Informationssicherheitsbeauftragter: Rolle, Pflichten und Bestellung im Mittelstand

Der Informationssicherheitsbeauftragte ist seit der Veröffentlichung der ISO/IEC 27001:2022 im Oktober 2022 und dem Inkrafttreten des NIS-2-Umsetzungsgesetzes auf europäischer Ebene im Jahr 2024 die zentrale operative Rolle für Informationssicherheit im Unternehmen. In Deutschland sind nach Schätzung des Bundesamts für Sicherheit in der Informationstechnik rund 29.500 Unternehmen direkt vom NIS-2-Regime erfasst, darunter Hersteller, Anbieter digitaler Dienste, Energie- und Gesundheitsversorger sowie wesentliche Teile der industriellen Lieferkette. Zugleich verlangen ISO/IEC 27001:2022 mit ihren 93 Controls, das KRITIS-Dachgesetz, DORA für Finanzdienstleister, der TISAX-Standard für die Automobilindustrie und der C5-Katalog des BSI eine klare Verantwortlichkeit für Informationssicherheit. Diese Verantwortlichkeit trägt der Informationssicherheitsbeauftragte, abgekürzt ISB. Wer die Funktion nicht oder nur formal bestellt, verliert im Audit, im Vorfall und in der Lieferantenbewertung.

Dieser Beitrag erklärt, was der ISB konkret tut, wie er sich vom Chief Information Security Officer und vom IT-Leiter abgrenzt, wann seine Bestellung verbindlich wird und welche Belegspur Aufsichtsbehörden und Auditoren erwarten. CIVAC begleitet als Compliance-Plattform und Officer-as-a-Service Informationssicherheitsbeauftragte in Industrie, Energieversorgung, Finanzdienstleistung, Gesundheitswesen und im gehobenen Mittelstand mit einem konfigurierbaren Workspace, 490 Audit-Vorlagen, 93 vorbereiteten Controls und dem NIS-2-spezifischen 24- und 72-Stunden-Meldepfad. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Sie erfahren, wo die häufigsten Lücken in deutschen Mittelständlern liegen und wie sie geschlossen werden.

Der Informationssicherheitsbeauftragte verantwortet operativ die Informationssicherheit der Organisation. Er konzipiert, betreibt und überwacht das Information Security Management System nach ISO/IEC 27001:2022, koordiniert die 93 Controls aus Anhang A und führt die zugehörige Dokumentation. Er entwickelt Sicherheitsrichtlinien, prüft deren Umsetzung in den Fachbereichen und berichtet an die Geschäftsführung. Er ist erster Ansprechpartner für interne und externe Auditoren, für Aufsichtsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik und in Zusammenarbeit mit dem Datenschutzbeauftragten für Datenschutzpannen mit IT-Bezug. In NIS-2-betroffenen Unternehmen koordiniert er außerdem den Meldepfad mit 24-stündiger Frühwarnung und 72-stündiger Folgemeldung an die zuständige Behörde, die im Streitfall persönliche Haftungsfragen entscheidet.

Die Aufgabenliste umfasst typischerweise zehn Bereiche. Erstens die ISMS-Governance mit Leitlinie und Geltungsbereich. Zweitens die Risikobewertung mit Threat Modeling und Risiko-Register. Drittens die technischen und organisatorischen Maßnahmen mit Zuordnung zu Controls. Viertens das Identitäts- und Berechtigungsmanagement. Fünftens das Patch- und Schwachstellenmanagement. Sechstens das Vorfallsmanagement mit Eskalationsplan. Siebtens die Lieferantensicherheit und das Vendor Risk Management. Achtens die Awareness-Programme und Pflichtschulungen. Neuntens die Geschäftsfortführungsplanung und das Notfallhandbuch. Zehntens die regelmäßigen internen Audits und das Management-Review nach Klausel 9.3.

Diese Aufgaben sind operativ und unterscheiden den ISB klar von strategisch ausgerichteten Rollen wie dem CISO. CIVAC strukturiert die Aufgabenliste unter civac.de/roles/informationssicherheitsbeauftragter nach ISO/IEC 27001:2022 mit den 93 Controls als zentralem Rückgrat. Jede Aufgabe ist mit Vorlage, Verantwortlichem, Frist und Nachweisschritt versehen. Der ISB sieht im Dashboard, wo die nächste Maßnahme fällig ist, wer sie übernimmt und welcher Audit-Nachweis erzeugt wird. Diese strukturelle Führung ersetzt das übliche Excel-Patchwork und ist im Audit unmittelbar prüfbar, ohne dass jemand in Dateifreigaben suchen muss.

