IT-Sicherheitsbeauftragter: Rolle, Bestellung und operative Realität

Der IT-Sicherheitsbeauftragte, in der Norm und in der NIS-2-Welt zunehmend als Informationssicherheitsbeauftragter (ISB) bezeichnet, ist die zentrale Rolle, in der technische Risiken, organisatorische Pflichten und die Berichtslinie zur Geschäftsleitung zusammenlaufen. § 38 BSIG in der Fassung des NIS-2-Umsetzungsgesetzes verlangt von wesentlichen und wichtigen Einrichtungen wirksames Risikomanagement, eine ausgebildete Leitung und eine belegbare Meldekette mit einer 24-Stunden-Frühwarnung und einer 72-Stunden-Folgemeldung an das BSI. Die ISO/IEC 27001:2022 verlangt zusätzlich eine dokumentierte ISMS-Verantwortung, die in der Praxis am ISB hängt.

Der Beitrag beschreibt die Rolle ohne Folkloremäntel. Welche Aufgaben sind Pflicht, welche sind Praxis, wie unterscheidet sich der ISB vom CISO, was steht in einer belastbaren Bestellurkunde, welche Eignungsmerkmale sind nachweisbar und welche Besetzungsmodelle funktionieren in einem Mittelstand, der keinen eigenen Senior-Sicherheitsverantwortlichen einstellen kann. Die Pflichten und der NIS-2-Primer selbst werden hier nicht wiederholt; der Fokus liegt auf der operativen Realität der Rolle.

Der IT-Sicherheitsbeauftragte berät die Geschäftsleitung, koordiniert das Informationssicherheits-Managementsystem (ISMS), prüft Risiken, plant interne Audits, verantwortet die Schulung und steuert den Meldepfad bei Sicherheitsvorfällen. Er führt nicht die IT-Abteilung. Er beaufsichtigt Wirksamkeit und Vollständigkeit der Maßnahmen, die der CIO oder CTO operativ umsetzt. Diese Trennung schützt die Rolle vor Zielkonflikten und ist nach Klausel 5.3 der ISO/IEC 27001:2022 ausdrücklich verlangt.

Die Abgrenzung zum CISO ist organisatorisch, nicht inhaltlich. In Konzernen führt der CISO ein Team und steuert globale Programme; der ISB sitzt in der einzelnen Einrichtung und verantwortet das lokale ISMS, die NIS-2-Pflichten und die Berichtslinie an die Geschäftsleitung dieser Einrichtung. Im Mittelstand fallen beide Funktionen in einer Person zusammen. Wichtig ist die belegbare Unabhängigkeit. Eine Bestellung des IT-Leiters als ISB ist möglich, erzeugt aber einen Zielkonflikt, den Auditoren mit Findings beantworten. CIVAC führt die Rolle im Workspace als Informationssicherheitsbeauftragter mit Bestellurkunde, Eignungsnachweis und konfigurierter Berichtslinie.

Eine Bestellurkunde ist mehr als ein Schreiben mit Briefkopf. Sie enthält Name und Funktion der Bestellten, Datum der Bestellung, Geltungsbereich (welche Einrichtung, welche Standorte, welche Tochtergesellschaften), Aufgaben in Bezugnahme auf Gesetz und Norm (NIS2UmsuCG, ISO/IEC 27001:2022, IT-Sicherheitsgesetz), Berichtspflicht direkt an die Geschäftsleitung, Weisungsfreiheit in der Ausübung der Beauftragtentätigkeit, Pflicht zur Verschwiegenheit, Pflicht zur Fortbildung, Mindesteinsatzzeit und Ressourcenzusage. Sie ist von beiden Seiten unterschrieben.

