ISB-Beratung im Mittelstand: Rollen, Kosten und der Schritt von Beratung zu Bestellung

Der Informationssicherheitsbeauftragte ist 2026 keine Empfehlung mehr, sondern eine durchgängige Pflicht für etwa 29.500 deutsche Unternehmen, die unter das NIS-2-Umsetzungsgesetz fallen. § 38 NIS2UmsuCG verlangt eine benannte Stelle für die Sicherheit der Netz- und Informationssysteme, die unmittelbar an die Geschäftsleitung berichtet. § 9.1 ISO/IEC 27001:2022 verlangt eine Person mit definierter Verantwortung für das ISMS. § 130 OWiG belegt eine fehlende oder unzureichende Aufsicht durch die Geschäftsleitung mit Bußgeldern, die bei NIS-2-wesentlichen Einrichtungen bis 10 Mio. Euro oder 2 % des Konzernumsatzes reichen. Trotzdem kaufen mittelständische Unternehmen die Funktion häufig zunächst als ISB-Beratung in Projektform und entscheiden später über die dauerhafte Bestellung, was den Übergang zwischen Analyse und Verantwortung zu einer eigenen Risikozone macht.

Dieser Beitrag ordnet die Begriffe und zeigt, woran sich seriöse ISB-Beratung erkennen lässt, welche Aufgaben in welcher Phase tatsächlich anfallen, wie sich Kosten zwischen Beratung, interner Bestellung und externer Bestellung unterscheiden und wann der Übergang vom Beratungsmandat zur dauerhaften Rolle wirtschaftlich und regulatorisch sinnvoll wird. CIVAC tritt in diesem Feld als Compliance-Plattform und Officer-as-a-Service auf, mit dem Workspace, der die 93 Controls nach ISO/IEC 27001:2022, die 490 Audit-Vorlagen und den NIS-2-Meldepfad mit 24h-Frühwarnung und 72h-Folgemeldung bereits enthält.

ISB-Beratung wird im Markt sehr unterschiedlich definiert. Manche Anbieter verstehen darunter eine Lückenanalyse gegen den BSI IT-Grundschutz oder ISO/IEC 27001:2022, andere ein zeitlich befristetes Projekt zur Vorbereitung einer Zertifizierung, wieder andere die operative Übernahme der ISB-Rolle für 12 oder 24 Monate. Die Bandbreite ist regulatorisch relevant, weil § 38 NIS2UmsuCG und Anhang A.5.2 ISO/IEC 27001:2022 eine dauerhaft benannte Stelle verlangen, nicht ein Projekt. Eine Beratung, die nach Übergabe eines Maßnahmenkatalogs endet, lässt das Unternehmen ohne den Berichtslinien-Inhaber zurück, den die Aufsicht erwartet.

Eine seriöse ISB-Beratung im Mittelstand umfasst daher mindestens fünf Komponenten. Erstens die Bestandsaufnahme nach ISO/IEC 27001:2022 und NIS2UmsuCG. Zweitens die Erstellung des Statement of Applicability mit Bezug zu den 93 Controls in Annex A. Drittens die Etablierung der Berichtslinie zur Geschäftsleitung mit unterschriebener Bestellurkunde. Viertens die Inbetriebnahme der ISMS-Routinen einschließlich Risikobewertung, Vorfallsmanagement und Wirksamkeitsmessung. Fünftens die Übergabe an die dauerhafte Rolle, entweder intern besetzt oder extern bestellt. CIVAC bündelt diese fünf Komponenten im Workspace, sodass die Beratungsphase nahtlos in die Bestellungsphase übergeht und Daten, Risikobewertung und Berichtslinie nicht verloren gehen. Die Übergabe ist der häufigste Bruchpunkt klassischer Projektberatung und gleichzeitig der teuerste, weil sie typischerweise als zweites Projekt nachgekauft werden muss. In der Praxis bedeutet das, dass das Unternehmen sechs bis neun Monate nach Beratungsende erneut Geld in die Hand nimmt, um eine Funktion zu reaktivieren, die zwischenzeitlich entkernt wurde. Eine sauber strukturierte Beratung schließt diese Lücke vertraglich und operativ, indem sie die ISB-Funktion bereits während der Beratungsphase als bestellungsfähig aufsetzt und die Bestellung anschließend nur noch unterschrieben werden muss. Die Trennung zwischen Beratungs- und Bestellungsphase wird damit zu einer formalen Frage, nicht zu einem inhaltlichen Bruch.

