ISB-as-a-Service mit NIS-2-Ready-Setup: Bestellung in zwei Werktagen statt sechs Wochen

Mit der nationalen Umsetzung der NIS-2-Richtlinie über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das das BSI-Gesetz substanziell erweitert, fallen rund 29.500 Unternehmen in Deutschland unter erweiterte Pflichten zur Informationssicherheit, von der Energiewirtschaft über das Gesundheitswesen bis hin zu Lebensmittelproduktion und Lieferketten. § 30 BSIG verlangt geeignete und verhältnismäßige technische und organisatorische Maßnahmen, § 32 BSIG einen 24-Stunden-Frühwarnung-Meldepfad mit 72-Stunden-Folgemeldung an das BSI, und § 38 BSIG eine Schulungspflicht für Geschäftsleitungen mit persönlicher Haftung der Leitungsorgane. Wer diese Pflichten ohne dedizierten Informationssicherheitsbeauftragten erfüllen will, läuft in eine Aufgabenüberlastung der IT-Leitung, die in der ersten Aufsichtsprüfung durch das BSI sichtbar wird.

Das ISB-as-a-Service-Modell von CIVAC adressiert genau diese Lücke zwischen Pflicht und interner Kapazität. Es kombiniert die Bestellung einer qualifizierten natürlichen Person nach § 7 BSI-Gesetz mit einem Workspace, der die 24h/72h-Meldepfade, die 93 Controls nach ISO/IEC 27001:2022, 490 einsatzbereite Audit-Vorlagen und einen revisionssicheren Audit-Log vorhält. Der Bestellungs-SLA liegt bei zwei Werktagen, gegenüber sechs Wochen im klassischen Aufbau eines internen ISB. Dieser Artikel beschreibt Leistungsumfang, Übergabeprozess, Zusammenspiel mit dem internen IT-Betrieb und die wirtschaftliche Logik, in der externer ISB die saubere Lösung ist und in der interner ISB die bessere.

Die NIS-2-Richtlinie wurde in deutsches Recht durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt, das das BSI-Gesetz substanziell erweitert und in Teilen neu strukturiert. Drei Paragraphen tragen die Hauptpflicht und definieren den operativen Rahmen für den ISB. § 30 BSIG verlangt von wesentlichen und wichtigen Einrichtungen geeignete und verhältnismäßige technische und organisatorische Maßnahmen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen. Die Norm listet zehn Maßnahmenfelder auf, darunter Risikoanalyse, Vorfallbearbeitung, Backup-Management, Lieferkettensicherheit, Kryptographie, Identitäts- und Zugriffsmanagement, Personalsicherheit und Schulung.

§ 32 BSIG normiert die Meldepflichten. Ein erheblicher Sicherheitsvorfall muss innerhalb von 24 Stunden in Form einer Frühwarnung an das BSI gemeldet werden, gefolgt von einer aktualisierten Folgemeldung innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Die Fristen laufen ab Kenntnis des Vorfalls, nicht ab Beginn der internen Analyse, und das BSI dokumentiert den Meldeeingang minutengenau. § 38 BSIG ergänzt eine Schulungspflicht für Geschäftsleitungen und schreibt die persönliche Verantwortung der Leitungsorgane fest, was das Haftungsrisiko aus dem operativen IT-Bereich in die Geschäftsleitungsebene verschiebt.

Die Bußgelder sind erheblich. Für wesentliche Einrichtungen liegen sie bei bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Konzernumsatzes, für wichtige Einrichtungen bei bis zu 7 Mio. EUR oder 1,4 Prozent. Hinzu kommt die persönliche Haftung der Geschäftsleitung nach § 38 BSIG für Aufsichtsversäumnisse, die nicht pauschal durch eine D&O-Versicherung gedeckt ist. Wer diese Pflichten ohne benannten Informationssicherheitsbeauftragten als zentralen operativen Träger umsetzen will, übernimmt die Koordination zwischen IT, Recht und Geschäftsleitung mit zusätzlichem internen Aufwand und ohne klare Verantwortungszuordnung.

ISB-as-a-Service ist mehr als ein externer Berater mit Stundensatz und einem Tagesausweis für die Geschäftsräume. Das CIVAC-Modell bündelt vier Komponenten in einer Beauftragten-Bestellung, die als geschlossenes Paket den NIS-2-Anforderungen entspricht und im Audit als Einheit nachweisbar ist. Erstens: die Bestellung einer qualifizierten natürlichen Person als ISB, mit Qualifikationsnachweis nach § 7 BSI-Gesetz, dokumentierten Fortbildungsstunden von mindestens 40 pro Jahr und Vermögensschadens-Haftpflichtversicherung mit angemessener Deckungssumme. Die Bestellung erfolgt formal über eine Bestellurkunde, gegengezeichnet vom benannten ISB und der Geschäftsleitung des Verantwortlichen.

