ISB bestellen: Pflicht, Eignung, Bestellurkunde und Kostenrahmen

Das deutsche NIS-2-Umsetzungsgesetz verpflichtet rund 29.500 Unternehmen, einen Informationssicherheitsbeauftragten zu benennen und die Geschäftsleitung über das Cybersicherheitsrisikomanagement zu informieren. Hinzu kommen Branchenregelwerke wie BSI-Grundschutz, ISO/IEC 27001:2022, KRITIS-Verordnungen und der bankaufsichtsrechtliche BAIT-/VAIT-Rahmen, die jeweils eine vergleichbare Rolle fordern.

Wer einen ISB bestellen will, steht vor sechs Fragen: Wer ist überhaupt verpflichtet, welche Eignung muss die Person nachweisen, welche Aufgaben gehören in den Bestellungsumfang, wie sieht eine prüffähige Bestellurkunde aus, an wen berichtet die Rolle, und ist eine interne oder externe Bestellung wirtschaftlicher? Dieser Beitrag beantwortet die sechs Fragen entlang der einschlägigen Paragraphen und liefert eine Vorlage, die der zuständigen Aufsicht standhält.

Die Bestellpflicht ergibt sich aus mehreren parallelen Rechtsquellen. Erstens das NIS-2-Umsetzungsgesetz: Wesentliche und wichtige Einrichtungen müssen Risikomanagementmaßnahmen einführen und eine zuständige Person benennen, die das BSI-Meldewesen bedient. Die Schwellenwerte sind 50 Beschäftigte und 10 Mio. Euro Jahresumsatz für die meisten Sektoren. Hinzu kommen sektorale Schwellen, etwa für digitale Infrastruktur, Verwaltung von IKT-Diensten, öffentliche Verwaltung, Banken, Gesundheit und Energie.

Zweitens ISO/IEC 27001:2022. Wer ein zertifiziertes ISMS betreibt oder anstrebt, benötigt eine verantwortliche Person nach Control A.5.1, A.5.2 und A.5.3. Drittens sektorspezifische Anforderungen, etwa BAIT für Banken, VAIT für Versicherer, KRITIS-Verordnung für Betreiber kritischer Anlagen, KAIT für Kapitalverwaltungsgesellschaften. Viertens das öffentliche Vergaberecht, in dem Auftraggeber zunehmend einen benannten Informationssicherheitsbeauftragten in Ausschreibungen fordern. Ein Überblick zur Rolle: externer Informationssicherheitsbeauftragter.

Die Eignung eines ISB ist nicht durch ein einzelnes Zertifikat geregelt, sondern durch nachweisbare Fachkunde in vier Bereichen. Erstens regulatorisches Wissen: NIS-2, BSI-Gesetz, ISO/IEC 27001:2022, ggf. KRITIS, BAIT, VAIT, TISAX und branchenrelevante Spezialgesetze. Zweitens technisches Wissen: Netzwerksicherheit, Identity- und Access-Management, Kryptographie, Logging, Incident Response, Cloud-Security und Resilienz. Drittens organisatorisches Wissen: Risikomanagement, Lieferantensteuerung, Schulung, Awareness und Kommunikation mit Geschäftsleitung und Aufsicht.

Viertens Erfahrung: Mindestens zwei bis drei abgeschlossene ISMS-Einführungen oder vergleichbare Mandate. Übliche Zertifikate als Beleg sind ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, BSI-Grundschutz-Praktiker, CISM oder CISSP. Ein Zertifikat ersetzt keine Erfahrung. Wichtig ist die dokumentierte Fortbildungspflicht. CIVAC führt für jede bestellte Rolle eine Fortbildungsakte mit Stunden und Themen, sodass die Eignung bei einem Auditbesuch belegbar bleibt. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Ein präzise formulierter Aufgabenkreis schützt beide Seiten. Aus der Praxis sind acht Aufgaben Standard. (1) Aufbau und Pflege des Informationssicherheitsmanagementsystems nach ISO/IEC 27001:2022 mit allen 93 Controls. (2) Erstellung und jährliche Fortschreibung der IT-Sicherheitsleitlinie. (3) Risikoanalyse nach anerkannter Methodik, mit dokumentierter Akzeptanz durch die Geschäftsleitung. (4) Steuerung des Notfallmanagements einschließlich Tabletop-Übungen.