Der ISB ist die operative Spitze des Informationssicherheits-Managementsystems. Seine Pflichten ergeben sich aus mehreren Quellen. § 38 NIS2UmsuCG verlangt eine benannte Stelle, die für die Sicherheit der Netz- und Informationssysteme verantwortlich ist, der Geschäftsleitung direkt berichtet und unabhängig von Weisungen in fachlichen Fragen agiert. ISO/IEC 27001:2022 in der Klausel 5.3 verlangt die Zuweisung der Verantwortung für die Erfüllung der ISMS-Anforderungen. Anhang A.5.2 spezifiziert die definierte Informationssicherheitsrolle. § 9.1 verlangt die laufende Bewertung der Wirksamkeit der Sicherheitsmaßnahmen.

Daraus folgt ein konkreter Pflichtenkatalog. Der ISB hält das ISMS aktuell, führt die Risikobewertung und die Risikobehandlung nach Klausel 6.1 und 6.2, koordiniert das Vorfallsmanagement nach Anhang A.5.24 bis A.5.28, organisiert das Awareness-Programm nach A.6.3, überwacht Lieferantenrisiken nach A.5.19 bis A.5.22 und berichtet mindestens einmal jährlich an die Geschäftsleitung. Im NIS-2-Kontext kommt die Pflicht hinzu, den 24-Stunden-Frühwarnpfad und den 72-Stunden-Folgemeldepfad an die zuständige Behörde technisch und organisatorisch sicherzustellen. CIVAC bildet diesen Katalog im ISB-Rollenobjekt ab, das die Bestellurkunde, die Berichtslinie und die Wirksamkeitsmessung als verbundene Elemente führt. Der Prüfer ruft an, der Nachweis liegt bereit, weil der Pflichtenkatalog nicht in einem separaten Dokument lebt, sondern als operatives System. Hinzu kommen Sektorpflichten, die je nach NIS-2-Einstufung von der allgemeinen Pflichtenliste abweichen: Energieversorger, Gesundheitseinrichtungen und Anbieter digitaler Dienste haben jeweils ergänzende Anforderungen, die der ISB im laufenden Betrieb sauber abbilden muss. Auch das Zusammenspiel mit dem Datenschutzbeauftragten bei doppelten Meldepflichten nach Art. 33 DSGVO und § 32 NIS2UmsuCG gehört zum Pflichtenkatalog, weil eine fehlende Abstimmung in einem realen Vorfall zu inkonsistenten Meldungen führt.

Die drei Vertragstypen unterscheiden sich in Verantwortung, Haftung und Dauer. Der Berater liefert Empfehlungen und Werkzeuge, übernimmt aber keine Bestellungsfunktion. Er haftet auf Beratungsfehler im Rahmen seines Vertrags, ist aber nicht der ISB im Sinne des § 38 NIS2UmsuCG. Der interne ISB ist ein Beschäftigter des Unternehmens, der die Rolle ganz oder teilweise innehat, in der Berichtslinie an die Geschäftsleitung dargestellt ist und für die Erfüllung der ISMS-Pflichten persönlich benannt ist. Der externe ISB ist eine vertraglich gebundene natürliche oder juristische Person außerhalb des Unternehmens, die formell bestellt wird, eine Bestellurkunde unterzeichnet und die ISB-Pflichten gegenüber der Geschäftsleitung übernimmt.