Zweitens: ein Workspace mit Multi-Mandanten-Architektur, EU-Datenresidenz und revisionssicherem Audit-Log mit Hash-Sicherung. Der Workspace hält die 93 Controls nach ISO/IEC 27001:2022 in strukturierter Form vor, sodass Risikoanalysen, Wirksamkeitsprüfungen, Nachweisdokumente und Maßnahmenpläne in einem System geführt werden. Drittens: 490 einsatzbereite Audit-Vorlagen, die für NIS-2-Prüfungen, BSI-Anfragen, Lieferanten-Audits und ISO-27001-Vorprüfungen aktuell gehalten werden. Diese Vorlagen sind nicht statisch, sondern werden gegen neue Aufsichtsguidance des BSI und der ENISA aktualisiert.

Viertens: der 24h/72h-Meldepfad mit definierter Triage und Eskalation. Ein Sicherheitsvorfall, der gemeldet werden muss, durchläuft fünf Stufen: Erkennung mit Zeitstempel, Triage durch den ISB innerhalb von vier Stunden, Frühwarnung an das BSI innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen denselben Tenant und dieselben Vorlagen. Der ISB-as-a-Service ist die zweite Variante, mit benannter natürlicher Person aus dem CIVAC-Team. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Unterschied zeigt sich nicht im Angebot, sondern in der ersten echten Meldung an das BSI.

Der klassische Aufbau eines internen ISB dauert sechs bis zwölf Wochen, in vielen Mittelstandsunternehmen länger, wenn der Arbeitsmarkt für qualifizierte Sicherheitsfachkräfte angespannt ist. Die Phasen umfassen Stellenausschreibung, Auswahlverfahren, vertragliche Anpassung, formale Bestellung mit Bestellurkunde, Einarbeitung in den IT-Bestand, Aufbau der Dokumentation und Erstkalibrierung der Maßnahmen. Bei einer externen Beauftragung über eine klassische Kanzlei dauert der Prozess typischerweise drei bis sechs Wochen, weil Verträge erst verhandelt werden müssen, die Dokumentationsablage neu aufgesetzt wird und die Kanzlei intern noch eine Ressourcenzuteilung vornimmt.

Der CIVAC-Bestellungs-SLA von zwei Werktagen ist möglich, weil drei strukturelle Vorbereitungen permanent vorgehalten werden. Erstens: standardisierte Bestellurkunden-Vorlagen mit Unabhängigkeitsklausel und Berichtslinie, die nur durch Mandantendaten und Geltungsbereich ergänzt werden. Zweitens: ein gepflegtes Pool benannter ISB-Personen mit unterschiedlichen Branchenschwerpunkten (Industrie, Gesundheit, Finanz, Energie), sodass die fachliche Passung am ersten Werktag bestimmt wird. Drittens: ein vorkonfigurierter Workspace-Tenant mit voreingestellten Vorlagen, der binnen 24 Stunden mit den Mandantendaten, der initialen Risikoanalyse und den ersten Control-Bewertungen befüllt wird.

Was in den zwei Werktagen passiert, lässt sich klar beschreiben. Werktag eins: Kickoff-Termin (60 Minuten), Klärung des Geltungsbereichs, vorläufige NIS-2-Klassifikation (wesentlich, wichtig, nicht betroffen), Übergabe der bestehenden Sicherheitsdokumentation und der relevanten Verträge mit IT-Dienstleistern. Werktag zwei: Übersendung der Bestellurkunde zur Gegenzeichnung, Aktivierung des Workspace-Tenants, erste Triage-Bereitschaft des ISB und Hinterlegung der Meldepfade. Ab dem dritten Werktag ist der 24h-Meldepfad scharf geschaltet und der ISB erreichbar. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer schneller laufen will, kann es prüfen, aber der Markt schafft es realistisch nicht ohne Abstriche bei der Qualifikation.

Ein externer ISB ersetzt nicht den internen IT-Betrieb, sondern strukturiert ihn gegen die NIS-2-Anforderungen und liefert die externe Prüfperspektive. Die Schnittstelle zur IT muss vom ersten Tag an klar definiert sein, mit Zuständigkeiten, Eskalationspfaden und Reporting-Cadence. Der ISB ist nicht weisungsbefugt gegenüber der IT, sondern beratend, prüfend und meldend. Die Verantwortung für die Umsetzung der technischen Maßnahmen bleibt bei der Geschäftsleitung und beim CISO bzw. dem IT-Leiter, der ISB stellt die Konformität gegen § 30 BSIG sicher und dokumentiert sie.

