77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Externer ISB: Wann sich der Informationssicherheitsbeauftragte als Service rechnet
IT-Sicherheit & NIS-2

Externer ISB: Wann sich der Informationssicherheitsbeauftragte als Service rechnet

19. Juli 202612 Min. LesezeitVon Lena Vogt
CIVAC

Ein externer Informationssicherheitsbeauftragter schließt eine Lücke, die viele Unternehmen erst beim NIS-2-Audit bemerken. Dieser Beitrag zeigt, wann die externe Bestellung schneller, günstiger und audit-fester ist als eine interne Lösung.

Mit der nationalen Umsetzung der NIS-2-Richtlinie im NIS2UmsuCG und der vollständigen Wirksamkeit der Norm ISO/IEC 27001:2022 seit Oktober 2025 ist die Rolle des Informationssicherheitsbeauftragten (ISB) in deutschen Unternehmen vom Nice-to-have zur Pflicht für rund 29.500 betroffene Unternehmen geworden. Die Aufsicht erwartet eine benannte, qualifizierte und unabhängige Person, eine dokumentierte Berichtslinie zur Geschäftsleitung und ein funktionierendes Information Security Management System (ISMS) mit 93 Annex A-Controls. Wer diese Anforderungen mit internen Bordmitteln stemmen will, läuft in den meisten Fällen in eine Personal- und Qualifikationsengpass.

Dieser Beitrag vergleicht den externen ISB mit internen Lösungen entlang von sechs Kriterien, die in NIS-2-Audits und ISO-Zertifizierungen tatsächlich geprüft werden: Bestellung und Unabhängigkeit, Qualifikation und Vertretung, Reaktionszeit auf Sicherheitsvorfälle, Kostenstruktur, Haftungsverteilung und Audit-Defensibilität. Er ist für die typische deutsche mittelständische Konstellation mit 80 bis 500 Mitarbeitenden geschrieben, in der ein Vollzeit-CISO ökonomisch nicht trägt, eine reine IT-Leiter-Doppelfunktion aber rechtlich kritisch ist. CIVAC liefert das Operating Model als Compliance-Plattform und Officer-as-a-Service mit deutscher Rechtsausrichtung.

Auf einen Blick

  • Ein externer ISB ist in der Regel innerhalb von 2 Werktagen mit Bestellurkunde, Stellvertreter und Berichtslinie operativ, gegenüber 2 bis 6 Wochen über klassische Wege.
  • Die 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung nach NIS-2 erfordern einen funktionierenden Meldepfad zum BSI, den externe ISB ab Vertragsbeginn mitbringen.
  • Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, das duale CIVAC-Modell macht die Wahl flexibel.

Rechtlicher Rahmen: NIS-2, BSI-Gesetz und ISO/IEC 27001:2022

Der ISB ist kein einzelner gesetzlicher Begriff, sondern eine Sammelbezeichnung für mehrere Pflichten, die in Summe eine benannte Person mit Sicherheitsverantwortung verlangen. Erstens das BSI-Gesetz in der NIS-2-Fassung: Betreiber kritischer Anlagen, wesentliche und wichtige Einrichtungen müssen Sicherheitsmaßnahmen ergreifen, Vorfälle innerhalb von 24 Stunden frühwarnen und innerhalb von 72 Stunden vollständig melden. Zweitens die Norm ISO/IEC 27001:2022: das ISMS verlangt eine designierte Rolle für den Betrieb, die Wirksamkeitskontrolle und die kontinuierliche Verbesserung der 93 Annex A-Controls.

Drittens sektorspezifische Regelungen: BAIT für Banken, VAIT für Versicherer, KAIT für Kapitalverwaltungsgesellschaften, ZAIT für Zahlungsdienstleister, B3S für KRITIS-Sektoren, TISAX für Automotive-Zulieferer. Viertens vertragliche Pflichten gegenüber Großkunden, die in Lieferantenverträgen regelmäßig einen benannten ISB mit dokumentierter Bestellung fordern. Der externe ISB erfüllt alle vier Anforderungsrahmen aus einer Bestellung, sofern Vertrag und Bestellurkunde den jeweiligen Geltungsbereich präzise abbilden.

CIVAC stellt für jeden externer Informationssicherheitsbeauftragten eine schriftliche Bestellurkunde aus, mit Geltungsbereich, Berichtslinie zur Geschäftsleitung, namentlich genanntem Stellvertreter und Reaktionszeitvereinbarung. Bestellurkunde, unterschrieben, abgelegt, belegbar. Diese formale Grundlage ist im NIS-2-Audit der erste Prüfpunkt.

