Externer Cyber Security Officer: monatlich buchbar, sofort bestellbar

Die NIS-2-Richtlinie (EU 2022/2555), in Deutschland umgesetzt durch das BSIG, verpflichtet wesentliche und wichtige Einrichtungen zur Benennung eines Informationssicherheitsbeauftragten (ISB). Parallel fordert ISO/IEC 27001:2022 eine klare Verantwortungszuweisung für das ISMS. Für rund 29.500 betroffene Unternehmen in Deutschland stellt sich damit die Frage: intern aufbauen oder extern buchen?

Ein externer Cyber Security Officer, der monatlich buchbar ist, verbindet formale Bestellpflicht mit operativer Flexibilität. Dieser Artikel erklärt, welche Pflichten die Rolle auslöst, worauf bei der Beauftragung zu achten ist und wie eine Compliance-Plattform mit Officer-as-a-Service-Modell den Unterschied zwischen Aktenschrank und auditfestem Nachweis ausmacht.

§ 30 BSIG verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen, eine verantwortliche Person für Informationssicherheit zu benennen und deren Erreichbarkeit gegenüber dem BSI sicherzustellen. NIS-2 geht dabei über eine bloße Empfehlung hinaus: Die Geschäftsleitung trägt nach § 38 BSIG persönliche Verantwortung für die Umsetzung der Informationssicherheitsmaßnahmen und kann bei Verstößen mit Bußgeldern bis zu 10 Mio. Euro bzw. 2 % des weltweiten Jahresumsatzes belegt werden.

Unabhängig von NIS-2 verlangen viele Auftraggeber, Versicherungen und Auditoren eine dokumentierte ISB-Funktion nach ISO/IEC 27001:2022, Anhang A, Kontrolle 5.2. Die Norm fordert, dass die oberste Leitung die Informationssicherheits-Rollen zuweist und kommuniziert. Eine fehlende oder unklare Zuweisung ist ein Nonkonformität-Befund im Zertifizierungsaudit.

Auch ohne formelle NIS-2-Pflicht gilt: Wer Kundendaten verarbeitet, Fertigungssteuerung vernetzt oder Cloud-Dienste einsetzt, trägt ein erhebliches Haftungsrisiko ohne benannten ISB. Die Frage ist nicht ob, sondern wann ein Prüfer die Benennung einfordert. Mehr zur operativen Rolle finden Sie unter Informationssicherheitsbeauftragter bei CIVAC.

Ein interner ISB erfordert eine qualifizierte Fachkraft mit Kenntnissen in ISO/IEC 27001:2022, BSIG, BSI-Grundschutz und aktueller Bedrohungslage. Aufbauzeit, Fortbildungskosten und Verfügbarkeit bei Ausfall liegen vollständig beim Unternehmen. Erfahrungsgemäß dauert die interne Besetzung vier bis acht Wochen – in angespannten Fachkräftemärkten deutlich länger.

Ein externer Cyber Security Officer bringt das erforderliche Qualifikationsprofil mit. Die Bestellung erfolgt schriftlich, die Bestellurkunde ist sofort archivierbar. Das CIVAC-Modell hält eine Bestellurkunde, unterschrieben, abgelegt, belegbar, innerhalb von zwei Werktagen bereit – statt der branchenüblichen zwei bis sechs Wochen.

Monatliche Buchbarkeit bedeutet: Das Mandat ist an den tatsächlichen Bedarf angepasst. Wächst das Unternehmen, skaliert der Leistungsumfang. Ändert sich die regulatorische Zuordnung (z. B. Wechsel von "wichtige" zu "wesentliche" Einrichtung nach NIS-2), kann die Leistungstiefe ohne Neubesetzung angepasst werden. Für Unternehmen im DACH-Raum, die gleichzeitig einen externen Datenschutzbeauftragten benötigen, empfiehlt sich das Mischmodell: externer Datenschutzbeauftragter und ISB aus einer Plattform.