In der Praxis bewähren sich vier Routinen, die den ISB nahtlos in den IT-Betrieb integrieren. Erstens: monatliches Jour fixe zwischen ISB und IT-Leitung, in dem laufende Maßnahmen, offene Risiken, neue Schwachstellen und das aktuelle Schwachstellen-Patch-Backlog besprochen werden. Zweitens: quartalsweiser Risikoreport an die Geschäftsleitung mit konsolidierter Bewertung gegen die 93 ISO-27001-Controls und einer kurzen Heatmap. Drittens: anlassbezogene Eskalation bei Vorfällen, mit definiertem Schwellenwert (etwa: jeder Vorfall, der personenbezogene Daten oder kritische Infrastruktur betrifft, oder der zu einer Dienstunterbrechung über vier Stunden führt). Viertens: jährliche Wirksamkeitsprüfung der Maßnahmen mit dokumentiertem Prüfbericht, der auch bei der nächsten BSI-Anfrage vorgelegt werden kann.

Wo ein Datenschutzbeauftragter bestellt ist, arbeiten ISB und DSB eng zusammen, weil viele Sicherheitsvorfälle auch Datenschutzpannen sind. Im CIVAC-Workspace laufen beide Meldepfade aus demselben Vorfalldatensatz: § 32 BSIG für die NIS-2-Meldung, Art. 33 DSGVO für die Datenschutz-Meldung. Diese Konsolidierung verhindert widersprüchliche Sachverhaltsdarstellungen gegenüber dem BSI und der Datenschutzaufsicht, die bei einer parallelen Prüfung sofort auffallen würden. Der Prüfer ruft an, der Nachweis liegt bereit. Das funktioniert nur, wenn die Schnittstellen vorab definiert sind, nicht im Vorfall improvisiert werden.

Der 24h-Frühwarnung- und 72h-Folgemeldungspfad nach § 32 BSIG ist die operative Probe für jeden ISB und die Stelle, an der schlecht vorbereitete Setups in der ersten Krise sichtbar versagen. Im CIVAC-Workspace ist der Pfad in fünf Stufen abgebildet, die alle einen Zeitstempel, einen Verantwortlichen und einen vorbefüllten Meldetext tragen. Stufe eins ist die Vorfall-Erkennung, typischerweise durch das SOC, ein SIEM-System, eine Endpoint-Detection-Lösung oder eine Mitarbeitendenmeldung über eine zentrale Hotline. Die Erkennungszeit ist der Anker für alle Fristen, deshalb wird sie minutengenau im Audit-Log gespeichert.

Stufe zwei ist die Triage durch den ISB innerhalb von vier Stunden nach Erkennung. Hier wird entschieden, ob der Vorfall meldepflichtig ist. Die Kriterien aus § 32 Abs. 1 BSIG (erheblicher Sicherheitsvorfall) werden im Workspace strukturiert abgefragt, mit Bewertungen zu Auswirkung, Schweregrad und betroffenen Diensten. Bei Bejahung läuft die 24-Stunden-Frühwarnung an. Stufe drei ist die Frühwarnung an das BSI, technisch über das Meldeportal des BSI, inhaltlich mit der von CIVAC vorgehaltenen Vorlage, die die Mindestangaben aus § 32 Abs. 4 BSIG enthält.

Stufe vier ist die Folgemeldung innerhalb von 72 Stunden, mit erweiterter Bewertung der Auswirkungen, der betroffenen Systeme, der ergriffenen Maßnahmen und der voraussichtlichen Wiederherstellungszeit. Stufe fünf ist der Abschlussbericht innerhalb eines Monats, der auch die Lessons Learned, die Anpassung der TOM und gegebenenfalls die Information weiterer Behörden dokumentiert. Wenn der Vorfall personenbezogene Daten betrifft, läuft parallel die DSGVO-Frist nach Art. 33 mit 72 Stunden ab Kenntnis. Der Workspace liefert für beide Meldungen abgestimmte Texte aus einem Vorfalldatensatz. Frist läuft ab Kenntnis. Wer den Pfad einmal trockenen Fußes geübt hat, hält ihn auch im Ernstfall durch.

