scope hinaus.
Leistungsumfang: Was ein CISO-Mandat typischerweise enthält
Ein standardisiertes CISO-as-a-Service-Mandat umfasst typischerweise folgende Leistungsblöcke. Strategisch: ISMS-Governance und Weiterentwicklung, Risikoanalyse und -behandlung nach ISO/IEC 27001:2022 Klausel 6.1, Sicherheitsstrategie und Jahresplanung. Regulatorisch: NIS-2-Compliance nach §§ 30, 38 BSIG, Meldeprozess-Koordination (24h/72h), BSI-Registrierung und Kommunikation.
Operativ-koordinierend: Schulungsprogramm-Steuerung nach ISO/IEC 27001:2022 Kontrolle 6.3, Lieferantenbewertung (A.5.19 bis A.5.22), interne Audit-Koordination, Vorfallmanagement-Aktivierung. Berichtlinie: Quartalsweise Statusberichte an Geschäftsleitung, Vorstandspräsentationen, Managementbewertung nach ISO/IEC 27001:2022 Klausel 9.3.
Nicht im Standardmandat enthalten: Tägliche IT-Administration, Penetrationstests (werden beauftragt, nicht durchgeführt), Softwareentwicklung oder Systemadministration. Klare Abgrenzung im Vertrag verhindert Scope-Konflikte.
Vertragsstruktur: Mindestinhalt für regulatorische Konformität
Ein rechtssicheres CISO-as-a-Service-Mandat muss folgende Elemente enthalten: Personenbezogene Benennung (Vor- und Nachname des bestellten CISO, nicht nur des Unternehmens), Qualifikationsnachweis als Vertragsbestandteil, Leistungsumfang mit konkreter Stunden- oder Aufgabenstruktur.
Erreichbarkeit und Reaktionszeit für Sicherheitsvorfälle – für NIS-2-pflichtige Unternehmen muss die 24-Stunden-Erstmeldung an das BSI gewährleistet sein. Berichtspflichten: Frequenz, Format, Empfängerkreis. Datenschutzvereinbarung nach Art. 28 DSGVO, sofern personenbezogene Daten verarbeitet werden. Übergaberegelung: Wissenstransfer und Dokumentationsübergabe bei Mandatsende.
Ein Vertrag ohne Erreichbarkeitsgarantie für Vorfälle ist für NIS-2-pflichtige Unternehmen nicht ausreichend. Frist läuft ab Kenntnis – und die Kenntnis entsteht häufig außerhalb regulärer Geschäftszeiten.
NIS-2 und CISO as a Service: Haftungsfragen der Geschäftsleitung
§ 38 BSIG weist der Geschäftsleitung persönliche Verantwortung für die Umsetzung der NIS-2-Maßnahmen zu. Diese persönliche Verantwortung lässt sich nicht durch einen externen Dienstleister wegdelegieren. Die Geschäftsleitung bleibt haftungsverantwortlich – der CISO as a Service trägt die operative Verantwortung für die Maßnahmenkoordination.
Das bedeutet: Die Geschäftsleitung muss den CISO formell bestellen, Ressourcen für das ISMS bereitstellen und die Berichte des CISO aktiv entgegennehmen. § 38 BSIG verpflichtet die Geschäftsleitung außerdem, selbst Schulungen zu Informationssicherheit zu absolvieren.
Ein guter CISO-as-a-Service-Anbieter macht diese Verantwortungstrennung transparent: Er dokumentiert, welche Entscheidungen die Geschäftsleitung zu treffen hat, und erstellt nachweisbare Berichte, die zeigen, dass die Führungsebene informiert war. Im CIVAC-Workspace ist diese Berichtslinie strukturell abgebildet.
Marktüberblick: Worauf bei der Anbieterauswahl zu achten ist
Der Markt für CISO-as-a-Service-Anbieter ist heterogen. Einige Anbieter sind klassische IT-Beratungshäuser, die das Modell als ergänzende Dienstleistung anbieten. Andere sind spezialisierte Managed-Security-Service-Provider (MSSP), die die CISO-Funktion mit technischem SOC-Betrieb kombinieren.
Für Unternehmen, die primär regulatorische Compliance (NIS-2, ISO 27001) benötigen – ohne SOC-Betrieb –, ist ein Anbieter mit Compliance-Plattform-Backbone strukturell überlegen: Der Nachweis entsteht im System, nicht als PDF-Bericht. Vergleichen Sie Anbieter nach vier Kriterien: Qualifikation der bestellten Person, Plattformintegration, Branchenerfahrung und vertragliche Transparenz. Weitere Informationen unter CIVAC FAQ.
Kombination mit anderen Beauftragten-Rollen
Der CISO as a Service ist häufig nicht die einzige Beauftragten-Rolle, die ein Unternehmen benötigt. Parallel kann ein Datenschutzbeauftragter (Art. 37 DSGVO), ein Compliance-Beauftragter (IDW PS 980) oder ein Geldwäschebeauftragter (§ 7 GwG) erforderlich sein. Die Koordination mehrerer extern bestellter Rollen kann komplex werden, wenn jede Rolle über einen anderen Dienstleister läuft.
