ISB für Kritische Infrastruktur bestellen: Pflicht, Profil und Bestellurkunde im Detail

Mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) und der Modernisierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ist die Bestellung eines Informationssicherheitsbeauftragten für Betreiber kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen keine Empfehlung mehr, sondern Pflicht mit konkreter Frist. Etwa 29.500 Unternehmen in Deutschland fallen unter den erweiterten Anwendungsbereich, von Energieversorgung und Gesundheitswesen über Transport und digitale Infrastruktur bis Lebensmittelproduktion und Abfallwirtschaft. Die Pflicht ergibt sich aus § 38 BSIG-neu in Verbindung mit Anhang I und II der Richtlinie (EU) 2022/2555 und wird mit Bußgeldern bis 10 Mio. Euro oder 2 % des Konzernumsatzes bei wesentlichen und bis 7 Mio. Euro oder 1,4 % bei wichtigen Einrichtungen sanktioniert.

Der Beitrag adressiert die operativen Fragen rund um die Bestellung: Wann ist ein Unternehmen KRITIS-Betreiber, wann besonders wichtige, wann wichtige Einrichtung? Welche Mindestqualifikation muss der Informationssicherheitsbeauftragte (ISB) erfüllen? Wie sieht die Bestellurkunde aus, die im Audit vorgelegt wird? Wie funktioniert die Berichtslinie an die Geschäftsführung im Verhältnis zum Bundesamt für Sicherheit in der Informationstechnik? Und wie integriert sich der 24-Stunden-Frühwarnung- und 72-Stunden-Folgemeldung-Pfad in die laufende Arbeit? Der Beitrag verzichtet auf den allgemeinen NIS-2-Primer und fokussiert auf die Beauftragten-Pflicht und deren konkrete Umsetzung im CIVAC-Workspace.

Die NIS-2-Richtlinie unterscheidet drei Kategorien, die im deutschen NIS-2-Umsetzungsgesetz übernommen werden. KRITIS-Betreiber sind Anlagenbetreiber in elf Sektoren oberhalb definierter Schwellenwerte (Energie, Wasser, Ernährung, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Finanz- und Versicherungswesen, Siedlungsabfallentsorgung, Staat und Verwaltung, Medien und Kultur, Weltraum). Besonders wichtige Einrichtungen sind Unternehmen ab 250 Mitarbeitenden oder 50 Mio. Euro Umsatz und 43 Mio. Euro Bilanzsumme in den NIS-2-Sektoren mit hohem Kritikalitätsgrad. Wichtige Einrichtungen sind Unternehmen ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz in den weiteren NIS-2-Sektoren.

Die ISB-Pflicht folgt aus § 38 BSIG-neu in Verbindung mit den Anforderungen an Risikomanagement und Cyberhygiene aus § 30 BSIG-neu. Anders als bei KRITIS unter dem alten IT-Sicherheitsgesetz 2.0 ist die Bestellung eines benannten Beauftragten unter NIS-2 nicht mehr optional und kann auch nicht durch ein generisches IT-Sicherheitsmanagement ersetzt werden. Der ISB ist ausdrücklich die Person, die für die Umsetzung der Risikomanagementmaßnahmen nach § 30 BSIG-neu, für die Meldepflichten nach § 32 BSIG-neu (24h Frühwarnung, 72h Folgemeldung, Abschlussmeldung) und für die Kommunikation mit dem Bundesamt für Sicherheit in der Informationstechnik benannt ist. Das Anforderungsprofil orientiert sich an der BSI-Standard 200-2 Beschreibung der Rolle. Der externe Informationssicherheitsbeauftragte kann diese Pflicht für mittelständische Einrichtungen ausfüllen, ohne dass die Funktion intern hauptamtlich besetzt werden muss. Wichtig ist dabei, dass die Abgrenzung zwischen KRITIS-Betreiber, besonders wichtiger und wichtiger Einrichtung im Einzelfall geprüft wird, weil sich Sektorzuordnung, Schwellenwerte und sektorale Spezialregelungen überlagern und ein Unternehmen häufig gleichzeitig in mehreren Kategorien erfasst ist. Diese Mehrfachzuordnung wird in der Bestellurkunde des ISB ausdrücklich genannt.

