Externer CISO: Wann der virtuelle Sicherheitsverantwortliche das richtige Modell ist

Das NIS-2-Umsetzungsgesetz verpflichtet rund 29.500 Unternehmen in Deutschland zur formalen Verantwortung der Geschäftsleitung für Cybersicherheit, inklusive Schulungspflicht und persönlicher Haftung nach § 38 NIS2UmsuCG. Parallel verlangt ISO/IEC 27001:2022 eine dokumentierte ISMS-Verantwortung mit klarer Berichtslinie. In vielen Mittelständlern fehlt dafür die senior besetzte Funktion. Eine interne Vollzeitstelle CISO kostet inklusive Nebenkosten 180.000 bis 260.000 Euro im Jahr und ist binnen sechs Monaten oft nicht zu besetzen.

Der externe CISO, auch virtual CISO oder CISO-as-a-Service genannt, ist die operative Antwort auf diese Lücke. Er übernimmt Governance, Risiko-Management, Berichtslinie zur Geschäftsführung und Aufsichtsfunktion gegenüber internen Sicherheitsrollen, ohne dass die Stelle intern besetzt sein muss. Dieser Beitrag klärt Aufgaben, Abgrenzung zum ISB, realistische Aufwände und die Voraussetzungen für ein tragfähiges Modell.

Der Chief Information Security Officer trägt die strategische Verantwortung für die Informationssicherheit eines Unternehmens. Inhaltlich umfasst die Rolle drei Ebenen. Governance: Sicherheitsstrategie, Richtlinien, Compliance mit ISO/IEC 27001:2022, NIS-2, branchenspezifischen Vorgaben (BSI-KritisV, BAIT, VAIT, KAIT). Risiko-Management: Risikoinventar, Bewertung, Behandlungsplan, Restrisiko-Akzeptanz durch die Geschäftsleitung. Berichtslinie: regelmäßige Berichterstattung an Vorstand oder Geschäftsführung, Eskalation bei Vorfällen, Schnittstelle zu Behörden und Versicherern.

Anders als der Informationssicherheitsbeauftragte (ISB), der die operative Umsetzung verantwortet, agiert der CISO auf Leitungsebene und ist häufig direkt an die Geschäftsführung angebunden. In großen Konzernen sind beide Rollen getrennt besetzt. Im Mittelstand verschmelzen sie häufig, was rechtlich zulässig, organisatorisch aber nicht trivial ist: Strategiearbeit und operative Tickets binden unterschiedliche Zeitprofile. Wer Berichtspflicht und Hands-on-Arbeit auf einer Person bündelt, riskiert, dass eines von beiden liegen bleibt. Die externe Variante löst genau dieses Dilemma, indem die strategische Verantwortung sauber an eine Funktion mit Senior-Erfahrung delegiert wird, während interne Mitarbeitende die operative Umsetzung tragen.

Die Verwechslung beider Rollen ist die häufigste Falle bei der Vergabe. Ein externer ISB ist in der Regel auf operative Themen ausgerichtet: Asset-Inventar, technische und organisatorische Maßnahmen, Awareness-Maßnahmen, Vorfallsbearbeitung, Audit-Vorbereitung. Tagessätze liegen typischerweise zwischen 900 und 1.400 Euro netto. Ein externer CISO arbeitet auf Geschäftsleitungsebene: Sicherheitsstrategie, Risiko-Appetit, Investitionsentscheidungen, Berichtswesen an den Aufsichtsrat, Versicherungs- und Behördenkommunikation. Tagessätze 1.400 bis 2.200 Euro netto, je nach Branche und Seniorität.

Praktisch bedeutet das: Wer einen externen Dienstleister einkauft, der nur Tickets schließt und Vorlagen ausfüllt, hat keinen CISO, sondern einen ISB. Wer dagegen Sicherheitsstrategie, Risiko-Reporting und C-Level-Kommunikation einkauft, aber keine operative Hand am System hat, braucht zusätzlich einen ISB. In der Realität setzt sich ein Mischmodell durch: externer CISO mit definiertem Stundenkontingent für Strategie und Berichtslinie, plus internes oder externes ISB-Team für die operative Umsetzung. Die schriftliche Bestellung muss beide Rollen sauber trennen, damit Haftung und Eskalation eindeutig sind. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Ein typisches Mandat startet mit einer Standortbestimmung. In den ersten vier Wochen erfolgt die Sichtung vorhandener Dokumentation: Sicherheitsrichtlinien, Risiko-Inventar, ISMS-Status, NIS-2-Selbsteinordnung, vorhandene Audit-Berichte, Vorfälle der letzten 24 Monate. Daraus entsteht eine Gap-Analyse mit priorisierter Maßnahmenliste und einer Roadmap, die auf eine ISO/IEC 27001:2022-Zertifizierung oder die NIS-2-Konformität ausgerichtet ist.

