Externer CISO vs. interner CISO: Kostenvergleich, Risiken und Auswahlkriterien
Ein interner CISO kostet inklusive Nebenkosten 180.000 bis 280.000 Euro pro Jahr. Externe CISO-as-a-Service-Modelle liegen je nach Tiefe bei 36.000 bis 180.000 Euro. Wann sich welche Variante rechnet, zeigt dieser Vergleich.
Der Chief Information Security Officer (CISO) verantwortet die strategische und operative Steuerung der Informationssicherheit. Mit dem Inkrafttreten von NIS-2 in Deutschland im Jahr 2026, der Verschärfung der Cybersicherheitsanforderungen nach DORA für Finanzunternehmen seit Januar 2025, dem auslaufenden Übergang zu ISO/IEC 27001:2022 bis Oktober 2026 und steigenden Anforderungen aus TISAX, KRITIS und C5 stellt sich für rund 29.500 NIS-2-betroffene Unternehmen die Frage: eigener CISO im Haus oder externer CISO als Service. Beide Modelle haben harte Anwendungsfälle und ebenso klare Grenzen, die sich in DACH-Marktzahlen quantifizieren lassen.
Dieser Beitrag liefert einen Kostenvergleich mit konkreten DACH-Markt-Zahlen für 2026, eine Risikobewertung der beiden Modelle, einen Entscheidungsbaum nach Unternehmensgröße und Auditdruck sowie Hinweise zur Vertragsgestaltung und Verantwortungsverteilung nach § 130 OWiG. Sie erfahren, warum die Personalkosten nur ein Drittel der echten Gesamtkosten eines internen CISOs ausmachen, welche typischen Stundensätze externe CISOs in Deutschland aufrufen, wie Sie eine hybride Lösung mit klar definierten Schnittstellen aufbauen und warum die Bestellurkunde am Ende über die Verteidigungslinie im Schadenfall entscheidet. CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service mit Workspace, 93 Controls nach ISO/IEC 27001:2022, 490 Audit-Vorlagen, NIS-2 24/72-Meldepfad und EU-Datenresidenz nach Standard.
Auf einen Blick
- Interner CISO: Vollkosten 180.000 bis 280.000 Euro pro Jahr (Gehalt, Nebenkosten, Tools, Weiterbildung, Vakanzrisiko). Externer CISO: 36.000 bis 180.000 Euro je nach Tiefe und Engagement.
- Externer CISO rechnet sich klar bei Unternehmen unter 500 Mitarbeitenden, bei plötzlichem Compliance-Druck (NIS-2, DORA, Audit) oder zur Überbrückung von Vakanzen mit dokumentierter Berichtslinie.
- Hybride Modelle (interner CISO + externer ISMS-Officer mit Workspace) verbinden strategische Verankerung mit Skalierbarkeit und reduzieren das Single-Point-of-Failure-Risiko bei Personalausfall.
Kostenstruktur eines internen CISOs: Was Sie wirklich zahlen
Die Bruttojahresgehälter für interne CISOs in Deutschland liegen 2026 laut Gehaltsstudien von Robert Half, Hays und Heuse-Hofmann zwischen 110.000 Euro (KMU, 250 bis 500 Mitarbeitende) und 220.000 Euro (Konzern, ab 5.000 Mitarbeitende). In regulierten Branchen wie Banken, Versicherungen oder kritischer Infrastruktur kommen 10 bis 20 Prozent Aufschlag hinzu. Variable Vergütungen liegen bei 15 bis 25 Prozent des Grundgehalts und werden an ISMS-Zielen, Audit-Ergebnissen und Incident-Kennzahlen ausgerichtet.
Die echten Vollkosten gehen über das Gehalt deutlich hinaus. Arbeitgeberanteil zur Sozialversicherung (rund 20 Prozent), Pensionsrückstellungen, Dienstwagen oder Mobilitätspauschale, Equipment, Schulungsbudget (mindestens 5.000 bis 10.000 Euro jährlich für Zertifizierungen wie CISSP, CISM, CISA), Konferenzen, Werkzeugkosten für GRC- und Schwachstellenscanner sowie Vakanzrisiko addieren sich zu Vollkosten von 180.000 bis 280.000 Euro jährlich. Bei Konzern-CISOs in DACH liegen die Vollkosten häufig über 350.000 Euro.
