Externer IT-Sicherheitsbeauftragter: Was kostet das Mandat pro Monat wirklich?

§§ 30 und 38 BSIG verpflichten Betreiber wesentlicher und wichtiger Einrichtungen nach NIS-2, einen Informationssicherheitsbeauftragten (ISB) zu benennen. Für Unternehmen, die diese Funktion nicht intern besetzen können oder wollen, ist die externe Variante die rechtlich zulässige Alternative – vorausgesetzt, die Bestellung erfolgt förmlich und die Berichtslinie zur Geschäftsleitung ist dokumentiert. Doch was kostet ein solches Mandat tatsächlich pro Monat?

Dieser Artikel legt die Kostenstruktur offen: von der reinen Stundenvergütung bis zu Pauschalmodellen, von der Erstbestellung bis zur laufenden Betriebsführung. Berücksichtigt werden auch die versteckten Kosten einer Fehlbestellung – fehlende NIS-2-Frühwarnung, nicht nachgewiesene ISO/IEC 27001:2022-Controls und Bußgeldrisiken bis 10 Mio. Euro für wesentliche Einrichtungen.

Die Pflicht zur Benennung eines Informationssicherheitsbeauftragten ergibt sich aus mehreren Rechtsquellen. §§ 30 und 38 BSIG (in der Fassung nach NIS-2-Umsetzungsgesetz, Oktober 2024) verlangen von wesentlichen und wichtigen Einrichtungen die Benennung einer verantwortlichen Person für Informationssicherheit. ISO/IEC 27001:2022 fordert in Abschnitt 5.3 die Festlegung von Rollen, Verantwortlichkeiten und Befugnissen für das ISMS.

Interne Besetzung scheitert häufig an zwei Faktoren: fehlendem Fachpersonal und Interessenkonflikten. Ein IT-Leiter, der gleichzeitig als ISB fungiert, prüft im Wesentlichen seine eigene Arbeit – ein strukturelles Problem, das Auditoren regelmäßig monieren. Der externe ISB schließt diese Lücke, sofern seine Unabhängigkeit vertraglich gesichert und seine Weisungsfreiheit gegenüber der IT-Abteilung dokumentiert ist.

Für Unternehmen unterhalb der NIS-2-Schwellenwerte kann die Bestellung eines Informationssicherheitsbeauftragten dennoch sinnvoll sein: Versicherungsgesellschaften (Cyber-Policen), Geschäftspartner mit TISAX-Anforderung und Unternehmenskunden aus dem Konzernumfeld verlangen zunehmend einen nachweisbaren ISB – unabhängig von der gesetzlichen Pflicht.

Der Monatspreis für einen externen ISB wird von fünf Faktoren bestimmt. Erstens: Stundenvolumen. Ein Grundmandat mit vier bis sechs Stunden monatlich für ein Unternehmen mit 100 Mitarbeitern liegt in einem anderen Preisbereich als ein vollumfängliches ISMS-Mandat für eine NIS-2-wesentliche Einrichtung mit 800 Mitarbeitern, das 20 bis 30 Stunden monatlich erfordert.

Zweitens: Normenbezug. Ein ISB, der nur BSIG-Basisanforderungen erfüllt, ist günstiger als einer, der gleichzeitig ein ISO/IEC 27001:2022-ISMS führt, die 93 Controls dokumentiert und auf externe Audits vorbereitet. Drittens: Branche. KRITIS-Betreiber (Energie, Wasser, Gesundheit) und Finanzdienstleister benötigen branchenspezifische Expertise (z. B. BSI C5, BAIT, MaRisk), die einen Qualifikationsaufschlag rechtfertigt.

Viertens: Vorfallsmanagement. Ist die 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung nach BSIG im Mandat enthalten, oder wird sie separat berechnet? Fünftens: Werkzeugbereitstellung. Ein ISB, der seine eigene Software mitbringt oder auf einer strukturierten Compliance-Plattform arbeitet, dokumentiert effizienter als einer, der mit eigenen Templates in E-Mail-Ordnern operiert.

Für den DACH-Mittelstand lassen sich drei Mandatsklassen mit unterschiedlichen Preisrahmen unterscheiden. Klasse 1 – Basis-Mandat (ca. 800–1.500 Euro/Monat): Formelle Bestellung nach BSIG, monatlicher Tätigkeitsbericht, jährliche ISMS-Übersicht, kein vollumfängliches ISO/IEC 27001:2022-ISMS. Geeignet für Unternehmen unter 200 Mitarbeitern ohne NIS-2-Pflicht, aber mit vertraglicher oder versicherungstechnischer Nachweispflicht.