Monate zwei bis sechs: Aufbau oder Konsolidierung des ISMS, Pflege des Risiko-Inventars, Einführung oder Überarbeitung der Sicherheitsrichtlinien, Schulungsprogramm für Geschäftsleitung (nach § 38 NIS2UmsuCG) und Mitarbeitende. Monate sieben bis zwölf: interne Audits, Vorbereitung der Zertifizierung, Reporting an die Geschäftsführung im Quartalsrhythmus, Aufbau des 24/72-Meldepfads für NIS-2. Aufwände schwanken: Im Startquartal sind 12 bis 16 Tage pro Monat realistisch, im Steady-State 4 bis 8 Tage. Audit- und Vorfallphasen erhöhen den Bedarf temporär. Das Reporting an die Geschäftsführung ist nicht delegierbar und muss vom CISO persönlich getragen werden, was die Mandatsstruktur prägt.

Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) ändert die Verantwortungsverteilung. Nach § 38 NIS2UmsuCG haftet die Geschäftsleitung persönlich für die Umsetzung der Sicherheitsmaßnahmen nach § 30 NIS2UmsuCG, einschließlich Risikomanagement, Vorfallsbehandlung und Lieferketten-Sicherheit. Diese Verantwortung ist nicht delegierbar. Der CISO unterstützt die Geschäftsleitung, übernimmt aber nicht deren Haftung. Was der CISO leistet: Vorbereitung der Entscheidungen, Risiko-Briefings, Dokumentation, Schulung der Geschäftsleitung (jährliche Pflicht), Vorbereitung der Meldungen an das BSI.

Die NIS-2-Meldepflichten verlangen eine Frühwarnung innerhalb von 24 Stunden, eine Erstmeldung innerhalb von 72 Stunden und einen Abschlussbericht nach einem Monat. Das setzt einen funktionierenden 24/72-Meldepfad voraus, den der CISO etabliert und regelmäßig übt. Bußgelder reichen nach § 65 NIS2UmsuCG bis 10 Mio. Euro oder 2 % des Konzernumsatzes für wesentliche Einrichtungen, bis 7 Mio. Euro oder 1,4 % für wichtige Einrichtungen. Frist läuft ab Kenntnis. Der externe CISO sorgt dafür, dass „Kenntnis" definiert ist und der Pfad zwischen IT-Operations und Geschäftsleitung ohne Reibung funktioniert, weil im Ernstfall keine Zeit ist, die Zuständigkeiten erst zu klären.

Ein belastbares Mandat enthält fünf Elemente. Erstens: schriftliche Bestellung mit Aufgabenkatalog, Verantwortlichkeiten und Berichtslinie. Zweitens: monatliches Stundenkontingent mit definiertem Maximum für Routine, plus separates Kontingent für Vorfälle und Audits. Drittens: Eskalationsregel mit klaren Schwellen, wann der CISO die Geschäftsleitung benachrichtigt (z. B. meldepflichtiger Sicherheitsvorfall, signifikantes Compliance-Risiko, materieller Audit-Befund). Viertens: Vertraulichkeit und Datenschutz, einschließlich Auftragsverarbeitung nach Art. 28 DSGVO. Fünftens: Beendigungs- und Übergaberegeln.

Die Berichtslinie geht direkt an die Geschäftsführung, nicht an die IT-Leitung. Diese Trennung ist nach ISO/IEC 27001:2022 Klausel 5.3 vorgegeben und schützt vor Interessenkonflikten. Mindestens quartalsweise erfolgt ein schriftlicher Bericht mit Risiko-Status, Maßnahmen-Fortschritt, offenen Punkten und Empfehlungen. Bei Vorfällen, Audit-Befunden oder regulatorischen Änderungen erfolgt ad-hoc-Berichterstattung. Mit der CIVAC Compliance-Plattform und Officer-as-a-Service liegen Vorlagen für Bestellurkunde, Quartalsbericht, Risikoinventar und Maßnahmenplan bereit, Versionierung und Ablage erfolgen prüffest im Workspace mit EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Eine interne CISO-Stelle inkl. Lohnnebenkosten, Schulungsbudget, Tools und Vertretungsregelung liegt im deutschen Markt bei 180.000 bis 260.000 Euro jährlich, abhängig von Branche und Standort. Hinzu kommt die Risikoperiode der Vakanz: Personalsuche und Onboarding dauern sechs bis zwölf Monate, in denen die Verantwortung organisatorisch ungeklärt bleibt. Ein externes Mandat mit 6 bis 10 Manntagen pro Monat im Steady-State liegt bei 110.000 bis 220.000 Euro jährlich, je nach Tagessatz und Branche.