Die Begriffe Informationssicherheitsbeauftragter, IT-Sicherheitsbeauftragter, Chief Information Security Officer und Chief Information Officer werden in der Praxis häufig vermischt, beschreiben aber unterschiedliche Rollen. Der ISB ist die in Deutschland etablierte Bezeichnung für die operative Verantwortung im ISMS und stützt sich auf den BSI-IT-Grundschutz und ISO/IEC 27001:2022. Der IT-Sicherheitsbeauftragte ist häufig synonym, allerdings mit Fokus auf technische IT-Sicherheit und weniger auf die übergeordnete Informationssicherheit, die auch organisatorische, personelle und physische Aspekte umfasst.

Der CISO ist die international gebräuchliche Bezeichnung für eine strategische Rolle, die in größeren Unternehmen direkt an die Geschäftsführung berichtet und neben Informationssicherheit auch Themen wie Cyber-Risikomanagement, Compliance und Krisenmanagement verantwortet. In mittelständischen Unternehmen werden ISB- und CISO-Aufgaben häufig in einer Rolle vereint, während in Konzernen der CISO strategisch arbeitet und ein oder mehrere ISBs operativ in den Konzerngesellschaften wirken. Der CIO leitet die IT als Ganzes mit Schwerpunkt auf Architektur, Beschaffung und Betrieb und ist nicht Sicherheitsverantwortlicher im Sinne von ISO/IEC 27001:2022. Eine Personalunion CIO/ISB ist wegen des Interessenkonflikts in Audits problematisch.

In der Bestellung empfiehlt sich deshalb eine klare Funktionsbeschreibung. Der ISB ist disziplinarisch in der Regel nicht der IT unterstellt, sondern an die Geschäftsführung oder an den Risiko- und Compliance-Vorstand angebunden. Eine Personalunion ISB/IT-Leiter ist möglich, in Audits aber regelmäßig zu erläutern, weil sie Interessenkonflikte erzeugt. CIVAC stellt unter Compliance-Beauftragter die typischen Rollenmatrizen für mittelständische Konstellationen bereit, in denen ISB, Datenschutz und Compliance an klar definierten Schnittstellen zusammenwirken. Die Bestellurkunde dokumentiert die organisatorische Zuordnung verbindlich und macht die Trennung der Rollen für Auditoren transparent.

Eine ausdrückliche gesetzliche Pflicht zur Bestellung eines Informationssicherheitsbeauftragten gibt es in Deutschland nicht in allen Branchen, in der Praxis wird sie jedoch durch eine Reihe von Regelwerken erzwungen. Das NIS-2-Umsetzungsgesetz, das im Frühjahr 2026 vollständig in Kraft tritt, verlangt von rund 29.500 betroffenen Unternehmen ein Sicherheitsmanagement mit benannter Verantwortlichkeit. Die Konkretisierung erfolgt über § 30 NIS2UmsuCG mit Risikomanagementmaßnahmen, deren Umsetzung an eine Person gebunden sein muss, und über § 32 NIS2UmsuCG mit Schulungspflichten der Leitungsorgane. Bußgelder reichen bei wesentlichen Einrichtungen bis 10 Millionen Euro oder 2 Prozent des Konzernumsatzes, bei wichtigen Einrichtungen bis 7 Millionen Euro oder 1,4 Prozent.

Im KRITIS-Umfeld nach BSI-Gesetz und dem KRITIS-Dachgesetz ist die Funktion zwingend, ebenso bei TISAX für die Automobilindustrie, bei DORA für Finanzdienstleister, bei C5 für Cloud-Anbieter im behördlichen Umfeld und bei ISO/IEC 27001:2022 in jeder Zertifizierungsstufe. Die ISO-Norm fordert in Klausel 5.3 ausdrücklich eine zugeordnete Verantwortlichkeit für das ISMS, in Klausel 7.2 die nachweisbare Kompetenz der zuständigen Person. Diese Anforderungen werden in Audits regelmäßig anhand der Bestellurkunde geprüft. Ohne dokumentierte Bestellung wird die Zertifizierung in der Stage 1 zurückgewiesen.

In nicht regulierten Branchen ergibt sich die Pflicht häufig indirekt aus Kundenanforderungen, Lieferantenaudits und Versicherungsbedingungen. Cyber-Versicherungen verlangen seit etwa 2024 in vielen Policen die Benennung eines verantwortlichen Informationssicherheitsbeauftragten als Mindestvoraussetzung für den Versicherungsschutz. CIVAC dokumentiert die Bestellung im Workspace mit Bestellurkunde, Aufgabenkatalog, Berichtslinie und Vertretungsregelung. Audit-fest, dokumentiert, § 38 NIS2UmsuCG-fest. Sobald sich die Konstellation des Unternehmens ändert, etwa durch eine Akquisition oder den Eintritt in ein KRITIS-Segment, wird die Rollenkonfiguration im Workspace angepasst, ohne dass die historische Belegspur verloren geht.