Die Wahl zwischen den drei Modellen folgt der Größe, der Sektorzuordnung und der Verfügbarkeit qualifizierter Personen am Arbeitsmarkt. Unterhalb von etwa 2.500 Beschäftigten ist die interne Rolle selten zu 100 % ausgelastet, was zu Teilzeitlösungen führt, die regulatorisch zulässig, aber operativ fragil sind. Über 5.000 Beschäftigten ist die interne Rolle in der Regel wirtschaftlich tragfähig. Im mittleren Bereich kommt die externe Bestellung als wirtschaftlich tragfähige Alternative ins Spiel, weil sie die Vollumfang-Funktion ohne Vollzeit-Gehalt bereitstellt. CIVAC bietet die externe Bestellung im Officer-as-a-Service-Modell mit einem Service-Level von 2 Werktagen für die Aufnahme der Tätigkeit, gegenüber einem klassischen Markt-Standard von 2 bis 6 Wochen Recruiting und Onboarding. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen dieselben 490 Audit-Vorlagen und dieselbe Berichtslinie. Ein häufig übersehener Punkt ist die Vertretungsregelung: Während eine interne Person bei Urlaub oder Krankheit die Funktion nicht ausführen kann, ist die externe Bestellung typischerweise mit einer dokumentierten Vertretung gekoppelt, sodass die NIS-2-Meldepfade auch in Abwesenheit der Hauptperson bedient werden. Diese Kontinuität ist im Auditgespräch ein eigener Prüfungspunkt und verschiebt die Bewertung des Modells in vielen Fällen zugunsten der externen Bestellung, ohne dass die Geschäftsleitung diesen Aspekt vorab in die Wirtschaftlichkeitsrechnung eingestellt hätte.

Die Scoping-Phase ist der wichtigste Teil einer ISB-Beratung, weil hier festgelegt wird, welche Pflichten das Unternehmen tatsächlich trägt. Das beginnt mit der Klärung der Sektorzuordnung nach NIS 2: ist das Unternehmen eine wesentliche Einrichtung, eine wichtige Einrichtung oder fällt es unter die Anwendungsschwelle. Die Zuordnung entscheidet über das Bußgeldrisiko zwischen 7 Mio. Euro und 10 Mio. Euro und über den Aufsichtsmodus zwischen anlassbezogen und routinemäßig. Eine Beratung, die diese Zuordnung nicht belastbar dokumentiert, ist unvollständig, weil die nachfolgenden Maßnahmen ohne Anker definiert werden.

Die zweite Säule ist die Bestandsaufnahme nach ISO/IEC 27001:2022. Hier werden die 93 Controls aus Annex A gegen die tatsächliche Umsetzung im Unternehmen geprüft, ein Statement of Applicability erstellt und die Lücken priorisiert. Die dritte Säule ist die Risikoanalyse nach Klausel 6.1, die das technische und organisatorische Risikoprofil des Unternehmens dokumentiert. Die vierte Säule ist der Maßnahmenplan mit Verantwortlichen, Fristen und Wirksamkeitsindikatoren. Die fünfte Säule ist die Übergabe in den Dauerbetrieb, einschließlich Bestellurkunde des ISB, signierter Berichtslinie und einem Quartalsbericht-Template. CIVAC liefert diese fünf Säulen als Paket im Workspace, sodass die Beratungsphase mit einem prüfbaren Set an Artefakten endet und nicht mit einer PowerPoint-Empfehlung. Audit-fest, dokumentiert, § 38-fest. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software, was den Unterschied zwischen Beratung und Bestellung praktisch erlebbar macht. Die fünf Säulen lassen sich in der Regel innerhalb von acht bis zwölf Wochen aufbauen, abhängig von der Größe und der Vorarbeit im Unternehmen. Sind bereits Vorarbeiten aus früheren ISMS-Initiativen vorhanden, etwa eine ältere Statement-of-Applicability-Version oder ein Risikoregister, lassen sich diese im Workspace migrieren, ohne die Vorgeschichte zu verlieren.