Die Bestellpflicht ergibt sich aus drei sich überlagernden Regelwerken. Erstens das NIS-2-Umsetzungsgesetz, das die Richtlinie (EU) 2022/2555 in deutsches Recht überführt und in § 30 BSIG-neu zehn Mindestanforderungen an Risikomanagementmaßnahmen festschreibt: Risikoanalyse, Vorfallbewältigung, Backup und Wiederanlauf, Lieferkettensicherheit, Sicherheit der Beschaffung und Entwicklung, Wirksamkeitskontrolle, grundlegende Cyberhygiene, Verschlüsselung, Personalsicherheit und Multi-Faktor-Authentifizierung. Zweitens der BSI-Standard 200-2 (IT-Grundschutz-Methodik), der die Rolle des Informationssicherheitsbeauftragten in Aufgaben, Befugnissen, Berichtslinie und Unabhängigkeit beschreibt. Drittens sektorale Spezialregelungen für KRITIS-Betreiber, etwa der branchenspezifische Sicherheitsstandard (B3S) im Gesundheitswesen, im Energiesektor oder in der Wasserversorgung, die jeweils zusätzliche Anforderungen an das ISMS und an die ISB-Funktion stellen.

Praktisch bedeutet das: Eine besonders wichtige Einrichtung im Gesundheitswesen mit 600 Mitarbeitenden steht gleichzeitig unter NIS-2, unter dem KHZG-anerkannten B3S Krankenhaus und unter den DSGVO-Anforderungen für Patientendaten. Der ISB muss in der Bestellurkunde sowohl die NIS-2-Aufgaben als auch die B3S-Verpflichtungen aufnehmen, oder es werden parallel zwei Beauftragte bestellt mit klar abgegrenztem Geltungsbereich. CIVAC führt diese Überlagerung in einem einzigen Workspace, mit einer Bestellurkunde, die alle einschlägigen Rechtsgrundlagen nennt und mit Querverweisen auf die jeweiligen Audit-Vorlagen. Ein Auditor des Bundesamts für Soziale Sicherung oder des BSI sieht in jedem Fall dieselbe Funktion und denselben Verantwortlichen, und es entstehen keine Lücken im Geltungsbereich. Für die Geschäftsführung ist diese saubere Abgrenzung auch ein Steuerungsinstrument, weil sich an einer Bestellurkunde mit klaren Geltungsbereichen ablesen lässt, welche Anlagen, Standorte und Gesellschaften welcher Aufsicht unterliegen und welche Berichte an welche Behörde zu welcher Frequenz zu erstatten sind. Diese Klarheit reduziert die Wahrscheinlichkeit von Doppelmeldungen und von Meldungslücken gleichermaßen.

Das BSI beschreibt im IT-Grundschutz-Kompendium und in BSI-Standard 200-2 das Mindestprofil eines Informationssicherheitsbeauftragten. Erstens fachliche Qualifikation: Kenntnisse in Informationssicherheits-Managementsystemen nach ISO/IEC 27001:2022 oder IT-Grundschutz, in der Bedrohungslage typischer Sektor-Angriffsmuster, in den geltenden Rechtsgrundlagen (BSIG, BDSG, sektorale Gesetze) und in der Vorfallbehandlung mit Forensik-Anbindung. Zweitens Unabhängigkeit: Der ISB darf nicht in einem Interessenkonflikt zur eigenen Tätigkeit stehen. Eine Doppelung mit der IT-Leitung ist regelmäßig konfliktträchtig, weil derselbe Akteur Sicherheitsmaßnahmen umsetzen und kontrollieren müsste. Drittens Verfügbarkeit: Der ISB muss innerhalb der 24-Stunden-Frühwarnungsfrist nach § 32 BSIG-neu erreichbar sein, was eine reine Stellvertreterregelung ohne Eskalationspfad nicht erfüllt.