Die Funktion des Informationssicherheitsbeauftragten kann intern, extern oder in einem hybriden Modell besetzt werden. Eine interne Bestellung ist der Regelfall in größeren Unternehmen mit eigener IT-Sicherheitsabteilung. Sie hat den Vorteil der unmittelbaren Erreichbarkeit, des organisatorischen Wissens und der Verankerung in der Linie. Nachteilig ist der hohe Personalbedarf, weil eine ISB-Rolle in regulierten Branchen häufig 1,0 Vollzeitstellen oder mehr beansprucht und zusätzlich Spezialwissen in Recht, Audit und Technik verlangt. Vakanzen entstehen schnell durch Elternzeit, Wechsel oder Krankheit und erzeugen Audit-Risiken.

Die externe Bestellung delegiert die Funktion an einen externen Beauftragten, der die Rolle als Dienstleistung übernimmt. Die Vorteile sind belastbare Verfügbarkeit auch bei Vakanzen, formal sauberer Interessenkonflikt-Schutz, niedrigere Fixkosten und Zugriff auf Spezialwissen, das in einzelnen Unternehmen nicht vorrätig ist. Nachteilig ist die geringere Tiefe der internen Kenntnisse. Im hybriden Modell übernimmt ein externer ISB die formale Rolle, Berichtslinie und Audit-Vertretung, während interne Mitarbeitende die operative Umsetzung in den Fachbereichen tragen. Dieses Modell wird im Mittelstand zunehmend Standard.

CIVAC bietet beide Modelle in einer Plattform. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Der Wechsel zwischen den Modellen ist möglich, ohne dass die Belegspur reißt. Bei einem Modellwechsel etwa von extern zu intern bleiben Bestellurkunden, Risikoregister, Reports und Schulungsnachweise verfügbar und werden auf die neue Funktionsträgerin übertragen. Das CIVAC-SLA von 2 Werktagen statt der üblichen 2 bis 6 Wochen schließt die Reaktionslücke, die in klassischen Beratungsmandaten entsteht, wenn unerwartete Audits oder Vorfälle auftreten. Audit-fest, dokumentiert, § 30 NIS2UmsuCG-fest.

Die Bestellurkunde ist das formal verbindliche Dokument, mit dem die Funktion des Informationssicherheitsbeauftragten übertragen wird. Sie ist in keinem Gesetz wortlautgenau geregelt, hat sich in der Audit-Praxis aber als Pflichtbestandteil etabliert. Eine belastbare Bestellurkunde enthält acht Elemente. Erstens den vollständigen Namen, die Funktion und die Organisationseinheit der bestellten Person. Zweitens das Wirkdatum und die Befristung, sofern eine solche vorgesehen ist. Drittens die übertragenen Aufgaben in einem klaren Katalog mit Bezug zu ISO/IEC 27001:2022 und einschlägigen Gesetzen. Viertens die organisatorische Anbindung mit Berichtslinie an die Geschäftsführung.

Fünftens die zur Verfügung gestellten Ressourcen, einschließlich Zugriffsrechten auf Systeme, Budget und externe Beratung. Sechstens die Vertretungsregelung für Abwesenheiten. Siebtens das Recht auf Weiterbildung und der Anspruch auf einschlägige Schulungen. Achtens die Unterschrift der Geschäftsführung und der bestellten Person mit Datum. Fehlt einer dieser Bestandteile, wird die Urkunde im Audit beanstandet. Besonders häufig fehlt die Vertretungsregelung, was bei Vakanzen und Krankheitsausfällen zu fortlaufenden Compliance-Lücken führt und in Audits unmittelbar auffällt.

Stolperfallen liegen in vagen Aufgabenbeschreibungen, fehlender Anbindung an die Geschäftsführung, fehlender Befreiung von Weisungen in fachlichen Sicherheitsfragen und fehlenden Ressourcen. Eine Bestellurkunde, die die ISB-Funktion ohne Ressourcenzusage überträgt, lädt zu Konflikten ein, weil der ISB für die Umsetzung verantwortlich gemacht wird, ohne Mittel zur Umsetzung zu haben. CIVAC stellt im Workspace eine geprüfte Bestellurkunden-Vorlage mit allen Pflichtbestandteilen bereit, die im Erstellungsprozess durch geführte Fragen ergänzt wird. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Vorlage wird bei Rechtsänderungen zentral aktualisiert, sodass Bestellungen aus Vorjahren rechtzeitig auf den aktuellen Stand gehoben werden können.