Unabhängigkeit und Vermeidung von Interessenkonflikten

Der ISB muss unabhängig von der operativen IT-Verantwortung agieren können, weil er die IT-Maßnahmen prüft, bewertet und gegenüber der Geschäftsleitung berichtet. Wenn der Leiter IT gleichzeitig ISB ist, prüft er seine eigene Arbeit, und das ist sowohl unter NIS-2 als auch unter der Norm ISO/IEC 27001:2022 problematisch. Die BaFin formuliert in BAIT Tz. 4.5 explizit, dass eine angemessene Funktionstrennung zwischen Informationssicherheitsmanagement und IT-Betrieb sicherzustellen ist, und die Aufsicht hat diese Trennung mehrfach in Prüfungen angemerkt.

Praktisch bedeutet das: in Unternehmen unter 500 Mitarbeitenden ist die saubere Trennung intern schwer darstellbar, weil eine dedizierte ISB-Stelle die Personalkosten sprengt und die Doppelrolle mit dem IT-Leiter ein Compliance-Risiko bleibt. Der externe ISB löst das strukturell: er hat keine operative IT-Rolle und keine Eigeninteressen am Beschönigen von Befunden. Die Berichtslinie geht direkt an die Geschäftsleitung, dokumentiert mit Zeitstempel und Empfänger im Workspace, und steht für jede Prüfung in Sekunden zur Verfügung.

Ein zweiter Vorteil ist die Distanz zum politischen Tagesgeschäft. Interne ISB stehen unter dem Druck, Maßnahmen zu priorisieren, die ihre internen Stakeholder bevorzugen. Externe Beauftragte bewerten nach Norm und Recht, nicht nach internen Machtverhältnissen, und die Geschäftsleitung erhält eine ungefilterte Risikoeinschätzung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Qualifikation und Stellvertretung: das stille Bestellrisiko

Die NIS-2-Anforderungen und die Norm ISO/IEC 27001:2022 erwarten einen ISB mit nachgewiesener Qualifikation. Branchenüblich sind Zertifizierungen wie ISO/IEC 27001 Lead Implementer und Lead Auditor, CISM, CISSP oder die TÜV-Zertifizierung zum Informationssicherheitsbeauftragten, jeweils mit dokumentierter Berufserfahrung von mindestens drei Jahren in Informationssicherheit oder IT-Audit. Eine interne Aufstockung über Wochenend-Schulungen erfüllt diese Erwartung selten und wird in NIS-2-Prüfungen als Schwachstelle angemerkt.

Das zweite, oft übersehene Risiko ist die Stellvertretung. Der ISB muss erreichbar sein, auch wenn die Hauptperson krank, im Urlaub oder ausgeschieden ist. Bei internen Lösungen fehlt häufig ein qualifizierter Stellvertreter, und das System bricht beim ersten Vorfall in der Urlaubszeit. CIVAC arbeitet konsequent im Team-Modell: jedes Mandat hat einen namentlich benannten Hauptverantwortlichen und einen ebenso qualifizierten Stellvertreter, beide in der Bestellurkunde dokumentiert und im Workspace mit Erreichbarkeiten hinterlegt.

Der dritte Aspekt ist die laufende Weiterbildung. Informationssicherheit ist ein Feld mit hoher Veränderungsrate, von neuen Angriffsmustern bis zu Updates der Norm ISO/IEC 27001 und EU-Regulatorik. Externe ISB amortisieren die laufende Weiterbildung über viele Mandate, interne Beauftragte tragen die Schulungskosten von 5.000 bis 12.000 Euro pro Jahr selbst, und in vielen Unternehmen wird dieses Budget zuerst gekürzt, wenn andere Prioritäten anstehen.

Reaktionszeit: 24 Stunden frühwarnen, 72 Stunden melden

Die NIS-2-Richtlinie verlangt eine Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls und eine vollständige Vorfallsmeldung innerhalb von 72 Stunden, jeweils gegenüber dem BSI. Frist läuft ab Kenntnis, nicht ab Feststellung der Ursache, und das macht den Unterschied. Bei klassischen externen Beauftragten ohne Plattformanbindung und ohne Workspace ist diese Frist regelmäßig nicht haltbar, weil die Eskalationskette über Telefon und E-Mail läuft und die Meldetexte erst formuliert werden, wenn der Vorfall eingetreten ist.