(5) Bedienung des NIS-2-Meldepfads an das BSI mit 24-Stunden-Frühwarnung und 72-Stunden-Folgemeldung. (6) Schulung und Awareness für alle Mitarbeitenden, mit Teilnahmenachweis je Person. (7) Lieferanten- und Cloud-Steuerung nach Art. 28 DSGVO bei personenbezogenen Daten und nach Anhang A.5.19 bis A.5.23 der ISO/IEC 27001:2022 für sicherheitsrelevante Dienstleister. (8) Berichterstattung an die Geschäftsleitung mindestens quartalsweise, an den Aufsichtsrat oder Beirat mindestens jährlich. Im CIVAC-Workspace sind diese acht Aufgaben als Bausteine vorbelegt und individuell anpassbar.

Eine prüffähige Bestellurkunde enthält acht Pflichtinhalte. (1) Bezeichnung der zuständigen Stelle und der Rechtsgrundlage, etwa NIS-2-Umsetzungsgesetz, ISO/IEC 27001:2022 und ggf. sektorale Regelung. (2) Name und Funktion der bestellten Person, bei externen Bestellungen zusätzlich der vertretende Vertragspartner und die Vertretungsregelung. (3) Vollständiger Aufgabenkatalog, idealerweise nach den acht Standardaufgaben gegliedert. (4) Berichtslinie zur Geschäftsleitung mit Frequenz und Eskalationspfad.

(5) Ressourcenzusage in Personentagen pro Monat oder Jahr und in Budget für externe Audits und Werkzeuge. (6) Schutz vor Benachteiligung wegen der Wahrnehmung der Funktion, analog zu § 6(4) BDSG für Datenschutzbeauftragte. (7) Dauer der Bestellung, Kündigungsfrist und Übergabepflichten am Ende des Mandats. (8) Datum und Unterschrift der Geschäftsleitung. Die Urkunde wird mit Versionshistorie archiviert. Eine Mustervorlage ist Teil der 37 einsatzbereiten CIVAC Audit-Vorlagen und kann innerhalb von zwei Werktagen ausgestellt werden. Der Prüfer ruft an, der Nachweis liegt bereit.

Die ISB-Rolle ist wirksam nur mit direkter Berichtslinie zur Geschäftsleitung. Eine Aufhängung unter der IT-Leitung schafft einen strukturellen Interessenkonflikt: Der ISB müsste die Maßnahmen der Person bewerten, die ihn führt. NIS-2 verlangt explizit, dass die Geschäftsleitung selbst geschult und über das Cybersicherheitsrisikomanagement informiert ist. Wer den ISB drei Stufen unterhalb der Geschäftsführung aufhängt, erfüllt diese Anforderung formal, riskiert aber den Wirksamkeitsnachweis.

Die typische Berichtsfrequenz im Mittelstand: monatlicher Statusbericht an die IT-Leitung, vierteljährlicher Bericht an die Geschäftsführung, jährlicher Bericht an den Beirat oder Aufsichtsrat. Bei meldepflichtigen Sicherheitsvorfällen unverzüglich an die Geschäftsleitung. Externe ISB-Mandate erhalten denselben Berichtszugang wie interne Rollen und dokumentieren jede Sitzung im Workspace. Die dualen Modelle: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In beiden Fällen liegt die Berichtsdokumentation prüffähig vor.

Eine interne ISB-Vollzeitstelle kostet in Deutschland 85.000 bis 120.000 Euro brutto pro Jahr, plus Sozialaufwand, Schulungsbudget und Werkzeuge. Realistischer Vollkostensatz: 130.000 bis 160.000 Euro pro Jahr. Hinzu kommt das Rekrutierungsrisiko: ISB-Stellen bleiben in Deutschland im Schnitt fünf bis neun Monate unbesetzt. Eine externe Bestellung erfüllt die gleiche Pflicht in der Regel mit 55.000 bis 95.000 Euro pro Jahr, abhängig von Unternehmensgröße, Komplexität und gewünschter Audit-Begleitung.