Die Kostenstruktur der drei Vertragstypen unterscheidet sich deutlich. Eine reine Beratung in Projektform mit Bestandsaufnahme, Statement of Applicability, Risikoanalyse und Maßnahmenplan kostet im Mittelstand typischerweise zwischen 30.000 und 80.000 Euro für 8 bis 16 Wochen, ohne dass danach eine bestellte Funktion existiert. Eine interne ISB-Rolle mit qualifizierter Besetzung schlägt mit einem voll belasteten Jahresgehalt zwischen 95.000 und 130.000 Euro zu Buche, hinzu kommen Recruiting-Kosten zwischen 25.000 und 40.000 Euro sowie eine Einarbeitungsphase von 6 bis 9 Monaten, in der die Funktion nur teilweise wirksam ist.

Eine externe Bestellung über das Officer-as-a-Service-Modell kostet im Mittelstand zwischen 30.000 und 60.000 Euro pro Jahr, je nach Größe, Sektor und Komplexität, und beinhaltet die laufende Pflege des ISMS, das Vorfallsmanagement, die Berichtslinie zur Geschäftsleitung und den Audit-Export. Die Funktion ist innerhalb von 2 Werktagen aktiv, weil die Plattform mit 490 Audit-Vorlagen und 93 ISO-Controls vorkonfiguriert ist. Für ein Unternehmen mit 800 Beschäftigten beträgt die jährliche Differenz zwischen interner Vollzeit-Rolle und externer Bestellung typischerweise 70.000 Euro pro Jahr, ohne Qualitätsabstrich, weil der externe ISB mit qualifizierter Vertretung, dokumentierter Fortbildung und Berufshaftpflicht arbeitet. CIVAC liefert die externe Bestellung mit denselben Werkzeugen, die auch ein interner ISB nutzen würde, sodass ein späterer Wechsel zur internen Besetzung ohne Datenmigration möglich bleibt. Frist läuft ab Kenntnis, und die Übernahme der Funktion startet diese Frist bei NIS-2-relevanten Vorfällen verlässlich. Zu berücksichtigen ist außerdem das Versicherungsthema: ein externer ISB bringt eine Berufshaftpflichtversicherung im siebenstelligen Bereich mit, was die persönliche Haftungslage der Geschäftsleitung nach § 130 OWiG strukturell entlastet, weil ein bestelltes Aufsichtsorgan mit Versicherungsschutz vorliegt. Auch der Recruiting-Vergleich fällt deutlich zugunsten der externen Bestellung aus, weil qualifizierte ISB-Kandidaten am Arbeitsmarkt knapp sind und Wartezeiten von sechs Monaten realistisch.

Die formale Verankerung des ISB ist häufig die schwächste Stelle der Compliance-Architektur im Mittelstand. § 38 NIS2UmsuCG verlangt die direkte Berichtslinie zur Geschäftsleitung. Anhang A.5.2 ISO/IEC 27001:2022 verlangt die definierte und dokumentierte Rolle. § 130 OWiG belegt eine fehlende Aufsicht durch die Geschäftsleitung mit Bußgeldern unabhängig von der Sicherheitsverletzung selbst. In der Praxis fehlt häufig eine unterschriebene Bestellurkunde, die Berichtslinie ist auf dem Papier in der IT-Abteilung verankert statt auf der Geschäftsleitungsebene, und die Unabhängigkeit des ISB ist durch Personalunion mit dem IT-Leiter gefährdet.

Eine seriöse ISB-Beratung schließt diese Lücken systematisch. Die Bestellurkunde wird ausgefertigt, unterschrieben und im Workspace versioniert abgelegt. Die Berichtslinie wird per Organigramm und Geschäftsordnung dokumentiert, sodass die Geschäftsleitung den ISB nicht über mittlere Führungsebenen instruiert. Die Unabhängigkeit wird durch Trennung von operativen IT-Verantwortungen und ISB-Funktion abgesichert, was in kleineren Unternehmen häufig nur über die externe Bestellung umsetzbar ist. CIVAC behandelt Bestellurkunde, Berichtslinie und Unabhängigkeitsnachweis als verbundene Objekte im Workspace, mit Zeitstempel und Versionierung. Bestellurkunde, unterschrieben, abgelegt, belegbar. Ein Auditor, der die formale Verankerung prüft, sieht ein vollständiges Bündel statt einer Sammlung loser Dokumente, was die Prüfungszeit erheblich verkürzt und Diskussionen über Lücken in der Verankerung vermeidet. Bei Konzernen mit mehreren rechtlich selbständigen Tochtergesellschaften wird die Bestellurkunde pro Mandant ausgefertigt, sodass die Aufsicht für jede Gesellschaft einen klaren Adressaten erkennt und nicht über Konzerngrenzen hinweg rätseln muss. Dieser Punkt wird in koordinierten Aufsichtsverfahren regelmäßig zum entscheidenden Detail. Hinzu kommt die laufende Pflege der formalen Verankerung: Wechsel in der Geschäftsleitung lösen im Workspace automatisch eine Überprüfungspflicht der Berichtslinie aus, sodass die Aufsicht nach einem Wechsel nicht auf eine veraltete Organisationsstruktur trifft.

Der typische Pfad im Mittelstand ist eine kurze Beratungsphase, in der die Lücken zur ISO/IEC 27001:2022 und zum NIS2UmsuCG geschlossen werden, gefolgt von einer dauerhaften ISB-Funktion. Der Übergang ist die kritische Phase, weil hier Wissen verloren gehen kann. Klassische Beratungsprojekte enden mit der Übergabe eines Maßnahmenplans und einer PowerPoint-Präsentation, ohne dass das Wissen über die spezifische Risikolage, die priorisierten Maßnahmen und die zu erwartenden Folgevorgänge in eine operative Rolle übergeht. Das Ergebnis ist ein zweites Beratungsprojekt sechs Monate später, weil die Funktion mittlerweile zurückgefallen ist.

Im CIVAC-Modell ist der Übergang strukturell anders gelöst. Die Beratungsphase findet bereits im Workspace statt, in dem auch die spätere Bestellung operiert. Das Statement of Applicability, die Risikobewertung, der Maßnahmenplan und die Berichtslinie sind während der Beratung bereits dort hinterlegt, wo der ISB nach Bestellung weiterarbeitet. Wechselt das Modell von Beratung zu Bestellung, ändert sich die vertragliche Konstellation und die Verantwortung, aber kein einziges Datum wird migriert. Wechselt das Modell von externer Bestellung zu interner Bestellung, bekommt der interne ISB exakt denselben Workspace mit derselben Historie. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, und treffen Sie die Modellentscheidung auf Basis Ihrer Personalstrategie. Diese Kontinuität ist der zentrale wirtschaftliche Hebel gegenüber klassischen Beratungsmodellen, weil sie die wiederkehrenden Onboarding-Kosten beseitigt. Auch die Berichtshistorie an die Geschäftsleitung bleibt lückenlos erhalten, was im Auditfall den Nachweis erleichtert, dass die Aufsichtspflicht nach § 130 OWiG durchgehend wahrgenommen wurde. Schließlich ändert sich die Risikoposition gegenüber der Versicherung der Geschäftsleitung positiv, weil eine durchgehend bestellte ISB-Funktion einen klar dokumentierten Risikominderungsbeitrag liefert.

Die Auswahl eines ISB-Beraters lässt sich entlang von sechs Kriterien sauber strukturieren. Erstens die Qualifikation der eingesetzten Person: anerkannte Zertifikate wie ISO/IEC 27001 Lead Implementer oder Lead Auditor, Berufserfahrung im Mittelstand und nachweisbare Mandate im relevanten Sektor. Zweitens die Bereitschaft, die Funktion nach der Beratungsphase als externer ISB zu übernehmen, weil die Übergabe sonst zum Zweitprojekt wird. Drittens die eigene Zertifizierung des Beratungshauses nach ISO/IEC 27001:2022, weil ein nicht zertifizierter Berater die Anforderungen schwer glaubwürdig vermitteln kann.