Der Vergleich rein nach Kosten ist trügerisch. Entscheidender sind drei Faktoren: erstens die Skalierbarkeit, weil externe Mandate flexibel anpassbar sind, etwa bei einer Zertifizierungsphase oder einem Vorfall. Zweitens die Senior-Erfahrung, weil externe CISOs aus mehreren Mandaten Quervergleiche und Best Practices einspeisen. Drittens die Risikoabdeckung, weil ein Dienstleister-Modell typischerweise eine Vertretung garantiert, während die interne Einzelperson Urlaubs- und Krankheitsphasen nicht abdeckt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Für die Geschäftsführung zählt am Ende, dass das Risiko getragen, dokumentiert und nachweisbar gemanagt ist, unabhängig davon, ob die Person fest angestellt oder mandatiert ist.

Ein externer CISO ist kein Allheilmittel. Drei Voraussetzungen entscheiden, ob das Modell trägt. Erstens: Die Geschäftsleitung muss erreichbar und entscheidungsbereit sein. Wenn Quartalsberichte ohne Reaktion versanden, scheitert die Steuerung. Zweitens: Es braucht eine operative Gegenstelle im Haus, sei es ein interner ISB, ein IT-Leiter mit Sicherheitsverantwortung oder ein externes ISB-Team. Ein CISO ohne Hände vor Ort kann strategisch beraten, aber keine Maßnahmen umsetzen. Drittens: Es braucht eine Plattform, in der Risiken, Maßnahmen, Berichte und Nachweise prüffest gehalten werden, sonst entsteht Reibung an den Übergabepunkten.

Die Plattform ist kein Selbstzweck. Bei einem ISO/IEC 27001:2022-Audit prüft der Auditor 93 Controls, dokumentiert in der Erklärung zur Anwendbarkeit (SoA). Bei einer NIS-2-Prüfung verlangt das BSI Nachweise zu Risikomanagement, Vorfallsbehandlung, Schulung und Lieferanten. Beide Anforderungen lassen sich in einem strukturierten Workspace führen, der Versionierung, Wiedervorlage und Berichtslinie abbildet. Wer das in Excel führt, scheitert spätestens beim zweiten Audit. Wer es in einer Plattform mit 37 Audit-Vorlagen und einem 24/72-Meldepfad führt, hat den Auditor in zwei Tagen durch das Haus.

Die Vergabe eines CISO-Mandats verlangt eine andere Prüfung als ein gewöhnliches IT-Service-Mandat. Sechs Kriterien sind entscheidend. Erstens: Senior-Erfahrung der konkret eingesetzten Person, nicht nur des Anbieter-Profils. Lassen Sie sich die Lebensläufe der namentlich vorgesehenen CISOs zeigen, nicht nur eine Firmenpräsentation. Zweitens: Branchenerfahrung, weil regulierte Sektoren (Finanz, KRITIS, Gesundheit) spezifische Anforderungen mitbringen, die ohne Vorerfahrung Lernkurve kosten.

Drittens: Vertretungsregelung, damit Urlaub und Krankheit keine Lücken erzeugen. Viertens: Plattform und Werkzeuge, die der Anbieter mitbringt, einschließlich Datenresidenz und Zertifizierungen des Anbieters selbst. Fünftens: Referenzen, idealerweise aus vergleichbarer Größenordnung und Branche. Sechstens: Vertragsmodell mit klarem Aufgabenkatalog, Stundenkontingenten, Eskalationswegen und Beendigungsregelung. Die CIVAC Compliance-Plattform und Officer-as-a-Service liefert beides: namentlich bestellte Officers mit ISO/IEC 27001 Lead Auditor- und BSI-Qualifikationen plus den Workspace mit Bestellurkunde, Audit-Vorlagen, 24/72-Meldepfad, EU-Datenresidenz und ISO 27001:2022 ISMS. Der Prüfer ruft an, der Nachweis liegt bereit.

Wenn die Geschäftsleitung in Ihrem Haus die NIS-2-Verantwortung formal trägt, aber keine senior besetzte Sicherheitsführung hat, ist der Handlungsbedarf klar. Wenn ein ISMS angestrebt wird, die Person für Strategie und Berichtslinie aber nicht in den nächsten Monaten verfügbar ist, ebenfalls. Das externe Mandat ist die schnellere Lösung, ohne die strategische Verantwortung an einen Dienstleister mit Bauchladen zu übergeben.

CIVAC stellt die Compliance-Plattform und Officer-as-a-Service: bestellte CISOs und ISBs mit dokumentiertem Qualifikationsprofil, Workspace mit Bestellurkunde, Risikoinventar, Audit-Vorlagen, 24/72-Meldepfad und Berichtslinie, ISO 27001:2022 ISMS, EU-Datenresidenz. Wahlweise mit Ihren internen Beauftragten oder mit unseren bestellten Officers. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder buchen Sie ein 30-minütiges Strategiegespräch über das Kontaktformular. Sie erhalten innerhalb von zwei Werktagen eine Einschätzung des Mandatsumfangs und einen Bestellvorschlag.