Externer IT-Sicherheitsbeauftragter als Dienstleister: Leistungsumfang, Auswahl und Vertragsgestaltung

Die NIS-2-Richtlinie (EU 2022/2555), umgesetzt durch das BSIG in der Fassung von Oktober 2024, verpflichtet wesentliche und wichtige Einrichtungen zur Benennung einer verantwortlichen Person für Informationssicherheit. Für Unternehmen, die diese Position nicht intern besetzen können oder wollen, ist der externe IT-Sicherheitsbeauftragte als Dienstleister die rechtlich belastbare Alternative – sofern die Bestellung korrekt formalisiert ist und der Leistungsumfang die gesetzlichen Anforderungen vollständig abdeckt.

Dieser Artikel klärt, was ein externer ISB-Dienstleister konkret leisten muss, wie der Vertrag die gesetzlichen Pflichten absichert und nach welchen Kriterien die Auswahl getroffen werden sollte. Besondere Aufmerksamkeit gilt dem Zusammenspiel von NIS-2-Meldepflichten, ISO/IEC 27001:2022-ISMS und der organisatorischen Einbindung des Dienstleisters in die Unternehmensstruktur.

Das BSIG (§§ 30, 38) verlangt die Benennung eines ISB, schreibt aber keine interne Besetzung vor. ISO/IEC 27001:2022 in Abschnitt 5.3 spezifiziert, dass Rollen und Verantwortlichkeiten im ISMS dokumentiert sein müssen – auch diese Anforderung kann durch externe Dienstleister erfüllt werden. Die Voraussetzungen für eine rechtskonform externalisierte ISB-Funktion sind jedoch präzise: Die förmliche Bestellung muss schriftlich erfolgen, der Dienstleister muss über hinreichende Expertise und Kapazität verfügen und die Berichtslinie zur Geschäftsleitung muss vertraglich und organisatorisch gesichert sein.

Problematisch wird es, wenn der externe Dienstleister nicht förmlich bestellt, sondern nur als Berater tätig ist. In diesem Fall besteht keine formelle ISB-Funktion – mit der Konsequenz, dass im Prüffall keine ordnungsgemäße Benennung nachgewiesen werden kann. Aufsichtsbehörden unterscheiden klar zwischen einem Berater, der gelegentlich Empfehlungen gibt, und einem förmlich bestellten ISB, der Weisungsbefugnisse, Berichtspflichten und Reaktionsverpflichtungen hat.

Für Unternehmen unter der NIS-2-Schwelle kann die externe Bestellung dennoch sinnvoll sein: Cyber-Versicherungsgesellschaften und Konzernkunden mit TISAX-Anforderung verlangen zunehmend einen nachgewiesenen Informationssicherheitsbeauftragten – unabhängig von gesetzlicher Pflicht.

Der Leistungsumfang eines externen ISB-Dienstleisters lässt sich in vier Kategorien gliedern.

Laufende ISMS-Betriebsführung: Der Dienstleister führt das ISMS nach ISO/IEC 27001:2022, überprüft die 93 Controls regelmäßig, dokumentiert die Ergebnisse und bereitet den jährlichen Management-Review vor. Er führt Risikobeurteilungen durch und aktualisiert das Risikoregister kontinuierlich.

Meldepflicht-Management: Bei NIS-2-betroffenen Einrichtungen muss der ISB die 24-Stunden-Frühwarnung und die 72-Stunden-Folgemeldung an das BSI nach §§ 32, 35 BSIG sicherstellen. Der Dienstleister muss rund um die Uhr erreichbar sein und über definierte Eskalationspfade verfügen. Frist läuft ab Kenntnis – nicht ab offiziellem Abschluss der Ursachenanalyse.

Awareness und Schulung: § 38 BSIG verlangt auch die Förderung der Sicherheitskultur. Der Dienstleister sollte Mitarbeiter-Schulungen durchführen oder koordinieren können, Phishing-Simulationen organisieren und Schulungsnachweise für den Audit-Trail bereitstellen.