Ein professionell aufgesetzter externer ISB hat den Meldepfad ab Tag eins konfiguriert: das Meldeformular liegt im Workspace, die Empfängeradresse beim BSI ist hinterlegt, die Eskalationskette zur Geschäftsleitung ist mit Telefonnummern und Vertretungsregelungen dokumentiert, und der Stellvertreter ist als Backup automatisch eingebunden. Bei CIVAC ist der NIS-2 24/72-Meldepfad Teil des Standard-Workspaces, und das erste Mandat trägt die Konfiguration bereits in das System ein, lange bevor der erste Vorfall eintritt.

Reaktionszeit-SLA und Verfügbarkeit gehören in die Bestellurkunde. Eine 24/7-Verfügbarkeit für sicherheitsrelevante Vorfälle, eine garantierte Erstreaktion innerhalb von 60 Minuten und eine schriftliche Bewertung innerhalb von 4 Stunden sind realistische Werte für mittelständische Mandate. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Reihenfolge gilt auch für den BSI-Prüfer nach einem Vorfall.

Kostenvergleich über 36 Monate

Der Kostenvergleich zwischen internem und externem ISB ist nur dann ehrlich, wenn alle Komponenten erfasst werden, nicht nur das Bruttogehalt. Für ein mittelständisches Unternehmen mit 150 bis 350 Mitarbeitenden, einem mittleren IT-Komplexitätsgrad und einer NIS-2-Klassifizierung als wichtige Einrichtung ergibt sich folgendes Bild auf 36 Monate. Interner ISB Vollzeit: Bruttogehalt 85.000 bis 110.000 Euro pro Jahr, Arbeitgeberumlage 20 bis 25 Prozent, Schulungen und Zertifizierungspflege 8.000 bis 12.000 Euro pro Jahr, ISMS-Tooling und Audit-Software 10.000 bis 25.000 Euro pro Jahr, Reserve für Stellvertretung 15.000 Euro pro Jahr.

Gesamtkosten 36 Monate für die interne Vollzeit-Variante: 380.000 bis 510.000 Euro. Interner ISB als Doppelfunktion mit IT-Leiter: niedrigere direkte Personalkosten, dafür Compliance-Risiko aus der fehlenden Funktionstrennung, eingeschränkte Audit-Defensibilität bei BaFin und BSI-Prüfungen und ein hoher Risikozuschlag in der internen Bewertung. Externer ISB über CIVAC: jährliche Servicepauschale 12.000 bis 36.000 Euro je nach Geltungsbereich, inklusive Bestellurkunde, Stellvertreter, 490 Audit-Vorlagen, NIS-2-Meldepfad und ISMS-Statement of Applicability. 36 Monate insgesamt 36.000 bis 108.000 Euro.

Der Kostenvorteil des externen Modells ist strukturell, nicht promotional, weil externe Anbieter die Qualifikation und das Tooling über viele Mandate amortisieren. Für Unternehmen ab etwa 2.000 Mitarbeitenden mit eigenem CISO-Team kippt die Rechnung, dort wird die interne Lösung konkurrenzfähig und oft die bessere Wahl. Für den Mittelstand bleibt der externe ISB in der Regel die ökonomisch und rechtlich überlegene Lösung.

Audit-Defensibilität: 93 Controls und das Statement of Applicability

Die Norm ISO/IEC 27001:2022 fordert ein Statement of Applicability (SoA), das alle 93 Annex A-Controls einzeln bewertet: anwendbar oder nicht anwendbar, mit Begründung, umgesetzt oder nicht umgesetzt, Wirksamkeitskontrolle, Verantwortlicher und Nachweis. Das SoA ist das zentrale Dokument der Zertifizierung und der Übergangsfrist von ISO/IEC 27001:2013 auf 2022, deren Wirksamkeit seit Oktober 2025 endgültig ist. Ein interner ISB ohne dedizierte Tools baut das SoA in Excel, und Excel ist im Audit das schwächste Glied der Kette.

Ein externer ISB mit Plattformanbindung liefert das SoA aus dem Workspace, mit jährlicher Pflege, dokumentierten Änderungen je Control, hinterlegten Wirksamkeitskontrollen und einem konsolidierten Bericht an die Geschäftsleitung. Die 490 Audit-Vorlagen von CIVAC decken die typischen Nachweise pro Control ab: Policy-Statements, Maßnahmen, Kontrollnachweise und Reporting-Templates. Im Zertifizierungsaudit fragt der Auditor nach genau diesen Dokumenten, und die Lieferzeit aus dem Workspace beträgt Minuten, nicht Tage.