Die Berichtslinie des Informationssicherheitsbeauftragten zur Geschäftsführung ist im Audit ebenso wichtig wie die Bestellurkunde selbst. Sie zeigt, dass die Funktion tatsächlich wirkt und nicht in einer Hängepartie zwischen IT und Geschäftsführung versickert. Eine belastbare Berichtslinie verlangt drei Komponenten. Erstens den regelmäßigen Bericht in definierten Intervallen, üblicherweise quartalsweise mit Jahresreview. Zweitens den Ad-hoc-Bericht bei kritischen Vorfällen, der ohne Verzögerung an die Geschäftsführung geht. Drittens die dokumentierte Kenntnisnahme durch die Geschäftsführung, die im Audit den Kreis schließt.

Der Quartalsbericht enthält typischerweise zehn Punkte. Erstens den Status der Risikolage. Zweitens offene Maßnahmen aus dem Risikoregister. Drittens den Stand der ISO/IEC 27001:2022-Controls. Viertens die Auditfeststellungen und ihre Bearbeitung. Fünftens das Schwachstellen- und Patch-Management. Sechstens das Vorfallsmanagement mit den Ereignissen des Zeitraums. Siebtens den Stand der Awareness-Schulungen. Achtens die Lieferantensicherheit mit Bewertungen kritischer Dienstleister. Neuntens den Stand der Notfallplanung mit Übungsergebnissen. Zehntens den Ausblick mit Themen für den Folgezeitraum. Bei NIS-2-Betroffenheit kommt der 24- und 72-Stunden-Meldepfad als eigener Berichtspunkt hinzu.

CIVAC führt die Berichtslinie im Workspace als strukturierte Vorlage mit automatisierter Datengewinnung aus dem ISMS. Der Bericht wird nicht händisch zusammengestellt, sondern aus dem laufenden Betrieb aggregiert und vom ISB nur geprüft und kommentiert. Der Prüfer ruft an, der Nachweis liegt bereit. Die Kenntnisnahme der Geschäftsführung erfolgt im Workspace mit Zeitstempel und elektronischer Bestätigung. So entsteht eine durchgängige Berichtsspur, die im Audit den Wirksamkeitsnachweis nach ISO/IEC 27001:2022 Klausel 9.3 ohne Zusatzaufwand belegt. Die persönliche Haftung der Leitung nach § 130 OWiG und § 38 NIS2UmsuCG wird damit auf belastbare Belege gestützt.

An den Informationssicherheitsbeauftragten werden persönliche Anforderungen gestellt, die im Audit geprüft werden. ISO/IEC 27001:2022 verlangt in Klausel 7.2 nachweisbare Kompetenz der für das ISMS zuständigen Person. Diese Kompetenz wird in der Regel durch eine einschlägige Qualifikation belegt, etwa als ISO/IEC 27001 Lead Implementer, als ISO/IEC 27001 Lead Auditor, als Certified Information Systems Security Professional (CISSP), als Certified Information Security Manager (CISM) oder als BSI IT-Grundschutz-Praktiker. Zusätzlich ist regelmäßige Weiterbildung erforderlich, weil sich Bedrohungslagen, Standards und Rechtslagen kontinuierlich verändern. Ein einmaliger Zertifikatserwerb genügt der Norm nicht.

Persönliche Unabhängigkeit ist ein zweites Kriterium. Der ISB darf in fachlichen Sicherheitsfragen nicht weisungsgebunden sein, insbesondere nicht an die IT-Leitung, weil sonst Interessenkonflikte zwischen Verfügbarkeit und Sicherheit entstehen. Eine disziplinarische Anbindung an die Geschäftsführung oder an den Risiko- und Compliance-Bereich ist deshalb in regulierten Umfeldern die Regel. Eine Personalunion mit dem Datenschutzbeauftragten ist möglich, aber im Audit zu begründen, weil DSB und ISB unterschiedliche Schutzziele haben und in Datenpannen mit IT-Bezug gemeinsam aktiv werden müssen. Die Schnittstelle wird in der Berichtslinie sauber dokumentiert.

Weiterbildung verlangt jährlich mindestens 16 bis 24 Stunden in einschlägigen Themen, je nach Branche und Qualifikationspfad. Die Teilnahme ist zu dokumentieren und im Schulungspass des ISB zu führen. CIVAC bildet die Anforderungen im Workspace ab. Qualifikationsnachweise werden mit Ablaufdatum hinterlegt, Weiterbildungspflichten werden automatisch überwacht und die Audit-Vorbereitung pflegt die ISB-Schulungsbiografie als eigenen Datensatz. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Auditor sieht auf Anfrage die Qualifikationsbiografie der ISB-Person ohne Vorlauf, was die Auditdauer verkürzt und Diskussionen zur Kompetenzfrage strukturell beendet, bevor sie beginnen.