Viertens die Werkzeuge: ein Berater, der mit Excel und Word arbeitet, erzeugt einen Dokumentationsstand, der im laufenden Betrieb schnell veraltet. Ein Berater, der mit einer integrierten Plattform arbeitet, hinterlässt einen Workspace, der weiterläuft. Fünftens die Vertragsbedingungen: ein Festpreis für die Beratungsphase mit optionalem Folgevertrag für die Bestellung ist transparenter als ein Tagessatzmodell mit unklarem Endaufwand. Sechstens die Berufshaftpflichtversicherung: ein externer ISB sollte eine Versicherungssumme im siebenstelligen Bereich nachweisen, weil die Bußgelder nach NIS 2 bei wesentlichen Einrichtungen bis 10 Mio. Euro reichen. CIVAC erfüllt alle sechs Kriterien und liefert die Beratung mit demselben Team, das später die externe Bestellung übernimmt, wenn der Mandant diesen Pfad wählt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software, und diese Logik gilt vom ersten Beratungstag an. Ein zusätzliches Kriterium ist die Branchenkenntnis des eingesetzten ISB, weil die Sektorpflichten zwischen Energieversorgung, Industrie und digitalen Diensten erheblich variieren und ein sektorfremder Berater Lücken erst spät erkennt. Schließlich sollte die Vertragsstruktur eine klare Ausstiegsklausel für beide Seiten enthalten, damit ein Wechsel des Modells oder des Anbieters nicht zu einer faktischen Lock-in-Situation führt.

Ein belastbares Scoping-Gespräch für eine ISB-Beratung dauert 60 Minuten und benötigt drei Dokumente: die aktuelle ISMS-Dokumentation soweit vorhanden, die NIS-2-Sektorzuordnung mit Begründung und das letzte Audit- oder Pen-Test-Ergebnis. Auf dieser Grundlage lässt sich klären, ob das Unternehmen unter das NIS2UmsuCG fällt, welche Lücken im Statement of Applicability bestehen, welcher Vertragstyp wirtschaftlich passt und in welcher Reihenfolge die Beratungsphase und die Bestellungsphase ineinandergreifen. Das Gespräch erfolgt mit einem qualifizierten ISB, nicht mit einem Vertrieb, sodass die fachlichen Fragen unmittelbar belastbar geklärt werden.

Die Inbetriebnahme folgt dem Service-Level von 2 Werktagen ab unterschriebenem Auftrag bis zum lauffähigen Workspace mit aktiviertem Statement of Applicability, ISMS-Risikobewertung und Berichtslinie. Innerhalb der ersten 30 Tage werden die priorisierten Lücken geschlossen, die Bestellurkunde unterschrieben und der Quartalsbericht an die Geschäftsleitung etabliert. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, und entscheiden Sie den Vertragstyp nach Abschluss der Scoping-Phase, wenn die Kosten und Aufwände transparent vorliegen. Aus dem Lesen einen Auftrag machen. Sie erreichen das Team unter info@civac.de oder über das Kontaktformular auf civac.de. Die Erstantwort erfolgt innerhalb eines Werktags, das Angebot innerhalb von zwei Werktagen, einschließlich Festpreis für die Beratungsphase und optionalem Festpreis für die ersten zwölf Monate der externen Bestellung. Auf Wunsch begleitet ein qualifizierter ISB das erste Quartalsgespräch mit der Geschäftsleitung, um die Berichtslinie zu etablieren und die Standards für die folgenden Quartalsberichte zu setzen. Damit ist die Funktion ab dem ersten Quartal nicht nur rechtlich, sondern auch kommunikativ in der Geschäftsleitung verankert.