Im Tagesgeschäft bedeutet das: die jährliche Re-Zertifizierung nach ISO/IEC 27001:2022 ist planbar und ohne Last-Minute-Sprint zu schaffen, der NIS-2-Nachweis gegenüber dem BSI ist aktuell und revisionssicher, und die Lieferantenaudits durch Großkunden lassen sich mit dem gleichen Belegpaket bedienen. Audit-fest, dokumentiert, NIS-2-fest, ISO 27001-fest. Das ist der Maßstab, an dem sich ein externer ISB messen lassen muss.

Wann eine interne Lösung trotzdem sinnvoll ist

Externer ISB ist nicht immer die richtige Antwort, auch wenn die Statistik für den Mittelstand klar ist. Drei Szenarien sprechen für eine interne Besetzung. Erstens große Unternehmen ab 2.000 Mitarbeitenden mit eigener Security-Organisation, dediziertem Budget und mehreren Standorten. Hier ist ein Vollzeit-CISO mit Team das Standardmodell, der externe ISB kommt allenfalls als ergänzende Audit-Sicht hinzu. Die Kostenkurve und die Verfügbarkeitsanforderungen sprechen klar für intern.

Zweitens hochregulierte Branchen mit täglicher Aufsichtsinteraktion wie Banken unter BAIT, Versicherer unter VAIT oder KRITIS-Sektoren unter BSI-Vorgaben mit dauerhaftem Prüfungsdruck. Hier ist die Nähe zum Tagesgeschäft entscheidend, und ein interner ISB kann besser auf laufende Veränderungen reagieren. Drittens hochsensible Forschungs- und Entwicklungsumgebungen, in denen externe Beauftragte aus Geheimhaltungsgründen schwer mit den notwendigen Zugriffen ausgestattet werden können, ohne kommerzielle Risiken einzugehen.

Für die übrigen Konstellationen, die in Deutschland etwa 80 bis 90 Prozent der NIS-2-pflichtigen Unternehmen ausmachen, ist der externe ISB strukturell die bessere Wahl: schneller bestellt, günstiger im Gesamtaufwand, audit-fester durch dedizierte Plattform und Vorlagen, und mit einer Stellvertretung versehen, die intern selten zu organisieren ist. Die Entscheidung wird mit einer 90-Minuten-Bestandsaufnahme tragfähig, in der die sechs Kriterien strukturiert durchgegangen werden.

Integration mit DSB, Compliance Officer und weiteren Beauftragten

Der ISB steht selten allein. In der typischen mittelständischen Pflichtenlandschaft koexistieren mehrere Rollen: Datenschutzbeauftragter nach Art. 37 DSGVO, Compliance Officer nach IDW PS 980, Hinweisgeber-Meldestelle nach HinSchG seit Juli 2023, ESG-Beauftragter für die CSRD-Berichterstattung ab 2026 und 2027, branchenabhängig Geldwäschebeauftragter nach GwG, Gefahrgutbeauftragter nach GbV und weitere. CIVAC deckt 25 dieser Beauftragten-Rollen ab, alle live auf einer einzigen Compliance-Plattform und Officer-as-a-Service.

Der Integrationsvorteil ist operativ. Eine Datenpanne nach Art. 33 DSGVO und ein Sicherheitsvorfall nach NIS-2 entstehen häufig aus demselben Ereignis, derselben forensischen Spur und denselben betroffenen Systemen. Wenn der ISB und der Datenschutzbeauftragte in unterschiedlichen Organisationen mit unterschiedlichen Belegbasen sitzen, sind die 24- und 72-Stunden-Fristen operativ schwer zu halten. Auf einer Plattform mit gemeinsamer Belegbasis löst dasselbe Ereignis beide Workflows aus, mit klarer Verantwortlichkeit und sauberen Zeitstempeln.

Unternehmen, die einen externen ISB ohne Plattform bestellen und die übrigen Rollen über getrennte Kanzleien und Freelancer abdecken, entdecken die Integrationslücke regelmäßig beim ersten ressortübergreifenden Audit. Die Kosten der nachträglichen Konsolidierung sind höher als die Kosten der gleich richtig aufgesetzten Plattformlösung, und der Wechsel ist während laufender Audits kaum sinnvoll planbar.

Den externen ISB innerhalb von 2 Werktagen bestellen

Der praktische Ablauf einer ISB-Bestellung bei CIVAC ist auf 2 Werktage zugeschnitten und folgt einem definierten Schema. Tag 1, Vormittag: Bestandsaufnahme der aktuellen Sicherheitslage, NIS-2-Klassifizierung als wesentliche oder wichtige Einrichtung, Übersicht der bestehenden ISMS-Dokumente und der laufenden Audits oder Re-Zertifizierungen. Tag 1, Nachmittag: Festlegung des Geltungsbereichs, Auswahl der Hauptperson und des Stellvertreters aus dem CIVAC-Pool, Vertragsentwurf und Bestellurkunde. Tag 2, Vormittag: Gegenzeichnung, Aufsetzen des Workspaces, Aktivierung des 24/72-Meldepfads zum BSI.