Klasse 2 – Standard-Mandat (ca. 1.500–3.000 Euro/Monat): Bestellung, laufendes ISMS nach ISO/IEC 27001:2022 (93 Controls, jährlicher Review), NIS-2-Meldepfad, Awareness-Schulungen, Vorfallsreaktion. Entspricht dem Bedarf der meisten NIS-2-wichtigen Einrichtungen (Bußgeldrahmen: bis 7 Mio. Euro oder 1,4 % Konzernumsatz).

Klasse 3 – Vollmandat (ca. 3.000–4.500 Euro/Monat): Alle Leistungen von Klasse 2 plus Zertifizierungsvorbereitung ISO 27001, BSI C5-Vorbereitung, TISAX-Readiness, Penetrationstest-Koordination und monatlichem Management-Reporting. Typisch für NIS-2-wesentliche Einrichtungen und Unternehmen mit Konzernkunden oder Behördengeschäft.

Bei der Auswahl eines externen ISB fallen häufig Kosten an, die im Grundangebot nicht ausgewiesen sind. Erstens: Reisekosten. Externe Beauftragte, die regelmäßig vor Ort erscheinen müssen, stellen Fahrt- und Übernachtungskosten häufig separat in Rechnung. Bei zwei Vor-Ort-Terminen monatlich können das 300 bis 600 Euro Zusatzkosten sein.

Zweitens: Vorfallskosten außerhalb des Retainers. Stundensätze für Incident Response liegen typischerweise zwischen 180 und 280 Euro netto. Ein Sicherheitsvorfall mit 20 Stunden Aufwand außerhalb des Mandats summiert sich auf 3.600 bis 5.600 Euro, die das Jahresbudget sprengen können.

Drittens: Tool-Kosten. Wenn der ISB eigene Software, Monitoring-Dienste oder Dokumentenmanagement-Tools mitbringt und diese separat berechnet, ist der tatsächliche Gesamtaufwand erst nach einem Jahr kalkulierbar. Plattformbasierte Modelle, bei denen die Arbeitsgrundlage in der Compliance-Plattform des Unternehmens liegt, machen diese Kosten transparent und nachvollziehbar. Frist läuft ab Kenntnis – auch die Kenntnis über versteckte Kostenpositionen.

Drei Vergütungsmodelle dominieren den Markt für externe ISB-Mandate. Das Stundenmodell (160–250 Euro/Stunde netto) ist für projektbezogene Aufgaben geeignet, aber für laufende Beauftragten-Mandate unkalkulierbar. Ein Sicherheitsvorfall oder Audit-Vorbereitung können den Monatsaufwand verdrei- bis verfünffachen.

Das Pauschalmodell (fester Monatsbetrag für definiertes Leistungspaket) bietet Planungssicherheit, birgt aber das Risiko, dass der Anbieter bei definiertem Volumen den Aufwand minimiert. Entscheidend ist die vertragliche Definition, was im Pauschalpreis enthalten ist: Anzahl Berichtstage, Reaktionszeit bei Vorfällen, Normenbezug, Schulungsleistungen.

Das Officer-as-a-Service-Modell kombiniert Pauschalvergütung mit plattformbasierter Transparenz: Der Beauftragte wird förmlich bestellt, arbeitet auf einer strukturierten Compliance-Plattform und hinterlässt einen vollständigen Audit-Trail. Das Unternehmen sieht zu jeder Zeit, welche Aufgaben erledigt wurden, welche Schulungen abgehalten wurden und welche Maßnahmen aus Audits offen sind. Dieses Modell ist für Mittelständler, die mehrere Beauftragten-Rollen gleichzeitig besetzen, das kosteneffizienteste.

Ein rechtskonformes ISB-Mandat beginnt mit der förmlichen Bestellung. § 38 BSIG und ISO/IEC 27001:2022 Abschnitt 5.3 verlangen eine dokumentierte Rollenzuweisung. Die Bestellurkunde muss Umfang der Rolle, Berichtslinie, Weisungsfreiheit gegenüber der IT-Abteilung und Kündigungsschutz (falls anwendbar) definieren. Bestellurkunde, unterschrieben, abgelegt, belegbar – das ist die Voraussetzung für jeden Folgeschritt.

Laufend muss der ISB vier Pflichtelemente dokumentieren: erstens monatliche Tätigkeitsberichte mit Nachweis der bearbeiteten Aufgaben; zweitens Vorfallsprotokoll mit Timestamp für die 24h/72h-Frist nach BSIG; drittens jährlichen ISMS-Review-Bericht nach ISO/IEC 27001:2022; viertens Schulungsnachweise für Mitarbeiter-Awareness-Maßnahmen.