Aus diesem Anforderungsprofil folgt für viele Mittelständler die Entscheidung für einen externen ISB. Die Marktlage für interne Hauptamts-ISBs ist angespannt: Die Bundesagentur für Arbeit weist 2025 mehrere zehntausend offene Stellen im Bereich IT-Sicherheit aus, die mittleren Jahresgehälter liegen über 90.000 Euro, und die Fluktuation in der Rolle ist hoch. Ein externer ISB löst Verfügbarkeit, Konflikt und Kosten in einem Schritt, sofern die Bestellung formal sauber ist und die Erreichbarkeit im Vertrag fixiert ist. CIVAC bestellt den ISB innerhalb von zwei Werktagen aus einem geprüften Officer-Pool, mit nachgewiesener Branchenerfahrung, ISO/IEC 27001 Lead Auditor- oder BSI-zertifizierter Qualifikation und einem verbindlichen Reaktions-SLA für die NIS-2-Meldepfade. Lizenzieren Sie den Workspace für Ihren internen ISB, oder lassen Sie unseren ISB bestellen. Beide Modelle werden in der Bestellurkunde nach denselben Standards dokumentiert, sodass eine Aufsichtsbehörde im Audit keinen formalen Unterschied zwischen interner und externer Lösung erkennt und beide Varianten in der laufenden Berichterstattung mit denselben Vorlagen arbeiten.

Die Bestellurkunde ist das zentrale Beweisdokument gegenüber dem BSI. Sie nennt die Rechtsgrundlage (§ 38 BSIG-neu, ergänzend BSI-Standard 200-2 und sektorale Regelungen), den vollständigen Namen des Bestellten, das Bestelldatum, den Geltungsbereich (Gesellschaften, Standorte, Anlagen), die Aufgaben (Umsetzung der Risikomanagementmaßnahmen nach § 30 BSIG-neu, Meldepfade nach § 32 BSIG-neu, Kommunikation mit dem BSI, Schulung, interne Audits, Berichterstattung an die Geschäftsführung), die Berichtslinie an die oberste Leitungsebene mit Erreichbarkeit, die Unabhängigkeitsklausel mit ausdrücklicher Weisungsfreiheit in fachlichen Fragen und die Geltungsdauer. Die Urkunde wird von der Geschäftsführung und vom ISB unterschrieben, mit Zeitstempel versehen und im Workspace abgelegt.

Ohne diese Urkunde gilt die Bestellung im Auditfall als nicht erfolgt. Das BSI prüft die Existenz, den Inhalt und die Aktualität der Bestellurkunde regelmäßig im Rahmen von Selbsterklärungen und vor Ort. Häufige Befunde sind: fehlende Unabhängigkeitsklausel, generischer Geltungsbereich ohne Auflistung der erfassten Gesellschaften, keine Berichtslinie an die Geschäftsführung, Bestelldatum vor Übernahme der Funktion, abgelaufene Geltungsdauer ohne Verlängerung. Die CIVAC-Vorlage trägt jede dieser Fallstricke ab und produziert eine Bestellurkunde, die unmittelbar audittauglich ist. Bestellurkunde, unterschrieben, abgelegt, belegbar. Im Workspace ist die Urkunde mit dem Statement of Applicability, dem Risikobehandlungsplan und den Meldepfad-Vorlagen verknüpft, sodass der ISB seine Aufgaben aus der Bestellung heraus operativ steuern kann und nicht in einem separaten Tool starten muss. Zudem ist eine Vertretungsregelung Bestandteil der Bestellung, weil die 24-Stunden-Frühwarnung auch im Urlaubs- oder Krankheitsfall sichergestellt sein muss. Die Vertretung wird namentlich benannt, ebenfalls geschult und im Workspace mit identischen Berechtigungen ausgestattet. Diese Verzahnung von Bestellung und operativer Akte ist auch deshalb wichtig, weil das BSI bei einer Selbsterklärung nach § 39 BSIG-neu nicht nur die Existenz des ISB, sondern auch dessen tatsächliche Wirksamkeit prüft.