Die Eignung ist gesondert zu dokumentieren. Üblich sind Nachweise einer Fachausbildung (z. B. BSI-IT-Grundschutz-Praktiker, ISO 27001 Lead Implementer/Auditor), Berufserfahrung im Sicherheitsumfeld, Branchenkenntnis und Fortbildungsnachweise der letzten zwei Jahre. Ein Auditor fragt nach diesen Belegen, nicht nach Visitenkarten. Bestellurkunde, unterschrieben, abgelegt, belegbar. Im CIVAC Workspace werden Bestellurkunde, Eignungsnachweise und die Berichtsprotokolle in einer Akte versioniert, mit Aufbewahrungsfrist und Zugriffslog.

Der Aufgabenkanon eines ISB lässt sich in sieben Felder gliedern. Erstens Risikomanagement: Inventar, Bewertung, Behandlung und Wirksamkeitsprüfung. Zweitens Politiken und Richtlinien: Informationssicherheitsleitlinie, Zugriffsrichtlinie, Kryptopolitik, Lieferantenrichtlinie. Drittens Kontrollen: Auswahl, Anwendbarkeitserklärung, Wirksamkeitsmessung gemäß Anhang A der ISO/IEC 27001:2022 mit 93 Controls. Viertens Sensibilisierung und Schulung: Plan, Durchführung, Quote, Nachweise. Fünftens Vorfälle und Meldungen: Triagierung, 24-Stunden-Frühwarnung, 72-Stunden-Folgemeldung, Abschlussbericht, Lessons Learned.

Sechstens Lieferanten- und Drittparteienmanagement: Sicherheitsanforderungen in Verträgen, Bewertungen, Berichte. Siebtens Berichtswesen: regelmäßiger Bericht an die Geschäftsleitung, Managementbewertung nach Klausel 9.3 der ISO/IEC 27001:2022, anlassbezogene Berichte bei Vorfällen. Diese sieben Felder sind kein optionales Add-on, sie sind die Pflicht. Audit-fest, dokumentiert, NIS-2-fest.

Die Berichtslinie ist kein formales Detail, sie ist Pflicht. Nach § 38 Abs. 1 BSIG müssen die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Umsetzung der Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen. Das setzt voraus, dass der ISB regelmäßig und anlassbezogen an die Geschäftsleitung berichtet, nicht über drei Hierarchieebenen vermittelt. Ein verkürzter Berichtsweg über den IT-Leiter zur Geschäftsleitung erfüllt die Pflicht nicht.

In der Praxis bedeutet das einen Berichtstakt von mindestens vierteljährlich plus ein anlassbezogener Bericht bei Vorfällen, gravierenden Findings oder neuen Pflichten. Der Bericht enthält Risiken, Maßnahmen, offene Findings, Audit-Ergebnisse, Schulungsstand und Meldungen. CIVAC stellt einen Vorlagen-Set für diesen Bericht bereit und protokolliert den Versand mit Zeitstempel. Damit ist die Berichtslinie nicht nur eingerichtet, sondern auch belegt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Auditoren prüfen Eignung an drei Punkten. Erstens an formalen Qualifikationen wie BSI-IT-Grundschutz-Praktiker, ISO/IEC 27001 Lead Implementer oder Lead Auditor, TISP, CISSP oder vergleichbar. Zweitens an Berufserfahrung, dokumentiert in Lebenslauf und Referenzen. Drittens an Fortbildungsnachweisen für mindestens zwei Jahre rückwärts. Eine Person ohne kontinuierliche Fortbildung ist im Sinne der Norm nicht aktuell qualifiziert.

Die Fortbildung muss Themen abdecken, die mit den Pflichten der Einrichtung korrespondieren: NIS-2-Umsetzung, ISO/IEC 27001:2022-Änderungen, Vorfallreaktion, Lieferkettensicherheit, Cloud-Sicherheit, Datenschutzbezüge. Eine Anhäufung von Vendor-Webinaren reicht nicht. CIVAC führt die Eignungs- und Fortbildungsbelege im Workspace als Teil der Officer-Akte und stellt sie im Audit auf Knopfdruck bereit.