Die Kernanforderungen aus NIS-2 und ISO/IEC 27001:2022 lassen sich in fünf Pflichtblöcken zusammenfassen. Erstens: Risikoanalyse und -behandlung nach ISO/IEC 27001:2022, Klausel 6.1. Der ISB identifiziert, bewertet und dokumentiert Informationssicherheitsrisiken in einem strukturierten Register.

Zweitens: Vorfallserkennung und Meldepflicht. § 32 BSIG sieht für wesentliche Einrichtungen eine 24-Stunden-Frühwarnung an das BSI vor, gefolgt von einer 72-Stunden-Folgemeldung. Der ISB koordiniert diese Meldeketten und stellt die Erreichbarkeit sicher. Drittens: Technische und organisatorische Maßnahmen (TOMs) nach § 30 BSIG – Zugriffssteuerung, Kryptographie, Business Continuity, Lieferkettenrisiken.

Viertens: Schulung und Sensibilisierung der Belegschaft (ISO/IEC 27001:2022, Kontrolle 6.3). Fünftens: Berichtslinie zur Geschäftsleitung mit nachweisbaren Statusberichten. In der CIVAC-Plattform liegen alle fünf Pflichtblöcke im selben Workspace – Aufgaben, Schulungen, Projekte, Dokumentation und Fragen sind verknüpft, der Nachweis entsteht automatisch.

Ein monatlich buchbares ISB-Mandat sollte vertraglich mindestens vier Elemente regeln: Leistungsumfang (Stunden oder Pauschale), Erreichbarkeit und Reaktionszeit im Sicherheitsvorfall, Berichtspflicht gegenüber der Geschäftsleitung und Übergaberegelung bei Mandatsende. Ein klarer SLA verhindert Graubereiche bei Vorfällen, die außerhalb der regulären Servicezeiten eintreten.

CIVAC standardisiert diese Vertragsparameter: Der Officer-as-a-Service-Vertrag definiert Leistungstiefe, Eskalationspfade und Dokumentationspflichten in einem einzigen Dokument. Die Plattform protokolliert jeden Arbeitschritt des Beauftragten mit Zeitstempel, sodass im Prüfungsfall nicht rekonstruiert werden muss, was wann geschehen ist – der Audit-Log liegt bereit.

Für Unternehmen, die einen internen Mitarbeiter haben, der die ISB-Funktion teilweise übernehmen soll, bietet sich die Tool-Lizenz an: Der interne Beauftragte arbeitet im CIVAC-Workspace, nutzt 37 einsatzbereite Audit-Vorlagen und den KI-Assistenten mit Konfidenz-Score. Das externe Mandat kann dann auf strategische Fragen und Vorfallkoordination beschränkt werden.

ISO/IEC 27001:2022 schreibt keine spezifischen Zertifikate für den ISB vor, nennt aber in Klausel 7.2 die Anforderung nachgewiesener Kompetenz. In der Praxis haben sich folgende Qualifikationen als Mindeststandard etabliert: ISO/IEC 27001 Lead Implementer oder Lead Auditor, CISSP (Certified Information Systems Security Professional) oder CISM (Certified Information Security Manager).

Für NIS-2-Mandate nach BSIG empfiehlt das BSI zusätzlich Kenntnisse im BSI IT-Grundschutz (BSI-Standard 200-2) sowie Vertrautheit mit der KRITIS-Verordnung. Bei der Auswahl eines externen Cyber Security Officers sollten Sie den Qualifikationsnachweis und aktuelle Fortbildungsnachweise anfordern – und sicherstellen, dass die Person tatsächlich für Ihr Unternehmen bestellt wird, nicht nur als anonymer Dienstleister auftritt.

CIVAC-Partner durchlaufen ein strukturiertes Onboarding, das Qualifikation, aktuelle Kenntnisse und Verfügbarkeit prüft. Die Bestellurkunde nennt die Person namentlich – Audit-fest, dokumentiert, § 30-BSIG-fest.

Wesentliche Einrichtungen nach Anhang I NIS-2 (Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur) unterliegen strengeren Anforderungen als wichtige Einrichtungen nach Anhang II. Für Krankenhäuser und Gesundheitsdienstleister gilt seit der BSI-Sektordefinition 2024 eine verschärfte Meldepflicht für Sicherheitsvorfälle mit Patientendatenbezug, die sich mit den Pflichten aus Art. 32 DSGVO überschneidet.