CIVAC positioniert sich als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Varianten teilen dieselbe Plattform, dieselben 490 Vorlagen, dieselben Meldepfade und dieselbe EU-Datenresidenz, und der Wechsel zwischen beiden Modellen ist im Mustervertrag vorgesehen, ohne Datenverlust und ohne Bruch in der Audit-Spur. Das ist der entscheidende Vorteil gegenüber einer reinen Kanzleilösung oder einer Insellösung im SharePoint.

Für eine konkrete Empfehlung zu Ihrer Lage, eine Aufwandsschätzung mit Festpreis und einen Bestellurkunden-Entwurf mit namentlich genanntem Stellvertreter, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/faq. Aus dem Lesen einen Auftrag machen.

FAQ

Wann muss ein Unternehmen einen Informationssicherheitsbeauftragten bestellen?

Nach dem NIS2UmsuCG sind wesentliche und wichtige Einrichtungen, KRITIS-Betreiber und sektorspezifisch regulierte Unternehmen verpflichtet, eine Sicherheitsverantwortliche Person zu benennen. Die Norm ISO/IEC 27001:2022 fordert eine ISMS-Rolle für Betrieb, Wirksamkeitskontrolle und kontinuierliche Verbesserung. Großkundenverträge im B2B-Bereich fordern häufig vertraglich einen benannten ISB mit dokumentierter Bestellung und Berichtslinie.

Kann der IT-Leiter gleichzeitig Informationssicherheitsbeauftragter sein?

In den meisten Konstellationen nicht ohne erhebliche Risiken. Die BaFin fordert in BAIT Tz. 4.5 eine Funktionstrennung zwischen Informationssicherheit und IT-Betrieb. Die Norm ISO/IEC 27001:2022 erwartet eine unabhängige Bewertung des ISMS, was bei Personenidentität strukturell nicht möglich ist. Externe Bestellung löst den Konflikt sauber und ist im NIS-2-Audit deutlich besser verteidigbar.

Was kostet ein externer ISB für ein mittelständisches Unternehmen?

Für ein Unternehmen mit 150 bis 350 Mitarbeitenden und mittlerer IT-Komplexität liegt die jährliche Servicepauschale typischerweise zwischen 12.000 und 36.000 Euro. Inklusive Bestellurkunde, namentlich genanntem Stellvertreter, 37 Audit-Vorlagen, NIS-2-Meldepfad und ISMS-Statement of Applicability. Über 36 Monate ergibt sich ein Vorteil von etwa 300.000 Euro gegenüber einer internen Vollzeit-Lösung.

Wie schnell ist ein externer ISB einsatzbereit?

CIVAC arbeitet mit einem 2-Werktage-SLA von Vertragsabschluss bis ausgestellter Bestellurkunde und aktiviertem Workspace. Der NIS-2 24/72-Meldepfad ist ab Tag eins konfiguriert, der Stellvertreter ist eingebunden und die Berichtslinie zur Geschäftsleitung ist dokumentiert. Klassische Wege über Kanzleien und Freelancer benötigen in der Regel 2 bis 6 Wochen bis zur operativen Einsatzbereitschaft.

Haftet der externe ISB persönlich bei einem Sicherheitsvorfall?

Die Geschäftsleitung haftet nach § 130 OWiG für Aufsichtspflichtverletzungen, der ISB kann zivilrechtlich für grob fahrlässige Beratungsfehler in Anspruch genommen werden. Externe Anbieter wie CIVAC tragen eine Vermögensschadenhaftpflicht von mindestens 5 Millionen Euro pro Schadensfall, dokumentiert im Mustervertrag. Interne ISB unterliegen arbeitsrechtlichen Konsequenzen, die ihre Risikoposition oft komplizierter machen.

Was passiert bei Krankheit oder Urlaub des externen ISB?

CIVAC besetzt jedes Mandat mit einer Hauptperson und einem namentlich genannten Stellvertreter aus dem internen Officer-Pool, beide in der Bestellurkunde dokumentiert. Der Stellvertreter hat denselben Zugriff auf den Workspace und übernimmt automatisch, wenn die Hauptperson nicht erreichbar ist. Die Reaktionszeit auf sicherheitsrelevante Vorfälle bleibt unverändert, der Meldepfad zum BSI funktioniert ohne Unterbrechung.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge