Fünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-VerordnungFünfundzwanzig Beauftragten-Rollen, alle heute liveArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022490 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Alle Beauftragten-Rollen
ISB / CISO

Informationssicherheitsbeauftragter (ISB / CISO)

ISO-27001:2022-ISMS in einer Hand, NIS-2-Meldepflichten und KRITIS-Verpflichtungen. 93 Controls nachgehalten, 24-Stunden-Erstmeldung und 72-Stunden-Folgemeldung im Griff, TISAX und BSI C5 auf Anfrage.

Schwerpunkte
ISO 27001:2022Tool-AuditSOC2BSI C5
Rechtsgrundlage

ISO/IEC 27001:2022 · §§ 30, 38 BSIG · NIS-2

Schnellkontakt

Informationssicherheitsbeauftragter (ISB / CISO): Mit uns sprechen

Drei Zeilen und Sie sind in unserem Posteingang. Antwort innerhalb eines Werktags.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Wir verwenden Ihre Daten nur für die Rückantwort.

Was ist ein Informationssicherheitsbeauftragter?

Ein externer Informationssicherheitsbeauftragter, kurz ISB oder CISO, ist die benannte Person, die Informationssicherheitsrisiken, Kontrollen und die Vorfallsbearbeitung steuert. Die Rolle hat sich mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, NIS-2-UmsuCG, am 06. Dezember 2025 von einer empfohlenen Praxis zur gesetzlichen Pflicht für einen großen Teil der deutschen Wirtschaft entwickelt. Das geänderte BSI-Gesetz regelt die Risikomanagementmaßnahmen in § 30 BSIG, die Meldepflichten mit Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen einem Monat in § 32 BSIG sowie die Verantwortung der Geschäftsleitung in § 38 BSIG. Zwei Kategorien gelten: besonders wichtige Einrichtungen und wichtige Einrichtungen, mit Schwellen von 250 Beschäftigten und 50 Millionen Euro Umsatz für besonders wichtig sowie 50 Beschäftigten und 10 Millionen Euro Umsatz für wichtig. Für Finanzinstitute gilt die EU-Verordnung 2022/2554 über digitale operationale Resilienz, DORA, seit dem 17. Januar 2025 mit Vorgaben zu IKT-Risikomanagement, Vorfallsmeldung und Drittanbieteraufsicht nach Art. 28. Anerkannter Kontrollkatalog ist ISO/IEC 27001:2022 mit 93 Controls in Anhang A, die Übergangsfrist von ISO 27001:2013 endete am 31. Oktober 2025. Bußgelder nach § 60 BSIG reichen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen, und die Geschäftsleitung haftet persönlich für Verstöße gegen die Aufsichtspflicht.

Pflichten des Informationssicherheitsbeauftragten

  • Aufbau und Pflege des Informationssicherheitsmanagementsystems entsprechend ISO/IEC 27001:2022 Anhang A.
  • Umsetzung der Cybersicherheits-Risikomanagementmaßnahmen nach § 30 Abs. 2 BSIG von Zugriffsmanagement bis Lieferkettensicherheit.
  • Betrieb des Vorfallserkennungs-, Klassifizierungs- und Meldeprozesses innerhalb der Fristen aus § 32 BSIG.
  • Pflege des Informationsregisters für IKT-Drittanbieter nach Art. 28 der Verordnung 2022/2554 (DORA).
  • Steuerung des jährlichen Risikoassessments, der Penetrationstests und der Tabletop-Übungen für die Geschäftsleitung.
  • Schulung der Belegschaft zu Phishing, Social Engineering und Nutzung generativer KI.
  • Pflege des Business-Continuity- und Disaster-Recovery-Plans mit getesteter RTO von 4 Stunden für kritische Systeme.
  • Quartalsweise Berichterstattung an die Geschäftsleitung zu Vorfällen, Schwachstellen und Maßnahmenstand.
  • Schnittstelle zum BSI, zur BaFin und zu externen Auditoren bei Zertifizierungen und Prüfungen.

Wann muss ein Informationssicherheitsbeauftragter bestellt werden?