Ein häufig übersehener Faktor ist die Rekrutierungszeit. Eine CISO-Stelle ist in Deutschland 2026 im Durchschnitt 5 bis 9 Monate vakant, in regulierten Branchen länger. Während der Vakanz liegt die Verantwortung de jure bei der Geschäftsführung, de facto häufig bei einer Stellvertretung ohne Mandat und ohne Budget. Wer hier mit einem externen CISO als Officer-as-a-Service überbrückt, sichert die Berichtslinie auch in der Übergangsphase. CIVAC liefert die ISB-Rolle als Service oder als Workspace-Lizenz für interne Beauftragte, mit Übergabe in 2 Werktagen statt 2-6 Wochen klassisch und vollständiger Bestellurkunde. So bleibt die Berichtslinie an die Geschäftsführung lückenlos und das ISMS verliert in der Übergangsphase nicht an Reifegrad, während Audits und NIS-2-Meldepflichten weiter zuverlässig bedient werden.
Kostenstruktur eines externen CISOs: Tagessätze, Pakete, Erfolgsmodelle
Externe CISO-Leistungen werden in drei Modellen angeboten: Tages- oder Stundensatz, Festpaket pro Monat oder Quartal, Erfolgs- oder zielbasierte Modelle. Die Tagessätze für externe CISOs in Deutschland 2026 liegen je nach Erfahrungsstufe und Industrie bei 1.500 bis 2.800 Euro. Stundensätze bewegen sich zwischen 200 und 380 Euro. Reine Beratungseinsätze sind kostspielig, wenn dauerhaft Verantwortung übernommen werden soll.
Festpakete sind das übliche Modell für Officer-as-a-Service. Ein Einsteigerpaket (Basis-ISMS, ein Standort, monatlicher Status, Quartalsbericht) liegt bei 3.000 bis 4.500 Euro pro Monat. Ein mittleres Paket (mehrere Standorte, NIS-2-Beauftragung, monatliche Berichte, 8 bis 12 Stunden Beratung) liegt bei 6.000 bis 9.000 Euro pro Monat. Ein Premium-Paket (Konzernstruktur, mehrere Beauftragtenrollen, Audit-Begleitung, On-Site-Tage) liegt bei 12.000 bis 18.000 Euro pro Monat. Jahreskosten: 36.000 bis 216.000 Euro.
Erfolgsmodelle koppeln einen Teil der Vergütung an konkrete Ergebnisse: erfolgreiche Erstzertifizierung nach ISO/IEC 27001:2022, Bestehen eines NIS-2-Audits, Reduktion der MTTR (Mean Time to Respond) auf eine Zielgröße. Sie sind selten als Hauptmodell, häufig als Bonuskomponente. Die Verantwortung für die Schadenseintrittsverhinderung lässt sich nicht vollständig outsourcen, weil die letzte Verantwortung gemäß § 130 OWiG bei der Geschäftsführung verbleibt. Externe CISOs übernehmen Bestellungsrolle und operative Steuerung, die Geschäftsführung trägt die Aufsichts- und Organisationspflicht. Diese Verteilung sollte vertraglich präzise geregelt werden, mit Berichtslinie, Eskalationsstufen, SLAs für Erreichbarkeit und einer Vertretungsregelung für Urlaubs- und Krankheitsfälle. Bestellurkunde, unterschrieben, abgelegt, belegbar. Im CIVAC-Workspace stehen Vertragsvorlage, RACI-Matrix und Bestellurkunde als Pakete bereit, sodass die Verantwortungsverteilung in der Praxis nicht im Maileingang versandet, sondern als belegbarer Nachweis vorliegt. EU-Datenresidenz nach Standard, Übergabe in 2 Werktagen statt 2-6 Wochen klassisch, abgestimmt auf NIS-2-Pflichten und Audit-Termine.
Welche Variante passt: Entscheidungsbaum nach Größe und Auditdruck
Die Wahl zwischen internem und externem CISO ist keine Bauchentscheidung, sondern lässt sich strukturieren. Drei Achsen bestimmen die Antwort: Unternehmensgröße (Mitarbeitende, Umsatz, Standorte), regulatorische Tiefe (NIS-2 wesentlich vs. wichtig, DORA, ISO/IEC 27001:2022, TISAX, KRITIS) und ISMS-Reifegrad (initial, definiert, gemessen, optimiert).
Unternehmen mit unter 250 Mitarbeitenden, einem Standort und mittlerem Compliance-Druck wählen in der Regel den externen CISO als Officer-as-a-Service. Die Last eines Vollzeit-CISOs ist nicht ausgelastet, die Kosten stehen im Missverhältnis zum Risikoportfolio. Bei 250 bis 1.000 Mitarbeitenden mit NIS-2-Pflicht oder ersten Audit-Anforderungen bietet sich ein hybrides Modell an: ein interner ISB mit halber Stelle (etwa Bestandsmitarbeiter mit Fortbildung) und ein externer ISB-Beauftragter als Backup und für Spitzenlast. Ab 1.000 Mitarbeitenden mit mehreren Standorten und harten Regulierungsanforderungen ist ein interner CISO mit eigenem Team Standard, ergänzt durch externe Spezialisten für Audits und Incident-Forensik.
Die Audit-Anforderungen kippen die Entscheidung schnell. Wer eine ISO/IEC 27001:2022-Erstzertifizierung in unter 12 Monaten erreichen muss, weil ein Kunde es verlangt, kann das mit internen Kapazitäten selten leisten. Externe CISO-Leistungen mit dem Bündel von 93 Controls, 490 Audit-Vorlagen und einem strukturierten Workspace verkürzen die Vorbereitung deutlich. Der Prüfer ruft an, der Nachweis liegt bereit. CIVAC begleitet diese Phasen als Officer-as-a-Service mit Übergabe in 2 Werktagen und vollständiger Dokumentation an die Geschäftsführung, sodass die Berichtslinie auch in der Hochphase belastbar bleibt und nachgelagerte Audits ohne Reibungsverluste durchlaufen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.
Verantwortung und Haftung: Was sich nicht outsourcen lässt
Die rechtliche Verantwortung für die Informationssicherheit verbleibt nach § 130 OWiG bei der Unternehmensleitung. Ein externer CISO übernimmt operative Verantwortung als Beauftragter, ersetzt aber nicht die Aufsichts- und Organisationspflicht der Geschäftsführung. Diese Trennung ist nicht nur akademisch: Im Schadenfall, etwa nach einem Ransomware-Vorfall mit Datenabfluss, prüfen Aufsichtsbehörden und Strafverfolger genau, ob die Geschäftsführung ihre Pflichten erfüllt hat, unabhängig vom CISO-Modell.
Konkret bedeutet das: Die Beauftragung des externen CISOs erfolgt schriftlich, mit klarer Aufgabenbeschreibung, Berichtslinie an die Geschäftsführung, Eskalationsstufen, Erreichbarkeits-SLA (etwa 24/7 für sicherheitskritische Vorfälle) und Vertretungsregelung. Die Geschäftsführung organisiert ein internes Schnittstellen-Team (etwa IT-Leitung, Datenschutz, HR, Kommunikation), das mit dem externen CISO zusammenarbeitet. Ohne dieses interne Gegenüber arbeitet der externe CISO im luftleeren Raum.
Die Haftung des externen CISOs richtet sich nach dem Dienstvertrag und ist üblicherweise auf einen Vielfachenbetrag der Jahresvergütung begrenzt. Eine D&O-Versicherung des Auftraggebers schützt die Geschäftsführung, deckt aber nicht den externen Berater. Wer einen externen CISO beauftragt, prüft dessen Berufshaftpflicht und Vermögensschadenhaftpflicht mit ausreichender Deckungssumme (üblich 5 bis 10 Millionen Euro). Im NIS-2-Kontext mit Bußgeldern bis 10 Mio. Euro oder 2 Prozent Konzernumsatz sind diese Summen relevant. Im CIVAC-Modell übernimmt die Plattform die Bestellurkunden-Dokumentation, die Berichtslinie und die Eskalationsstufen automatisch und liefert die Haftungsabgrenzung vertraglich präzise. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. EU-Datenresidenz ist Standard, sodass Verträge und Berichte die Region nicht verlassen. Audit-fest, dokumentiert, § 130 OWiG-fest. Diese Trennung macht die Haftung beherrschbar, ohne die operative Verantwortung an einen externen Partner abzugeben.
Aufgabenpaket im Vergleich: Was tut der CISO konkret
Die Aufgaben eines CISOs lassen sich in fünf Cluster gliedern: Governance und Strategie (Sicherheitsleitlinie, Risikomanagement, Reporting an Geschäftsführung und Aufsichtsrat), ISMS-Betrieb (Aufbau, Pflege, Auditbegleitung nach ISO/IEC 27001:2022 und BSI IT-Grundschutz), Operative Sicherheit (Vulnerability Management, Patch Management, Identity und Access Management), Incident Response (24/7-Bereitschaft, Forensik, Krisenkommunikation, NIS-2 24/72-Meldepfad) und Compliance (DSGVO, NIS-2, DORA, TISAX, regulatorisches Reporting).
Ein interner CISO mit fünfköpfigem Team deckt alle fünf Cluster mit hoher Verfügbarkeit ab, ist aber bei Spezialfragen (Cloud-Sicherheit, OT-Security, KI-Sicherheit) auf externe Spezialisten angewiesen. Ein externer CISO als Service deckt typischerweise Cluster 1, 2 und 5 vollständig ab, Cluster 3 in Beratung und Steuerung, Cluster 4 in Steuerung und auf Abruf, oft mit angeschlossenem SOC- oder MDR-Partner.
Die Verteilung sollte im Vertrag oder im Mandatsbrief stehen. Eine RACI-Matrix (Responsible, Accountable, Consulted, Informed) für jede Hauptaufgabe verhindert Lücken. Beispiel: Bei einem Incident ist der externe CISO Responsible für die Erstanalyse, die Geschäftsführung ist Accountable für die externe Kommunikation, der interne IT-Leiter ist Consulted für die technische Lage, die Rechtsabteilung ist Informed. Wer hier sauber arbeitet, vermeidet Reibungsverluste in der Krise, wenn jede Minute zählt. Frist läuft ab Kenntnis. Die NIS-2-Frühwarnung muss innerhalb von 24 Stunden, die Folgemeldung innerhalb von 72 Stunden erfolgen. Der CIVAC-Workspace bildet diese RACI-Matrix mit Eskalationsstufen ab und stellt für jeden Beauftragten Rolle, Aufgabe und Kontakt im Klartext dar, sodass auch unter Druck keine Frage offen bleibt. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Klarheit reduziert die Mean Time to Respond messbar.
Hidden Cost: Was in den Vergleichsrechnungen oft fehlt
Ein ehrlicher Kostenvergleich umfasst mehr als Gehalt vs. Tagessatz. Bei einem internen CISO fallen vier Posten oft unter den Tisch. Erstens das Toolset: GRC-Plattform (SAP GRC, ServiceNow GRC, archer, oder spezialisierte Tools), Schwachstellenscanner, Awareness-Training-Plattform, SIEM- oder SOC-Anbindung, Threat-Intelligence-Feeds. Realistische Tool-Kosten für einen mittelständischen ISMS-Aufbau liegen bei 40.000 bis 90.000 Euro jährlich. Zweitens die Schnittstellen-Kosten in der Organisation: IT-Team-Stunden, Personalabteilung, Rechtsabteilung, Datenschutz, Audit-Vorbereitung.
Drittens das Vakanzrisiko: Eine CISO-Stelle ist bei Wechsel typischerweise 5 bis 9 Monate vakant, die Übergabe braucht weitere 2 bis 3 Monate. In dieser Zeit erleidet das ISMS einen Reifegradverlust, Audits werden verschoben, Risiken steigen messbar. Wenn das Vakanzrisiko mit nur 10 Prozent jährlicher Eintrittswahrscheinlichkeit und 6 Monaten Auswirkungsdauer angesetzt wird, ergibt sich ein impliziter Risikoaufschlag von 5 Prozent der Jahresvollkosten. Viertens das Burn-out-Risiko: CISOs sind Spitzenreiter in Krankheits- und Erschöpfungsstatistiken in IT-Berufen, was zu unplanmäßigen Ausfällen führt.
Bei einem externen CISO als Service sind Tooling-Kosten teilweise im Paket enthalten (etwa der CIVAC-Workspace mit ISMS-Vorlagen, Berichtslinie, Audit-Vorlagen), Vakanzrisiko ist durch Vertretungsregelung im Pool reduziert. Dafür gibt es andere Hidden Costs: Onboarding und Wissensaufbau beim Wechsel, möglicherweise begrenzte Verfügbarkeit in akuten Lagen, abhängig vom SLA. Eine ehrliche Rechnung berücksichtigt diese Posten beidseitig und kommt selten zu einer pauschalen Antwort. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Diese Disziplin macht die echten Kosten sichtbar und verhindert, dass eine vermeintlich günstige Variante im Audit oder im Incident plötzlich zur teuersten Option wird, weil Dokumentation, Vertretung und Eskalation nicht greifen.
Hybride Modelle: Interner CISO plus externer ISB
In der Praxis setzen viele mittlere und große Unternehmen auf hybride Modelle. Ein interner CISO trägt die strategische Verantwortung und ist Ansprechpartner für Geschäftsführung und Aufsichtsrat. Ein externer ISB übernimmt Audit-Vorbereitung, Spezialthemen (NIS-2-Konformität, ISO/IEC 27001:2022-Umstellung, DORA-Implementierung) und Vertretung bei Ausfall. Die Schnittstelle ist klar dokumentiert, beide arbeiten auf derselben Plattform.
Dieses Modell verbindet drei Vorteile. Erstens die strategische Verankerung im Unternehmen durch den internen CISO, der die Kultur, die Stakeholder und die Geschäftsfelder kennt. Zweitens die Spezialisten-Tiefe und Skalierbarkeit des externen ISB, der Erfahrung aus mehreren Häusern mitbringt und kurzfristig hochfahren kann. Drittens die Risikominderung durch Doppelbesetzung kritischer Funktionen: Bei Ausfall einer Seite springt die andere ein, mit dokumentiertem Übergabeprotokoll im Workspace.
Voraussetzung ist eine saubere Schnittstellenarchitektur. Der interne CISO bleibt accountable für die Sicherheitsleitlinie, der externe ISB ist responsible für definierte Workstreams (z. B. NIS-2-Erstaudit, Cloud-Security-Konzept, Tisax-Renewal). Im CIVAC-Workspace sind die Aufgabenpakete als Pakete hinterlegt, mit Frist, Verantwortlichem und Statusanzeige. Berichte fließen automatisch in die Berichtslinie an die Geschäftsführung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Diese Variante ist häufig die belastbarste, weil sie die strategische Verankerung und die operative Schlagkraft eines Pools verbindet, ohne dass eine Person Single Point of Failure wird. Audit-fest, dokumentiert, § 130 OWiG-fest. Bestellurkunden für beide Rollen werden im Workspace mit Aufgabenbeschreibung, Stundenkontingent und Berichtslinie geführt, sodass interne und externe Verantwortung sichtbar ineinandergreifen. Die hybride Variante reduziert das Single-Point-of-Failure-Risiko bei Personalausfall und sichert die Auditfähigkeit auch dann, wenn der interne CISO temporär ausfällt oder das externe Mandat endet.
Vertragsgestaltung externer CISO: Worauf Sie achten sollten
Ein belastbarer Vertrag mit einem externen CISO regelt zehn Punkte. Erstens Leistungsumfang: konkrete Aufgaben, Verantwortlichkeiten, Abgrenzung zum internen Team, RACI-Matrix als Anlage. Zweitens Erreichbarkeit und SLA: Reaktionszeit auf Anfragen (in Werktagen oder Stunden), 24/7-Erreichbarkeit für sicherheitskritische Vorfälle, Vertretungsregelung bei Ausfall. Drittens Berichtswesen: Rhythmus (monatlich, quartalsweise), Format (KPI-Dashboard, Bericht, Vor-Ort-Präsentation), Adressaten.
Viertens Vertragslaufzeit und Kündigungsfristen: Üblich sind 12 Monate Erstlaufzeit mit anschließender Verlängerung um je 12 Monate, Kündigungsfrist 3 Monate zum Ende der Laufzeit. Bei Notfallaustritt sollte eine geordnete Übergabe innerhalb von 30 Tagen mit dokumentiertem Übergabeprotokoll geregelt sein. Fünftens Vergütung: Festpreis, Stundenkontingent, Mehrleistung, Sondereinsätze für Incidents, Spesen und Reisekosten. Sechstens Haftung: Haftungsbegrenzung, Versicherungsnachweis, Freistellungsklauseln.
Siebtens Vertraulichkeit und Datenschutz: NDA, Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO, Subunternehmer-Regelung, EU-Datenresidenz. Achtens Wettbewerbsverbot oder Mandatsbeschränkung in derselben Branche, falls relevant. Neuntens Übergabeklausel bei Vertragsende: Vollständige Dokumentation, Wissenstransfer, Geheimnisrückgabe. Zehntens Audit- und Inspektionsrecht: Der Auftraggeber kann die Leistung des externen CISOs prüfen, idealerweise über Plattform-Logs und Berichte. CIVAC bildet diese zehn Punkte als Vertragsvorlage ab und stellt im Workspace nachvollziehbare Logs für jede Beauftragten-Tätigkeit bereit, einschließlich der Bestellurkunde, der Aufgabenbeschreibung und der Berichtslinie an die Geschäftsführung. Bestellurkunde, unterschrieben, abgelegt, belegbar. EU-Datenresidenz ist Standard, sodass Verträge und Berichte die Region nicht verlassen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen, mit Übergabe in 2 Werktagen statt 2-6 Wochen klassisch und vollständigem Audit-Trail. Der Prüfer ruft an, der Nachweis liegt bereit. So bleibt die Vertragsgestaltung kein juristisches Papier, sondern wird zur operativen Routine.
Entscheidung treffen: Empfehlung nach Reifegrad und Auditdruck
Die Entscheidung zwischen internem CISO, externem CISO und hybridem Modell ist keine Glaubensfrage, sondern eine Funktion aus Reifegrad, Auditdruck, Unternehmensgröße und Budget. Drei Faustregeln helfen. Erste Regel: Unter 250 Mitarbeitende, mittlere Compliance-Last, kein hartes Audit binnen 12 Monaten:externer CISO als Service mit klarem Officer-Mandat. Zweite Regel: 250 bis 1.000 Mitarbeitende, NIS-2-Pflicht, erste Audits:hybrides Modell mit halbem ISB intern und externem Officer als Backup und Spezialist.
Dritte Regel: Ab 1.000 Mitarbeitende, mehrere Standorte, harte Regulierung (NIS-2 wesentlich, DORA, KRITIS):interner CISO mit Team, externe Spezialisten für definierte Workstreams. In allen drei Konstellationen gilt: Der Workspace und die Bestellurkunde müssen ordentlich geführt sein, sonst nützt das beste Modell wenig. Frist läuft ab Kenntnis. Bei NIS-2 zählen 24 Stunden für die Frühwarnung und 72 Stunden für die Folgemeldung.
CIVAC ist die Compliance-Plattform und Officer-as-a-Service, die diese Modelle abbildet. 25 Beauftragten-Rollen sind live, darunter der Informationssicherheitsbeauftragte. 93 Controls nach ISO/IEC 27001:2022, 490 Audit-Vorlagen, NIS-2 24/72-Meldepfad. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Übergabe in 2 Werktagen statt 2-6 Wochen klassisch, EU-Datenresidenz nach Standard. Wenn Sie für Ihr Haus die belastbare Kostenrechnung und das passende Modell bewerten möchten, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular. Wir liefern eine konkrete Empfehlung mit Modellvergleich, Vertragsvorlage und Übergabeplan, abgestimmt auf Ihren Reifegrad und Auditzeitplan, einschließlich Berichtslinie an die Geschäftsführung und Bestellurkunde. Aus dem Lesen einen Auftrag machen. Der Prüfer ruft an, der Nachweis liegt bereit. Bestellurkunde, unterschrieben, abgelegt, belegbar.