Die Kosten der ISB-Funktion variieren stark nach Größe, Branche und Reifegrad. In einer mittelständischen Konstellation mit 250 bis 1.000 Beschäftigten und ISO/IEC 27001-Zertifizierungsziel beansprucht die operative ISB-Funktion zwischen 0,5 und 1,2 Vollzeitstellen. Bei internen Personalkosten von 90.000 bis 130.000 Euro je Vollzeitstelle einschließlich Lohnnebenkosten entstehen jährliche Direktkosten zwischen 50.000 und 150.000 Euro. Hinzu kommen Lizenzen für ISMS-Werkzeuge, externe Audits und Weiterbildungen mit jährlich weiteren 15.000 bis 40.000 Euro je nach Reifegrad.

Ein externer ISB als Dienstleistung kostet je nach Stundenvolumen und Branche zwischen 35.000 und 90.000 Euro im Jahr. Die Bandbreite ergibt sich aus der vereinbarten Stundenzahl, der Branche und dem Spezialisierungsgrad. Hybridmodelle, in denen die formale Rolle extern und die operative Umsetzung intern liegt, bewegen sich in der mittleren Bandbreite und sind für viele Mittelständler die wirtschaftliche Mitte. Vakanzrisiken sind real. Eine plötzliche Kündigung der internen ISB-Person erzeugt Compliance-Lücken, die in der Cyber-Versicherungspolice und in Lieferantenaudits unmittelbar auffallen und Zertifikate gefährden können.

CIVAC senkt die Vakanzrisiken strukturell. Im Workspace ist die Aufgabenliste mit Verantwortlichen, Vorlagen und Fristen so geführt, dass eine Nachbesetzung in Tagen statt Wochen produktiv wird. Bei der Variante mit externen Beauftragten übernimmt CIVAC den ISB als Dienstleistung mit dokumentierter Vertretung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Das CIVAC-SLA von 2 Werktagen ersetzt das klassische Reaktionsfenster von 2 bis 6 Wochen und schließt damit die Lücke, in der unangekündigte Audits, Cyber-Vorfälle oder Lieferantenanfragen die Organisation kalt erwischen. Aus dem Lesen einen Auftrag machen.

Eine Bestellurkunde alleine schützt nicht. Sie ist der Eintrittspunkt in eine Sicherheitsorganisation, die aus Berichtslinie, Risikoregister, Kontrollkatalog, Schulungsprogramm, Vorfallsmanagement und Audit-Spur besteht. Aufsichtsbehörden, Auditoren und Versicherer prüfen nicht das Dokument an der Wand, sondern die Reife dieser Organisation. Eine Plattform allein, ohne Bestellung, ohne Aufgabenklarheit und ohne Berichtslinie, schafft genauso wenig Sicherheit wie ein bestellter ISB ohne Werkzeuge. Genau diese Kombination unterscheidet eine belastbare Sicherheitsorganisation von einer formalen Pflichterfüllung, die im ersten ernsten Audit Risse zeigt.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Workspace, Audit-Vorlagen, Bestellurkunden, Berichtslinien und EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Der Workspace führt die 93 Controls der ISO/IEC 27001:2022 mit Maßnahmen, Verantwortlichen und Nachweisen, ergänzt um den NIS-2-spezifischen 24- und 72-Stunden-Meldepfad. Der Prüfer ruft an, der Nachweis liegt bereit. Die Plattform erinnert an Vertretungsregeln, Audit-Termine und Schulungspflichten und schließt die typischen Lücken vor dem Audit, statt sie im Audit zu entdecken. Frist läuft ab Kenntnis.

Wenn Sie einen Informationssicherheitsbeauftragten erstmals bestellen, eine bestehende Bestellung auf Belastbarkeit prüfen oder die operative ISMS-Arbeit auf eine Plattformlösung umstellen möchten, klären wir das in einem strukturierten Erstgespräch. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular für eine Erstbewertung der aktuellen Sicherheitsorganisation. Sie erhalten eine konkrete Lückenliste mit Lieferterminen, sodass die ISB-Funktion nicht im Konflikt zwischen IT und Geschäftsführung versickert, sondern als belastbare Rolle mit klarer Berichtslinie und belegbarer Wirksamkeit etabliert wird, die im Audit und im Vorfall trägt.