Audit-Vorbereitung und Behördeninteraktion: Bei BSI-Inspektionen oder ISO-27001-Audits ist der ISB-Dienstleister die erste Anlaufstelle. Er muss sämtliche Nachweise strukturiert vorlegen können. Der Prüfer ruft an, der Nachweis liegt bereit – dieses Prinzip gilt für externe Dienstleister genauso wie für interne Beauftragte.

Ein belastbarer Dienstleistungsvertrag für einen externen ISB muss sechs Kernklauseln enthalten.

Bestellurkunde als Anlage: Die formelle Bestellung ist kein Teil des Dienstleistungsvertrags, sondern eine eigenständige Urkunde, die als Anlage beigefügt wird. Die Urkunde benennt die Person, den Umfang der Bestellung und die Berichtslinie. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Reaktionszeit-SLA: Für die 24-Stunden-Frühwarnung nach BSIG muss die Erreichbarkeit und Reaktionsfähigkeit des Dienstleisters vertraglich festgelegt sein – mit konkreten Reaktionszeit-Garantien für Werktage und Wochenenden.

Tätigkeitsnachweis-Pflicht: Der Vertrag muss festlegen, dass monatliche Tätigkeitsberichte mit Zeitaufwand, erbrachten Leistungen und offenen Maßnahmen geliefert werden.

Interessenkonflikt-Klausel: Der Dienstleister erklärt schriftlich, dass er keine IT-Betriebsleistungen für das Unternehmen erbringt, die mit der ISB-Unabhängigkeit unvereinbar wären.

Datenschutzregelung: Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist zwingend, da der Dienstleister ISMS-Daten, Vorfallsberichte und ggf. personenbezogene Mitarbeiterdaten verarbeitet.

Übergaberegelung: Bei Vertragsende muss ein strukturierter Übergabe-Prozess sicherstellen, dass ISMS-Dokumentation und laufende Audits nahtlos an einen Nachfolger übergehen.

Ein ISB, der gleichzeitig als IT-Dienstleister für dasselbe Unternehmen tätig ist, hat ein strukturelles Interessenkonflikt-Problem. Er soll die Sicherheit der IT-Systeme überwachen – und bewertet dabei faktisch seine eigene Arbeit. Auditoren und Behörden erkennen dieses Muster: Es schwächt die Glaubwürdigkeit des gesamten ISMS.

ISO/IEC 27001:2022 adressiert dieses Thema in Abschnitt 6.1 (Risikobeurteilung) und in den Controls A.5.2 (Informationssicherheitsrollen und -verantwortlichkeiten) sowie A.6.1.2 (Aufgabentrennung). Die Norm schreibt vor, dass Personen mit Interessenkonflikten von sicherheitsrelevanten Entscheidungen ausgenommen werden. Ein externer Dienstleister, der sowohl IT-Betrieb als auch ISB-Mandat ausübt, verstößt strukturell gegen diese Anforderung.

In der Praxis sind die Konstellationen häufig: IT-Systemhäuser bieten das ISB-Mandat als Add-on an, Managed-Security-Provider übernehmen gleichzeitig SOC-Betrieb und Sicherheitsbeauftragten-Funktion. Das mag operativ bequem erscheinen – schafft aber eine Prüfungsangriffsfläche.

Die saubere Lösung ist die Trennung: Ein dedizierter ISB-Dienstleister ohne Betriebsinteressen bewertet die Sicherheitslage unabhängig und kann im Audit diese Unabhängigkeit nachweisen. Das ist die strukturelle Voraussetzung dafür, dass das ISB-Mandat seinen regulatorischen Zweck erfüllt.

Die Auswahl eines externen ISB-Dienstleisters folgt einem sechsstufigen Bewertungsraster.

Qualifikation und Zertifizierung: Prüfen Sie, ob der vorgesehene ISB über eine anerkannte Qualifikation verfügt – z. B. CISM (Certified Information Security Manager), ISO 27001 Lead Implementer oder eine BSI-anerkannte IT-Sicherheitsausbildung. Der formale Nachweis gehört in die Bestellurkunde.

ISMS-Erfahrung in Ihrer Branche: Ein ISB für ein Krankenhaus unter § 75c SGB V benötigt andere Kenntnisse als einer für ein Produktionsunternehmen unter TISAX. Branchenspezifische Erfahrung reduziert Einarbeitungszeit und erhöht die Relevanz der Risikobeurteilung.

Kapazitätsnachweise: Wie viele parallele Mandate betreut der Dienstleister? Ein ISB, der 40 Unternehmen gleichzeitig betreut, kann im Vorfallsfall nicht die erforderliche Aufmerksamkeit aufbringen. Fragen Sie nach der maximalen Mandatszahl pro Berater und nach dem Eskalations-Backup-Konzept.

Technologische Unabhängigkeit: Der ISB-Dienstleister sollte keine eigene Produktlinie empfehlen müssen. Er bewertet Sicherheitsmaßnahmen objektiv – nicht nach dem eigenen Vertriebsinteresse.

Referenzen und Prüferfahrung: Fragen Sie nach konkreten Prüfungserfahrungen mit dem BSI, Datenschutzbehörden oder ISO-Zertifizierern. Der Nachweis, dass der Dienstleister bereits Audits erfolgreich begleitet hat, ist aussagekräftiger als Zertifikats-Listen.

NIS-2 setzt in §§ 32 und 35 BSIG klare zeitliche Anforderungen: Bei einem erheblichen Sicherheitsvorfall muss die Frühwarnung innerhalb von 24 Stunden beim BSI eingehen, der Folgebericht innerhalb von 72 Stunden und der Abschlussbericht spätestens nach 30 Tagen. Diese Fristen gelten ab Kenntnis des Vorfalls – nicht ab Abschluss der Ursachenanalyse.

Für wesentliche Einrichtungen liegt das maximale Bußgeld bei 10 Mio. Euro beziehungsweise 2 % des globalen Jahresumsatzes. Für wichtige Einrichtungen sind es 7 Mio. Euro beziehungsweise 1,4 %. Fristversäumnisse bei der Meldung sind dabei ein eigenständiger Verstoß – unabhängig davon, ob der Vorfall selbst hätte verhindert werden können.

Der externe ISB-Dienstleister muss deshalb vertraglich in den Meldepfad eingebunden sein: Er muss im Vorfallsfall sofort informiert werden, er muss die Meldung vorbereiten und koordinieren können und er muss über einen direkten BSI-Kommunikationskanal verfügen. Viele Dienstleister bieten generelle Sicherheitsberatung an, haben aber keinen etablierten NIS-2-Meldeprozess. Das ist im Prüffall ein ernstes Defizit.

Prüfen Sie außerdem, ob Ihr Unternehmen in die NIS-2-Scope überhaupt fällt: Die rund 29.500 betroffenen Unternehmen in Deutschland verteilen sich auf 18 Sektoren. Die Einordnung als wesentliche oder wichtige Einrichtung bestimmt die Bußgeldhöhe und die Intensität der Prüfpflichten.

Die Kosten eines externen ISB-Dienstleisters variieren erheblich – je nach Unternehmensgröße, ISMS-Reifegrad, NIS-2-Scope und vereinbartem Leistungsumfang. Drei Preismodelle prägen den Markt.

Retainer-Modell: Der Dienstleister stellt monatlich eine feste Stundenzahl zur Verfügung – z. B. 8 bis 20 Stunden pro Monat – gegen eine Pauschale. Dieses Modell eignet sich für Unternehmen mit stabilem ISMS-Reifegrad, bei denen die ISB-Funktion vor allem laufende Betreuung erfordert.