§ 7 BSI-Gesetz verlangt vom ISB Fachkunde und Zuverlässigkeit als zwingende Voraussetzung für die Bestellung. Die Fachkunde umfasst Kenntnisse der Informationssicherheit, des Risikomanagements und der einschlägigen Normen, insbesondere ISO/IEC 27001:2022, BSI-IT-Grundschutz und branchenspezifische Standards wie B3S für Gesundheitseinrichtungen. Die Zuverlässigkeit wird durch Berufserfahrung von mindestens drei bis fünf Jahren, regelmäßige Fortbildung mit dokumentierten Stunden und das Fehlen einschlägiger Vorstrafen belegt. CIVAC dokumentiert für jeden benannten ISB ein Qualifikationsprofil mit Zertifikaten, Berufserfahrung, Branchenschwerpunkten und Fortbildungsstunden, das beim Mandanten und auf Anfrage der Aufsicht vorgelegt wird.

Unabhängigkeit ist die zweite tragende Säule der ISB-Funktion. Der ISB darf weder weisungsgebunden gegenüber der operativen IT sein noch in Interessenskonflikten zu Geschäftsführungsentscheidungen stehen, insbesondere nicht zu Budgetentscheidungen über Sicherheitsmaßnahmen. Bei einem externen ISB ist die Unabhängigkeit strukturell einfacher zu wahren als bei einem internen Mitarbeitenden, weil der ISB nicht im Organigramm der IT-Abteilung steht und keine Karriereabhängigkeit von der Geschäftsleitung hat. Die Unabhängigkeit wird vertraglich abgesichert, mit Berichtslinie direkt an die Geschäftsleitung und einer Klausel, die Weisungen in fachlichen Fragen ausschließt und ein Kündigungsschutz im Schutz der ISB-Funktion vorsieht.

Die Bestellurkunde ist das formale Dokument, das die Bestellung gegenüber Dritten nachweisbar macht. Sie enthält Name und Qualifikation des ISB, Geltungsbereich der Bestellung, Beginn und (offene oder befristete) Dauer, Berichtslinie, Unabhängigkeitsklausel, Vertretungsregelung und die Unterschrift der Geschäftsleitung sowie die Gegenzeichnung des ISB. Bestellurkunde, unterschrieben, abgelegt, belegbar. Das BSI fragt die Bestellurkunde regelmäßig im Rahmen von Auskunftsersuchen ab, insbesondere nach Sicherheitsvorfällen. Bei einer Bestellung über CIVAC liegt die Bestellurkunde digital im Workspace mit Zeitstempel und in Papierform beim Mandanten.

NIS-2 verweist in § 30 BSIG auf den Stand der Technik als Maßstab für geeignete und verhältnismäßige Maßnahmen. Der praktische Bezugspunkt dafür ist in Deutschland faktisch die ISO/IEC 27001:2022 mit ihren 93 Controls in Annex A, die das internationale Gegenstück zum BSI-IT-Grundschutz darstellt und in der überwiegenden Mehrheit der Audit-Berichte als Referenzraster verwendet wird. Ein ISB-as-a-Service muss diese 93 Controls operationalisieren können, auch wenn der Mandant noch nicht zertifiziert ist und keine formale Zertifizierung anstrebt. Der CIVAC-Workspace strukturiert die Controls in vier Themenfelder: organisatorische Maßnahmen (A.5), personelle Maßnahmen (A.6), physische Maßnahmen (A.7) und technologische Maßnahmen (A.8).

Für jeden Control wird im Workspace dokumentiert: aktueller Reifegrad auf einer fünfstufigen Skala, Nachweisdokumente mit Versionierung, Verantwortlicher mit E-Mail und Funktion, Prüfdatum und nächste Wirksamkeitsprüfung. Die Daten sind exportierbar in den gängigen Formaten, sodass eine spätere ISO-27001-Zertifizierung durch eine akkreditierte Zertifizierungsstelle ohne Datenneuerfassung möglich ist. Der ISB-as-a-Service liefert nicht die Zertifizierung selbst (die kommt von einer akkreditierten Zertifizierungsstelle wie DEKRA oder TÜV), aber das vollständige ISMS-Dokumentationspaket, das die Zertifizierung erst möglich macht und die interne Vorbereitungszeit halbiert.

Für Mandanten, die nicht zertifizierungspflichtig sind, aber NIS-2-konform aufgestellt sein müssen, reicht der ISMS-Aufbau ohne formale Zertifizierung. Die Aufsicht akzeptiert den ISMS-Aufbau als Nachweis des Standes der Technik nach § 30 BSIG, solange die Dokumentation konsistent, aktuell und für externe Prüfer nachvollziehbar ist. Audit-fest, dokumentiert, § 30 BSIG-fest. Wer das ISMS-Setup auslagert, kauft sich die strukturierte Dokumentation und die laufende Pflege gegen sich ändernde Aufsichtspraxis, nicht nur einen Beauftragten mit Visitenkarte.