Wer einen externen ISB beauftragt, ohne diese vier Elemente vertraglich zu fixieren, kauft im Wesentlichen Verfügbarkeit – nicht Compliance-Nachweis. Aufsichtsbehörden fragen im Prüffall nicht nach dem Namen des ISB, sondern nach dem Tätigkeitsnachweis. Fehlt dieser, greift § 35 BSIG mit dem vollen Bußgeldrahmen ungemindert.

Der Bußgeldrahmen für NIS-2-wesentliche Einrichtungen beträgt bis 10 Mio. Euro oder 2 % des weltweiten Konzernumsatzes – je nachdem, welcher Wert höher ist (§ 35 BSIG). Für wichtige Einrichtungen gilt ein Rahmen von bis zu 7 Mio. Euro oder 1,4 % des Konzernumsatzes. Diese Zahlen relativieren Einsparungsüberlegungen bei der ISB-Bestellung erheblich.

Hinzu kommen drei weitere Kostenkategorien einer Fehlbestellung oder fehlenden Bestellung. Erstens: Reputationsschäden durch öffentliche Meldepflicht nach Art. 34 DSGVO und § 32 BSIG bei erheblichen Vorfällen. Zweitens: Versicherungsschäden – Cyber-Policen enthalten häufig Klauseln, die den Versicherungsschutz bei fehlender ISB-Bestellung oder nicht nachgewiesenem ISMS ausschließen oder mindern. Drittens: Vertragsschäden bei Kunden oder Konzerngesellschaften, die TISAX-Readiness oder ISO-27001-Konformität als Vertragsvoraussetzung definiert haben.

Ein externer ISB im Standardmandat für 2.000 Euro monatlich kostet 24.000 Euro pro Jahr. Dem stehen Bußgeldrisiken, Versicherungsausschlüsse und Vertragsrisiken gegenüber, die ein Vielfaches dieses Betrags erreichen können. Die betriebswirtschaftliche Entscheidung ist damit in den meisten Fällen eindeutig.

Bei der Auswahl eines externen ISB sind sechs Kriterien entscheidend. Erstens: Qualifikation. Nachweisbare Zertifizierungen (CISM, CISSP, BSI-Zertifikat IT-Grundschutz) oder gleichwertige Praxiserfahrung sind Mindestanforderung. ISO/IEC 27001:2022-Kenntnisse sind für ISMS-Mandate obligatorisch. Zweitens: Branchenerfahrung. Ein ISB für ein Krankenhaus benötigt andere Expertise als einer für einen Maschinenbauer oder ein Finanzdienstleistungsunternehmen.

Drittens: Dokumentationsqualität. Lassen Sie sich Muster-Tätigkeitsberichte und ISMS-Review-Berichte zeigen. Die Qualität der Dokumentation entscheidet über die Auditfestigkeit, nicht die Visitenkarte. Viertens: Reaktionszeit bei Vorfällen. Die 24-Stunden-Frühwarning nach BSIG erfordert, dass der ISB innerhalb von Stunden erreichbar und handlungsfähig ist – nicht innerhalb von Tagen.

Fünftens: Unabhängigkeit. Der ISB darf nicht in Interessenkonflikten zur IT-Abteilung stehen. Ein Anbieter, der gleichzeitig IT-Dienstleistungen für das Unternehmen erbringt, ist strukturell problematisch. Sechstens: Plattform. Ein ISB, der auf einer strukturierten Compliance-Plattform mit Audit-Trail arbeitet, liefert automatisch bessere Nachweise als einer mit eigenem Datei-System.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service-Angebot für den Informationssicherheitsbeauftragten und 24 weitere Beauftragten-Rollen. Lizenzieren Sie den Workspace für Ihren internen ISB, oder bestellen Sie unsere Beauftragten – Vertrag, Person und Urkunde in zwei Werktagen, mit vollständigem Audit-Trail auf der Plattform.

Das CIVAC-ISMS ist nach ISO/IEC 27001:2022 aufgebaut. Alle 93 Controls sind im Workspace abgebildet; die 37 einsatzbereiten Audit-Vorlagen decken NIS-2-Anforderungen, ISO-27001-Assessments und TISAX-Readiness-Prüfungen ab. Der NIS-2-Meldepfad mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung ist als Plattform-Funktion integriert – nicht als Add-on.

Die Kostenstruktur ist transparent: kein versteckter Stundenaufwand außerhalb des Mandats, keine separaten Tool-Kosten, kein Reisekostenrisiko. Das Officer-as-a-Service-SLA schreibt vor, was monatlich dokumentiert wird – und der Workspace belegt es lückenlos.

Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.