Projektbasiertes Modell: Einzelleistungen wie ISMS-Aufbau, ISO-27001-Erstzertifizierung oder NIS-2-Gap-Assessment werden als Projekte mit Festpreisangebot vereinbart. Dieses Modell eignet sich für Unternehmen, die den ISMS-Aufbau als Projektphase behandeln wollen, bevor ein laufendes Retainer beginnt.

Kombiniertes Modell: Retainer für laufende Betreuung, ergänzt durch Projektpauschalen für definierte Leistungsblöcke wie Schulungen, interne Audits oder jährliche Penetrationstests.

Typische Retainer-Kosten für mittelständische Unternehmen liegen zwischen 1.500 und 5.000 Euro pro Monat, abhängig von Unternehmensgröße und Scope. Für NIS-2-pflichtige Einrichtungen mit 24/7-Erreichbarkeitsanforderung liegt der Preis höher. Vergleichen Sie diesen Betrag mit dem Gehalt eines internen CISO (80.000 bis 120.000 Euro Jahresgehalt zuzüglich Nebenkosten): Die externe Lösung ist für viele Mittelstandsunternehmen die wirtschaftlich günstigere Option.

CIVAC kombiniert zwei Liefermodelle, die sich gegenseitig ergänzen. Erstens: Lizenzieren Sie den Workspace für Ihren internen ISB. Er erhält 37 einsatzbereite Audit-Vorlagen nach ISO/IEC 27001:2022, einen strukturierten ISMS-Workflow mit allen 93 Controls, einen NIS-2-Meldepfad mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung sowie eine KI-Assistent-Funktion mit Quellenangaben und Konfidenzwert.

Zweitens: Bestellen Sie einen externen ISB über das CIVAC-Partnernetzwerk. Vertrag, Person und Bestellurkunde in zwei Werktagen – statt der üblichen zwei bis sechs Wochen beim klassischen Ausschreibungsverfahren.

In beiden Fällen läuft die gesamte ISB-Arbeit über denselben Workspace: einheitliches Audit-Log, übergreifende Dokumentations-Logik, gemeinsamer Berichtspfad zur Geschäftsleitung. Das ist der strukturelle Vorteil gegenüber dem fragmentierten Modell, bei dem Dokumentation, Meldepfad und Bestellnachweis in drei verschiedenen Systemen liegen.

Für Unternehmen, die gleichzeitig einen Datenschutzbeauftragten nach Art. 37 DSGVO und einen ISB nach BSIG benötigen, bietet CIVAC die Möglichkeit, beide Rollen in einem Workspace zu führen – mit getrennter Berichtslinie, aber gemeinsamer Evidenzablage. Das reduziert redundante Dokumentationsarbeit erheblich.

Wenn Sie einen externen IT-Sicherheitsbeauftragten als Dienstleister beauftragen wollen, empfehlen sich fünf konkrete Schritte.

Erstellen Sie zunächst eine ISB-Anforderungsmatrix: Welche NIS-2-Einordnung hat Ihr Unternehmen? Besteht eine ISO-27001-Zertifizierungspflicht oder -ambition? Welche ISMS-Controls sind bereits implementiert, welche fehlen? Diese Matrix bestimmt, welches Qualifikationsprofil und welchen Leistungsumfang Sie benötigen.

Holen Sie dann mindestens drei Angebote ein und vergleichen Sie nicht nur den Preis, sondern die vertragliche Reaktionszeit, die Mandatskapazität pro Berater und den Nachweis von Prüfungserfahrung. Prüfen Sie die Interessenkonflikt-Freiheit explizit: Ist der Anbieter gleichzeitig IT-Dienstleister?

Stellen Sie sicher, dass die Bestellurkunde vor dem ersten Arbeitstag des Dienstleisters ausgestellt und unterschrieben ist. Eine rückwirkende Bestellung ist rechtlich problematisch und im Prüffall angreifbar.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service-Lösung, die den gesamten Prozess vom Angebot bis zur Bestellurkunde in zwei Werktagen abwickelt. Audit-fest, dokumentiert, BSIG-fest.

Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.