CIVAC bietet alle 25 Beauftragten-Rollen aus einer Plattform – von der Fachkraft für Arbeitssicherheit bis zum Störfallbeauftragten. Das Mischmodell erlaubt die Kombination: Interne Mitarbeitende für bestimmte Rollen lizenzieren den Workspace, externe Beauftragte werden über den Officer-as-a-Service bestellt. Alle Rollen teilen denselben Workspace, dieselbe Dokumentation, denselben Audit-Log.
Mehr zu den verfügbaren Rollen unter Compliance-Beauftragter bei CIVAC.
Onboarding eines CISO as a Service: Praxisablauf
Ein strukturiertes Onboarding eines CISO-as-a-Service-Mandats umfasst vier Phasen. Phase 1, Kickoff und Gap-Analyse (1 bis 2 Wochen): Bestandsaufnahme bestehender Sicherheitsmaßnahmen, IT-Architektur-Überblick, Identifikation der NIS-2-Klassifizierung. Phase 2, ISMS-Initialisierung (4 bis 8 Wochen): Scope-Definition, Risikoanalyse, Erstellung fehlender Basis-Dokumente (ISMS-Policy, Risikobewertungsmethodik, SoA).
Phase 3, laufender Betrieb (ab Monat 3): Aufgaben-Kadenzen einrichten, Schulungsprogramm starten, Berichtslinie aktivieren, NIS-2-Meldeprozesse testen. Phase 4, Zertifizierungsvorbereitung (optional, ab Monat 6): Internes Audit, Managementbewertung, Anmeldung bei Zertifizierungsstelle.
Im CIVAC-Workspace läuft das gesamte Onboarding auf der Plattform: Das Projekt-Modul führt durch die fünf Kernschritte Scope, Uploads, Rückfragen, Risiken, Bericht. Alle Arbeitsergebnisse sind sofort dokumentiert.
CISO-Funktion heute aufbauen
NIS-2 und ISO/IEC 27001:2022 verlangen eine benannte, kompetente Sicherheitsverantwortung. CISO as a Service ist die strukturierte Antwort auf diese Anforderung für Unternehmen ohne Vollzeitstelle. CIVAC verbindet Compliance-Plattform und Officer-as-a-Service: Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie einen zertifizierten CIVAC-Partner als CISO bestellen.
Bestellurkunde, unterschrieben, abgelegt, belegbar – in zwei Werktagen. Datenresidenz ausschließlich EU. Aus dem Lesen einen Auftrag machen: info@civac.de.
FAQ
Ist CISO as a Service rechtlich ausreichend für NIS-2-Compliance?
Ja, sofern die Bestellung personenbezogen und schriftlich erfolgt, die Qualifikation nachgewiesen ist und die Erreichbarkeit für Vorfallmeldungen (24h nach § 32 BSIG) vertraglich gesichert ist. Ein Rahmenvertrag ohne namentliche Benennung erfüllt diese Anforderung nicht.
Was kostet CISO as a Service im Monat?
Monatspauschalen liegen für KMU typischerweise zwischen 1.500 und 4.000 Euro, abhängig von Leistungsumfang, Unternehmensscope und Branche. Das ist erheblich günstiger als eine Vollzeitstelle mit 90.000 bis 130.000 Euro Jahresgehalt.
Kann die Geschäftsleitung Haftung durch CISO as a Service wegdelegieren?
Nein. § 38 BSIG weist der Geschäftsleitung persönliche Verantwortung zu. Der CISO übernimmt die operative Koordination, die Führungshaftung bleibt bei der Geschäftsleitung. Ein guter CISO-as-a-Service-Anbieter macht diese Trennung transparent.
Wie schnell kann ein CISO-as-a-Service-Mandat aufgenommen werden?
Im CIVAC-Modell liegt die Bestellurkunde in zwei Werktagen vor. Der Workspace ist sofort aktiv. Das vollständige Onboarding mit Gap-Analyse und ISMS-Initialisierung dauert typischerweise vier bis acht Wochen.
Kann ein CISO as a Service auch für Konzern-Töchter bestellt werden?
Ja. Das CIVAC-Modell erlaubt mehrere Mandate über eine Plattform. Konzerne können eine CISO-Funktion für mehrere Tochtergesellschaften aus einem Workspace koordinieren.
Was passiert bei einem Sicherheitsvorfall, wenn der CISO extern ist?
Der Dienstleistungsvertrag muss Reaktionszeit und Erreichbarkeit für Vorfälle regeln. Im CIVAC-Modell sind Eskalationspfade vertraglich fixiert. Die 24-Stunden-Erstmeldung an das BSI nach § 32 BSIG ist nur einhaltbar, wenn der CISO unverzüglich informiert wird.
Aus dem Lesen einen Auftrag machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.