Im Finanzsektor kommen neben NIS-2 die DORA-Anforderungen (Digital Operational Resilience Act, EU 2022/2554) hinzu, die ab Januar 2025 gelten und ein dezidiertes ICT-Risikomanagement mit benannter Verantwortung verlangen. Ein externer ISB, der sowohl NIS-2 als auch DORA abdecken soll, muss beide Normgerüste kennen und die Dokumentation entsprechend trennen.

CIVAC bildet sektorspezifische Anforderungen in der Workspace-Struktur ab: Aufgaben-Templates für Gesundheit, Finanz und KRITIS sind voreingestellt. Der externe Beauftragte adaptiert sie auf den konkreten Unternehmenskontext, ohne jedes Mal von null anzufangen.

Ein interner ISB in Vollzeit kostet im deutschen Mittelstand zwischen 70.000 und 95.000 Euro Jahresgehalt (brutto, ohne Nebenkosten, ohne Fortbildungsbudget). Hinzu kommen Werkzeuge, Zertifikate und Ausfall-Risiko bei Kündigung oder Krankheit.

Ein klassischer Einzel-Dienstleister berechnet in der Regel Tagessätze zwischen 1.200 und 2.000 Euro oder Monatspauschalen ab 1.500 Euro aufwärts – je nach Leistungstiefe und Unternehmensstruktur. Die Vertragsanbahnung dauert zwei bis sechs Wochen, die Übergabe bei Mandatswechsel ist strukturell riskant.

Ein plattformbasiertes Modell wie CIVAC trennt Personenkosten von Werkzeugkosten: Der Workspace läuft als SaaS-Lizenz, der Beauftragte ist über das Partnernetz buchbar. Das reduziert den koordinativen Aufwand auf ein Minimum und macht die Gesamtkosten planbar – Monat für Monat, ohne Anfahrtspauschale, ohne Stundennachberechnung. Für eine Vergleichsrechnung empfehlen wir die Ressourcen unter CIVAC FAQ.

Der Weg von der Entscheidung zur aktiven ISB-Funktion lässt sich in vier Schritte gliedern. Erstens: Bedarfsanalyse – NIS-2-Klassifizierung des Unternehmens (wesentlich oder wichtig), Bestandsaufnahme vorhandener Maßnahmen, Scope der ISO/IEC 27001-Anforderungen. Zweitens: Partnerauswahl – Qualifikation, Verfügbarkeit, Branchenkenntnis des externen Beauftragten.

Drittens: Vertragsschluss und Bestellung – schriftliche Bestellurkunde, Benennung gegenüber der Geschäftsleitung, Eintrag ins interne Verzeichnis. Viertens: Onboarding im Workspace – der Beauftragte richtet seine Aufgaben-Kadenzen ein, legt das Risikoregister an und definiert Berichtstermine.

Im CIVAC-Modell laufen alle vier Schritte auf der Plattform: Das Projekt-Modul führt durch Scope, Uploads, Rückfragen, Risiken und Bericht. Die Dokumentation-Funktion erzeugt monatlich exportfertige Compliance-Nachweise. Der Prüfer ruft an, der Nachweis liegt bereit.

Wer heute einen externen Cyber Security Officer benötigt, muss nicht sechs Wochen auf Vertragsverhandlungen warten. CIVAC verbindet Compliance-Plattform und Officer-as-a-Service: Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie einen zertifizierten CIVAC-Partner als ISB bestellen.

Die Bestellurkunde liegt innerhalb von zwei Werktagen vor. Der Workspace ist sofort aktiv. Die 37 Audit-Vorlagen decken die wesentlichen NIS-2- und ISO/IEC 27001:2022-Pflichten vom ersten Tag an ab. Datenresidenz ausschließlich EU, AES-256 at rest, TLS 1.3 in transit.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Aus dem Lesen einen Auftrag machen: info@civac.de.