Die Wahl zwischen externem und internem ISB ist primär eine Frage der Auslastung, nicht der Rechtssicherheit. Beide Modelle erfüllen § 7 BSI-Gesetz und § 30 BSIG identisch, wenn die Bestellung formal sauber ist und die Qualifikation nachgewiesen wird. Die Faustregel lautet: bis zu einer ISB-Auslastung von etwa 60 Prozent eines FTE ist der externe ISB-as-a-Service wirtschaftlich überlegen. Darüber wird der interne ISB attraktiver, weil die fixen Personalkosten degressiv wirken und der interne ISB dauerhaft Kontext aufbaut.

Konkret in Zahlen für ein mittelständisches Unternehmen mit 200 Mitarbeitenden und NIS-2-Klassifikation wichtig: ein interner ISB kostet vollkostenbasiert zwischen 110.000 und 160.000 EUR pro Jahr inklusive Sozialabgaben, Schulungen, Zertifizierungspflege, Arbeitsplatzkosten und Vertretungsregelung. Ein externer ISB-as-a-Service liegt bei 28.000 bis 48.000 EUR pro Jahr inklusive Workspace, Vorlagen, 24h/72h-Meldepfad und Vertretung. Der Bruchpunkt liegt typischerweise bei einem Unternehmen mit 500 bis 800 Mitarbeitenden und mehreren Standorten, ab dem die interne Position auch ohne externe Unterstützung ausgelastet ist.

Drei Sonderfälle verschieben die Logik. Erstens: hochregulierte Branchen (Finanz, Energie, Gesundheit, kritische Infrastruktur) brauchen oft branchenspezifische Tiefe und Erfahrung mit der jeweiligen Aufsichtsbehörde, die ein externer ISB mit entsprechendem Schwerpunkt bringt. Zweitens: Konzerne mit mehreren NIS-2-pflichtigen Töchtern profitieren von einem zentralen externen ISB mit Multi-Mandanten-Workspace, der Skaleneffekte erzeugt und konsolidierte Reports liefert. Drittens: schnell wachsende Unternehmen können den externen ISB als Brücke nutzen, bis die interne Position fachlich besetzbar ist, ohne in der Zwischenzeit ein Bußgeldrisiko zu tragen. CIVAC unterstützt alle drei Modelle, weil der Workspace identisch bleibt und nur die benannte Person wechselt. Die Datenmigration entfällt, weil der Tenant derselbe ist. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Die NIS-2-Pflicht ist nicht verhandelbar, die Umsetzung schon. Wer als wesentliche oder wichtige Einrichtung eingestuft ist, braucht eine belastbare Bestellung des ISB, einen Meldepfad mit Zeitstempel und ein ISMS-Dokumentationspaket, das in der ersten Prüfung Bestand hat. Wer das in den nächsten 24 Monaten ohnehin aufbauen muss, kann den externen ISB-as-a-Service als Brücke nutzen und die interne Position später besetzen, ohne in der Übergangszeit ein Bußgeldrisiko gegenüber dem BSI zu tragen.

Der konkrete nächste Schritt ist eine 30-minütige Klärung des Geltungsbereichs zwischen Geschäftsleitung, IT-Leitung und CIVAC. Drei Informationen reichen aus: die NIS-2-Klassifikation (wesentlich, wichtig, unklar), die Mitarbeiterzahl pro Standort und der grobe IT-Stack (Cloud-Anteil, Eigenbetrieb, Drittanbieter, kritische Anwendungen). Auf dieser Basis erstellt CIVAC innerhalb von zwei Werktagen ein verbindliches Angebot mit Bestellurkunde-Entwurf, Workspace-Vorbereitung und SLA-Definition. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle führen zum NIS-2-Ready-Zustand mit derselben technischen Basis: 93 Controls nach ISO/IEC 27001:2022, 490 Audit-Vorlagen, 24h/72h-Meldepfad, EU-Datenresidenz.

Wer den Schritt heute geht, hat in zwei Werktagen einen bestellten ISB, einen aktivierten Meldepfad und ein begonnenes ISMS-Dokumentationspaket, das vom dritten Werktag an im Audit standhält. Aus dem Lesen einen Auftrag machen. Eine Nachricht an info@civac.de oder das Kontaktformular auf civac.de startet den Prozess. Der Probelauf des Meldepfades, den jeder neue Mandant in den ersten 30 Tagen durchführt, ist Bestandteil des Pakets und nicht separat zu kalkulieren. Wer den Probelauf bestanden hat, kennt seinen ISB, kennt den Workspace und ist nicht überrascht, wenn der erste echte Vorfall anläuft.