Mit NIS-2 wird die Meldefrist auf einen dreistufigen Pfad festgesetzt: 24 Stunden Frühwarnung nach Kenntnis eines erheblichen Sicherheitsvorfalls, 72 Stunden Folgemeldung mit erster Bewertung, einen Monat Abschlussmeldung. Die Fristen laufen ab Kenntnis, nicht ab abgeschlossener Forensik. § 32 BSIG-neu konkretisiert die Inhalte der drei Meldungen: Frühwarnung mit Indizien, mutmaßlicher Ursache, möglicher Auswirkung und ergriffenen Sofortmaßnahmen; Folgemeldung mit aktualisierter Bewertung; Abschlussmeldung mit detaillierter Beschreibung des Vorfalls, der Ursache, der Wirkung, der getroffenen Maßnahmen und der Lessons Learned.

Operativ steht der ISB im Mittelpunkt jeder dieser Meldungen. Er klassifiziert den Vorfall, prüft die Erheblichkeit anhand der Kriterien der Durchführungsverordnung (EU) 2024/2690 (Erstreckung der Definition), entscheidet über die Aktivierung der Frühwarnung und versendet die Meldung über die Meldeplattform des BSI. Der CIVAC-Workspace enthält die vorbereitete Frühwarnungs- und Folgemeldungs-Vorlage mit den Pflichtfeldern, einen Klassifikationsleitfaden und ein Eskalationsschema an die Geschäftsführung. Frist läuft ab Kenntnis. Ein erheblicher Vorfall wird intern im Workspace eröffnet, die Uhr läuft mit dem Zeitstempel der Kenntnisnahme, die Frühwarnung wird innerhalb von 24 Stunden versandt, die Folgemeldung innerhalb von 72 Stunden, die Abschlussmeldung innerhalb eines Monats. Jeder Versand ist mit Quittung und Eingangsbestätigung im Workspace dokumentiert, und die Geschäftsführung erhält denselben Stand zur selben Zeit. Die Erheblichkeitskriterien werden in einer eigenen Vorlage geführt, sodass die Klassifikationsentscheidung dokumentiert und im Nachhinein nachvollziehbar ist. Wer eine als nicht erheblich eingestufte Vorfallklasse später als erheblich erkennt, kann die nachgelagerte Meldung mit Verweis auf die ursprüngliche Einstufung sauber begründen. Die Geschäftsführung wird über den Workspace synchron einbezogen, sodass keine Parallelkommunikation per Mail erforderlich ist und die Eskalationsentscheidung in einem Audit-Trail mit Zeitstempel dokumentiert bleibt.

§ 38 Absatz 1 BSIG-neu schreibt vor, dass die Geschäftsleitung die Umsetzung der Risikomanagementmaßnahmen überwachen muss. § 38 Absatz 2 BSIG-neu konkretisiert die persönliche Haftung der Geschäftsleitung für Verstöße gegen die Aufsichtspflicht. Beide Vorschriften haben eine konkrete Konsequenz für die Berichtslinie des ISB: Sie muss direkt an die Geschäftsführung gehen, sie muss dokumentiert sein, und die Geschäftsführung muss die Berichte nachweislich zur Kenntnis nehmen und auf erkannte Risiken reagieren. Eine Berichtslinie an die IT-Leitung mit gelegentlicher Eskalation an die Geschäftsführung erfüllt die Anforderung nicht.