Wirtschaftlich klar ist die externe Bestellung für mittelständische Unternehmen zwischen 50 und 800 Beschäftigten. Bei sehr großen Konzernen oder hochregulierten Sektoren kann eine hybride Lösung sinnvoll sein: ein interner ISB, unterstützt durch eine externe Plattform mit Vorlagen, Audit-Begleitung und Notfall-Backup. CIVAC liefert die externe Bestellung über eine Bestellurkunde innerhalb von zwei Werktagen, mit Vertretungsregelung, Haftpflichtdeckung und einem direkt verfügbaren NIS-2 24/72-Meldepfad. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Tiefer zur NIS-2-Lage: NIS-2-Umsetzung Deutschland 2026.

ISB und Datenschutzbeauftragter überschneiden sich an drei Punkten: technische und organisatorische Maßnahmen nach Art. 32 DSGVO, die 72-Stunden-Meldung von Datenpannen nach Art. 33 DSGVO und die Bewertung neuer IT-Systeme im Rahmen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Wenn eine Datenpanne gleichzeitig ein meldepflichtiger Sicherheitsvorfall nach NIS-2 ist, laufen beide Fristen parallel. 72 Stunden DSGVO ab Kenntnis der Datenpanne, 24 Stunden NIS-2 Frühwarnung und 72 Stunden NIS-2 Folgemeldung ab Kenntnis des Sicherheitsvorfalls.

Die saubere Lösung ist eine gemeinsame Vorfall-Pipeline, an die ISB und Datenschutzbeauftragter aus ihren Rollen heraus zugreifen. Wer beide Rollen extern bestellt, sollte sie nicht in einer Person bündeln, sondern in einem Team mit getrennten Bestellurkunden und gemeinsamem Workspace. § 38(6) BDSG erlaubt die Vereinbarkeit beider Rollen in einer Person nur, wenn kein Interessenkonflikt besteht. In der Praxis ist eine personelle Trennung sauberer. CIVAC bestellt beide Rollen aus dem gleichen Officer-as-a-Service-Pool und teilt eine Evidenzschicht mit getrennten Zugriffen. Audit-fest, dokumentiert, § 130 OWiG-fest.

Werktag 1: Scoping-Gespräch, Klärung von NIS-2-Status, sektoralen Pflichten, ISMS-Reifegrad und Budgetrahmen. Werktag 2 bis 3: Auswahl der bestellten Person inklusive Vertretung, Abgleich der Eignungsnachweise, Versand der Bestellurkunde zur internen Prüfung. Werktag 4 bis 5: Unterschrift durch Geschäftsleitung, Veröffentlichung im internen Verzeichnis, Einrichtung der Berichtslinie und der zentralen Kontaktadresse für die Aufsicht.

Werktag 6 bis 7: Inventur des Bestands. Welche Risikoanalyse liegt vor, welche Vorfälle wurden gemeldet, welche TOMs sind dokumentiert, welche Lieferantenverträge enthalten Sicherheitsanforderungen? Werktag 8 bis 10: Aufsetzen des Meldepfads, erste Tabletop-Übung und Kickoff des 90-Tage-Plans. Der Branchenstandard liegt bei vier bis acht Wochen, weil Vorlagen und Personen erst gesucht werden. Mit dem CIVAC-Workspace und der Officer-as-a-Service-Variante ist die Bestellung in zehn Werktagen vollzogen, die Bestellurkunde liegt unterschrieben, abgelegt und belegbar vor.

Wer einen ISB bestellen muss, hat drei Optionen: intern aufbauen, extern bestellen oder hybrid arbeiten. Alle drei Wege erfüllen die gesetzliche Pflicht, wenn die Bestellurkunde sauber ausgestellt, die Berichtslinie zur Geschäftsleitung dokumentiert und der Meldepfad an das BSI getestet ist. Die Frage ist nicht, welcher Weg formal richtig ist, sondern welcher Weg in Ihrem Unternehmen am schnellsten einen prüffähigen Zustand erreicht.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz und ISO/IEC 27001:2022 ISMS. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Bestellurkunde liegt in zwei Werktagen vor, der NIS-2-Meldepfad steht ab Tag eins, die 37 Audit-Vorlagen verkürzen die ersten 90 Tage spürbar. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de für ein 30-minütiges Scoping-Gespräch.