Der ISB arbeitet nicht im Vakuum. Vier Schnittstellen sind zentral. Erstens zum Datenschutzbeauftragten: Sicherheitsvorfälle mit Personenbezug erfordern eine parallele Meldung nach Art. 33 DSGVO innerhalb von 72 Stunden. Die Triagierung muss beide Pfade gleichzeitig auslösen. Zweitens zum Compliance-Beauftragten: Verstöße gegen Gesetze, Verträge oder interne Richtlinien werden in einem gemeinsamen Vorfallregister geführt.

Drittens zum Notfall- und Krisenmanagement, einschließlich Business Continuity nach ISO 22301 und der Anforderungen aus § 30 BSIG zur Aufrechterhaltung des Betriebs. Viertens zur Lieferantensteuerung: Der Lieferanten-Auditor stützt sich auf die vom ISB definierten Sicherheitsanforderungen. CIVAC bündelt die vier Schnittstellen in einem Workspace, sodass ein Vorfall gleichzeitig den ISB-Pfad, den DSB-Pfad und das Compliance-Register triggert. Frist läuft ab Kenntnis.

Die Bestellung kann intern, hybrid oder extern erfolgen. Intern bedeutet eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung mit ausreichend Kapazität und Eignung. Vorteil: tiefes Hauswissen. Nachteil: Zielkonflikte, wenn die Person zugleich operative IT-Aufgaben verantwortet, und Engpässe bei Urlaub oder Krankheit. Hybrid bedeutet eine interne Rolle plus externe Unterstützung für Audits, Schulungen und Vertretung. Extern bedeutet eine bestellte externe Person, die die Rolle vollständig führt.

Die externe Variante hat zwei Vorteile, die in der Praxis oft entscheidend sind. Verfügbarkeit qualifizierter Personen und Unabhängigkeit von operativer IT. CIVAC arbeitet im dualen Modell. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Bestellurkunde, der Berichtspfad, die Vorlagen und die Vertretungsregelung sind in beiden Varianten gleich strukturiert; der Unterschied liegt in der Person, die unterschreibt.

Kosten und Aufwand hängen von Größe, Branche und Schutzbedarf ab. Eine wichtige Einrichtung im Sinne der NIS-2 mit 250 bis 1.000 Mitarbeitenden rechnet typischerweise mit einem Einsatz von einem halben bis einem vollen Vollzeitäquivalent für die ISB-Rolle. Eine wesentliche Einrichtung im KRITIS-Umfeld liegt deutlich darüber. Externe Anbieter rechnen entweder nach festen Paketen oder nach Aufwand. Wichtig ist nicht der Stundensatz, sondern das Service-Level für Audits, Vorfälle und Berichte.

Die klassische Antwortzeit externer Beauftragter liegt zwischen zwei und sechs Wochen bei Anfragen und Bestellungen. Diese Spanne ist im Vorfall ungeeignet. CIVAC liefert ein Service-Level von zwei Werktagen für Bestellung, Vorlagen und Vorfälle und betreibt die Plattform unter EU-Datenresidenz. Der Prüfer ruft an, der Nachweis liegt bereit.

Der IT-Sicherheitsbeauftragte ist eine pflichtige Rolle, die Gesetz, Norm und Geschäftsleitung verbindet. Die Bestellung, die Eignung, die Unabhängigkeit, die Berichtslinie, der Aufgabenkanon und die Schnittstellen sind nicht verhandelbar; verhandelbar ist nur das Besetzungsmodell. Wer die Rolle intern führt, braucht eine Plattform, die Belege bindet und Berichtswege belegt. Wer sie extern führt, braucht eine Person mit Eignung und ein Werkzeug, das die Akte gegenüber dem Auditor öffnet.

CIVAC arbeitet als Compliance-Plattform und Officer-as-a-Service. Der Workspace führt Bestellurkunde, Eignungsbelege, 37 Audit-Vorlagen, 93 Controls der ISO/IEC 27001:2022 und den 24/72-Meldepfad an das BSI unter EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.