CIVAC strukturiert die Berichtslinie in einem Quartalsbericht mit Standardpunkten (Risikolage, Maßnahmenstand, Vorfälle, Audits, regulatorische Änderungen), Anlassberichten bei meldepflichtigen Vorfällen mit definierten Schwellen und einem Eskalationspfad an Geschäftsführung und Aufsichtsrat bei wiederholt unbearbeiteten Risiken. Der Quartalsbericht wird elektronisch zugestellt, die Geschäftsführung bestätigt den Empfang, die Maßnahmen werden im Workspace verfolgt. Im Haftungsfall ist diese Protokollierung doppelt wertvoll: Sie schützt die Geschäftsführung gegen den Vorwurf der Unkenntnis und sie schützt den ISB gegen den Vorwurf der Unterlassung. Die Plattform liefert nicht nur die Berichte, sondern auch den Beweis, dass die Berichte erfolgt sind und dass auf sie reagiert wurde. Der Prüfer ruft an, der Nachweis liegt bereit. Geschäftsführung und Aufsichtsrat erhalten zudem eine kondensierte Sicht für ihre eigene Sitzungsvorbereitung, sodass die Berichtslinie nicht in einem Aktenstapel endet, sondern als Steuerungsinstrument auf die Tagesordnung gelangt. Frist läuft ab Kenntnis. Wer als Geschäftsführerin oder Geschäftsführer einen Bericht des ISB erhält, ohne unverzüglich Maßnahmen zu veranlassen oder dokumentierte Gründe für eine Risikoakzeptanz zu hinterlegen, übernimmt das persönliche Haftungsrisiko nach § 38 Absatz 2 BSIG-neu.

Die Kosten eines externen ISB für eine besonders wichtige Einrichtung mit 250 bis 1.000 Mitarbeitenden bewegen sich in Deutschland zwischen 1.800 und 4.800 Euro pro Monat im Festpreismodell, je nach Sektor, Anzahl der Standorte, Komplexität der OT-Umgebung und vorhandener ISMS-Reife. Für KRITIS-Anlagen mit ausgeprägter operativer Technologie und Auflagen aus dem branchenspezifischen Sicherheitsstandard liegt die Spanne bei 5.000 bis 12.000 Euro monatlich. Ein interner Hauptamts-ISB schlägt mit 110.000 bis 160.000 Euro Jahresgesamtkosten zu Buche und benötigt eine Stellvertretung. Die wirtschaftliche Vergleichsbasis ist daher klar zugunsten des externen Modells für die meisten Einrichtungen unterhalb der Konzerngröße.

Die Bestellung bei CIVAC läuft in zwei Werktagen. Tag eins: Intake mit Sektor, Mitarbeiterzahl, Standortliste, ISMS-Status, vorhandenen Zertifikaten, OT-Inventar, Vorfallhistorie und sektoralen Auflagen. Konfliktprüfung gegen den Officer-Pool. Vertragsentwurf aus der Vorlage und NDA. Tag zwei: signierte Bestellurkunde, Anzeige bei der zuständigen Behörde (BSI für NIS-2, gegebenenfalls Bundesnetzagentur, Bundesanstalt für Finanzdienstleistungsaufsicht oder Bundesamt für Bevölkerungsschutz und Katastrophenhilfe je nach Sektor), Veröffentlichung des Kontakts auf der Unternehmensseite, Kick-off mit der Geschäftsführung zur Bestätigung der Berichtslinie. Ab diesem Zeitpunkt gilt der laufende SLA von zwei Werktagen für Risikobewertungen, ISMS-Reviews und Vorfallreaktionen. Die Plattform-Lizenz für den internen ISB folgt demselben Prozess, nur dass die Person aus dem Unternehmen kommt. Der laufende Aufwand bleibt für die Geschäftsführung kalkulierbar, weil der Festpreis nicht nur die Beauftragten-Stunden, sondern auch die Audit-Vorlagen, die Berichtspflichten und die Meldepfad-Konfiguration einschließt und keine versteckten Nachverhandlungen zu Beginn eines neuen Quartals nötig werden. Einkauf und Justiziariat können die SLA-Pflichten Zeile für Zeile mit den NIS-2-Fristen abgleichen und im Lieferantenfragebogen weiterreichen, weil die SLAs vertraglich gefasst und nicht im Verkaufsgespräch versprochen sind.

Der ISB ist nicht das ISMS, aber er ist der Verantwortliche für seine Wirksamkeit. § 30 BSIG-neu verlangt ein dokumentiertes Risikomanagement-System, ohne ein spezifisches Rahmenwerk vorzuschreiben. In der Praxis greifen Unternehmen entweder auf ISO/IEC 27001:2022 mit den 93 Controls nach Anhang A oder auf den BSI IT-Grundschutz mit seinen Bausteinen zurück. Beide Rahmenwerke werden vom BSI als geeignete Nachweise akzeptiert. Wer bereits zertifiziert ist, muss in der Übergangsphase nach Oktober 2026 die NIS-2-spezifischen Anforderungen aus § 30 BSIG-neu in das bestehende ISMS integrieren, ohne die Zertifikatslogik zu sprengen.