Die Pflicht zur Bestellung eines Informationssicherheitsbeauftragten folgt aus dem NIS-2-UmsuCG seit dem 06. Dezember 2025 und aus sektorspezifischer Regulierung. § 38 BSIG verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen sicherzustellen, dass Cybersicherheits-Risikomanagementmaßnahmen umgesetzt und überwacht werden, was in der Praxis eine benannte Person erfordert. Besonders wichtige Einrichtungen umfassen Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, Abwasser und digitale Infrastruktur mit Schwellen von 250 Beschäftigten oder 50 Millionen Euro Umsatz beziehungsweise 43 Millionen Euro Bilanzsumme. Wichtige Einrichtungen sind Post, Abfallwirtschaft, Chemie, Lebensmittel, Hersteller von Medizinprodukten, Elektronik und Maschinen sowie digitale Anbieter mit 50 Beschäftigten oder 10 Millionen Euro Umsatz. Banken und Versicherer benötigen einen ISB nach MaRisk AT 7.2 sowie BAIT und VAIT seit 2017 und 2018. DORA Art. 5 bis 16 verlangt seit 17. Januar 2025 klare IKT-Risikoverantwortlichkeiten. Im Mittelstand wird die Funktion typischerweise als externer ISB oder CISO as a Service bezogen, um BSI- und BaFin-taugliche Expertise ohne Vollzeitstelle abzudecken.

  • Besonders wichtige Einrichtung nach NIS-2-UmsuCG: 250 Beschäftigte oder 50 Millionen Euro Umsatz in Anhang-Sektoren.
  • Wichtige Einrichtung nach NIS-2-UmsuCG: 50 Beschäftigte oder 10 Millionen Euro Umsatz in Anhang-Sektoren.
  • Betreiber kritischer Infrastruktur nach § 28 BSIG mit Schwellen aus BSI-KritisV.
  • Finanzunternehmen unter DORA: Anwendungsbereich seit 17. Januar 2025 für Banken, Versicherer, Wertpapierfirmen und Krypto-Dienstleister.
  • Bank oder Versicherer mit MaRisk AT 7.2, BAIT oder VAIT: ISB verpflichtend.
  • Bundesauftragnehmer mit VS-NfD-Verarbeitung: Pflichten nach BSI IT-Grundschutz.

Typische Branchen

  • Banken, Versicherer und Wertpapierfirmen unter DORA und MaRisk
  • Energie, Netzbetreiber und Erneuerbare als besonders wichtige Einrichtungen
  • Krankenhäuser, Medizintechnik und Pharma
  • Wasser- und Abwasserversorger nach § 28 BSIG
  • Logistik, Spedition und Postdienste
  • Maschinenbau und Automotive Tier-1
  • Cloud-, Rechenzentrums- und Managed-Service-Anbieter
  • Öffentliche Verwaltung und Bundesauftragnehmer
  • Chemie und Prozessindustrie
CIVAC

Was CIVAC für Ihren ISB liefert

CIVAC stellt einen externen ISB beziehungsweise CISO und eine Arbeitsumgebung bereit, die ISO/IEC 27001:2022 Anhang A, die Risikomanagementmaßnahmen aus § 30 BSIG und die DORA-Vorgaben Art. 5 bis 28 in einer gemeinsamen Nachweisbasis abbildet. Sie erhalten einen schriftlichen ISMS-Geltungsbereich, ein Asset- und Risikoregister, ein Drittanbieter-Register für DORA, ein Vorfalls-Runbook mit den Fristen aus § 32 BSIG sowie einen getesteten Notfallplan. CIVAC übernimmt die Registrierung bei der BSI-Anlaufstelle und bereitet die Geschäftsleitung auf die persönliche Verantwortung nach § 38 BSIG vor. Quartalsberichte fassen KRIs, offene Schwachstellen und den Zertifizierungsstand in deutscher und englischer Sprache zusammen.

Häufige Fragen

Diese Rolle für Ihr Unternehmen besetzen?

Bestellen Sie unsere Experten als externe Beauftragten oder lizenzieren Sie CIVAC für Ihr eigenes Team. Wir besprechen mit Ihnen, was zu Ihrem Aufbau passt.

Mit CIVAC sprechenAlle 25 Rollen ansehen
Weitere Beauftragten-Rollen