FAQ
Was kostet ein interner CISO in Deutschland 2026 im Schnitt?
Die Bruttojahresgehälter liegen je nach Unternehmensgröße zwischen 110.000 und 220.000 Euro, in Konzernen häufig darüber. Vollkosten inklusive Sozialversicherung, Pensionsrückstellungen, Tools, Schulung und Vakanzrisiko liegen bei 180.000 bis 280.000 Euro jährlich. In regulierten Branchen wie Banken oder kritischer Infrastruktur kommen 10 bis 20 Prozent Aufschlag hinzu, häufig ergänzt um variable Komponenten.
Was kostet ein externer CISO als Service monatlich?
Einstiegspakete (Basis-ISMS, ein Standort, Quartalsbericht) liegen bei 3.000 bis 4.500 Euro pro Monat. Mittlere Pakete (mehrere Standorte, NIS-2-Beauftragung, monatlicher Bericht) bei 6.000 bis 9.000 Euro. Premium-Pakete (Konzernstruktur, mehrere Rollen, Audit-Begleitung) bei 12.000 bis 18.000 Euro pro Monat. Tagessätze für punktuelle Einsätze: 1.500 bis 2.800 Euro. Erfolgsmodelle ergänzen Festpakete häufig um Bonuskomponenten an Audit-Ergebnissen.
Wann lohnt sich ein externer CISO eindeutig?
Bei Unternehmen unter 500 Mitarbeitenden ohne Spezialteam, bei plötzlichem Compliance-Druck (NIS-2, DORA, ISO-Erstzertifizierung in unter 12 Monaten), zur Überbrückung von Vakanzen oder zur Spitzenlast bei Audits. Auch in der Übergangsphase nach Personalwechsel verhindert ein externer CISO als Officer-as-a-Service Reifegradverlust und sichert die Berichtslinie an die Geschäftsführung dokumentiert ab, mit vollständiger Bestellurkunde im Workspace.
Lässt sich die Verantwortung vollständig auf den externen CISO übertragen?
Nein. Die Aufsichts- und Organisationspflicht der Geschäftsführung nach § 130 OWiG bleibt bestehen und ist nicht delegierbar. Der externe CISO übernimmt operative Verantwortung als Beauftragter mit Bestellurkunde, die Geschäftsführung trägt die letzte Verantwortung. Diese Verteilung ist vertraglich präzise zu regeln, mit RACI-Matrix, Eskalationsstufen und dokumentierter Berichtslinie an die oberste Leitungsebene sowie nachvollziehbarem Audit-Trail im Workspace.
Wie lange ist eine CISO-Stelle bei Vakanz unbesetzt?
Im Durchschnitt 5 bis 9 Monate, in regulierten Branchen länger. Während der Vakanz liegt die Verantwortung de jure bei der Geschäftsführung. Externer CISO als Service überbrückt die Phase mit dokumentierter Bestellurkunde, sodass Audits und Incident-Response trotz personeller Lücke laufen. CIVAC liefert die Übergabe innerhalb von 2 Werktagen statt 2-6 Wochen klassisch.
Wie unterstützt CIVAC im CISO-Vergleich?
CIVAC stellt den Informationssicherheitsbeauftragten als Service oder den Workspace zur Lizenzierung für interne Beauftragte bereit. 93 Controls nach ISO/IEC 27001:2022, 37 Audit-Vorlagen, NIS-2 24/72-Meldepfad und Bestellurkunden-Workflow sind integriert. EU-Datenresidenz nach Standard, Übergabe in 2 Werktagen statt 2-6 Wochen klassisch. Lizenzieren Sie den Workspace für interne Beauftragte oder lassen Sie unsere Beauftragten bestellen.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.