CIVAC verlinkt im Workspace jede der 93 ISO-Controls mit der Verantwortung des ISB, dem Geltungsbereich, dem Reifegrad und dem nächsten Audit-Termin. Das Statement of Applicability wird aus dieser Datenbasis generiert und ist kein separates Dokument mehr, sondern eine Sicht auf den Workspace. Die Risikobehandlungspläne werden aus den identifizierten Risiken abgeleitet, mit Maßnahmenverantwortlichkeit, Fälligkeit und Wirksamkeitsmessung. Das interne Audit-Programm wird im Workspace geplant, die Management Reviews werden dokumentiert, die Korrekturmaßnahmen werden nachverfolgt. Wenn das BSI eine Selbsterklärung nach § 39 BSIG-neu anfordert, ist die Erklärung aus dem Workspace exportierbar, mit Datum, Verantwortlichem und vollständigem Bezug zu den umgesetzten Maßnahmen. Audit-fest, dokumentiert, § 30-fest. Diese Verzahnung von ISMS-Inhalt und ISB-Verantwortung ist auch der Grund, warum Zertifizierungsstellen die CIVAC-Mandate in der Übergangsphase auf ISO/IEC 27001:2022 als belegfähig akzeptieren, weil der Auditor nicht zwischen ISMS-Tool und Beauftragtenakte springen muss. Lieferantenaudits durch Großkunden werden über dieselbe Datenbasis bedient, sodass eine eigenständige Dokumentenstrecke für Kundenfragebögen entfällt und die Compliance-Funktion ihre Zeit für Risikoarbeit statt für Aktenpflege einsetzen kann.

Die ISB-Pflicht für KRITIS-Betreiber und NIS-2-Einrichtungen ist seit der Verabschiedung des NIS-2-Umsetzungsgesetzes operationalisierbar. Wer als besonders wichtige oder wichtige Einrichtung identifiziert ist und noch keine formale Bestellung mit Bestellurkunde, Berichtslinie und Meldepfad vorhält, trägt das Bußgeldrisiko nach § 39 BSIG-neu (bis 10 Mio. Euro oder 2 % des Konzernumsatzes bei wesentlichen, bis 7 Mio. Euro oder 1,4 % bei wichtigen Einrichtungen) und das persönliche Haftungsrisiko der Geschäftsführung nach § 38 Absatz 2 BSIG-neu. Beide Risiken realisieren sich nicht erst im Vorfall, sondern bereits in der Aufsichtskontrolle ohne Vorfall, wenn die Bestellurkunde nicht vorliegt.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihren internen Informationssicherheitsbeauftragten, oder lassen Sie unseren ISB bestellen. Beide Wege liefern denselben Standard: Bestellurkunde nach § 38 BSIG-neu mit allen Pflichtangaben, Statement of Applicability für die 93 Controls nach ISO/IEC 27001:2022, 24-Stunden-Frühwarnungs- und 72-Stunden-Folgemeldungspfad an das BSI, dokumentierte Berichtslinie an die Geschäftsführung, EU-Datenresidenz, SLA von zwei Werktagen. Die Bestellung ist eine E-Mail an info@civac.de oder das Kontaktformular auf civac.de. Innerhalb des ersten Werktages liegt der Intake vor, am zweiten Werktag steht die unterschriebene Bestellurkunde im Workspace, in derselben Woche ist die Berichtslinie aktiv und der Meldepfad zum BSI ist konfiguriert. Aus dem Lesen einen Auftrag machen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit. Wer den Schritt heute zurückstellt, verschiebt nicht das Risiko, sondern nur den Zeitpunkt seiner Realisierung; eine Bestellung mit Bestellurkunde und aktiver Berichtslinie ist die einzige Form, in der die Pflicht aus § 38 BSIG-neu im Audit als erfüllt anerkannt wird.