Informationssicherheitsbeauftragter – Was ist das und was sind seine Aufgaben?

Was ist ein Informationssicherheitsbeauftragter?

Der Informationssicherheitsbeauftragte ist die zentrale Fachfunktion für alle Belange der Informationssicherheit in einer Organisation. Anders als der Datenschutzbeauftragte, dessen Aufgabengebiet auf personenbezogene Daten beschränkt ist, schützt der ISB sämtliche schützenswerten Informationen – unabhängig davon, ob es sich um Konstruktionsdaten, Kundenverträge, Lieferantenkonditionen, Quellcode, Rezepturen, Lohnabrechnungen oder Marktstrategien handelt.

Der ISB plant und koordiniert das Informationssicherheits-Managementsystem (ISMS), berät die Geschäftsleitung, definiert Richtlinien, prüft technische und organisatorische Maßnahmen und ist Anlaufstelle bei Sicherheitsvorfällen. In normativen Rahmenwerken wie ISO/IEC 27001:2022 oder dem BSI IT-Grundschutz wird diese Funktion ausdrücklich gefordert; in regulierten Branchen – Finanzwesen (DORA), Energie, Wasser, Gesundheit, Verkehr, Lebensmittel, IKT – ist sie heute nach NIS2 de facto verpflichtend.

Eine ausführliche Abgrenzung der Rollen ISB und Datenschutzbeauftragter (DSB) finden Sie in unserem Beitrag Gemeinsamkeiten und Unterschiede von ISB und DSB. Wie ISB, DSB, CISO und KI-Beauftragte im Mittelstand zusammenspielen, erläutert Informationssicherheit im Mittelstand: Aufgaben für ISB, DSB, CISO und KI-Beauftragte.

Aufgaben eines ISB im Überblick

Die nachstehende Übersicht fasst die wichtigsten Aufgabenfelder eines ISB zusammen. Jedes Aufgabenfeld ist mit einem vertiefenden NESEC-Beitrag verlinkt. Die Kategorien orientieren sich an ISO/IEC 27001:2022 Annex A (93 Controls in vier Themengruppen) und an den Maßnahmenanforderungen aus § 30 BSIG.

Aufgabenfeld	Beschreibung	Vertiefung
Strategie & ISMS-Aufbau	Konzeption, Implementierung und kontinuierliche Verbesserung des Informationssicherheits-Managementsystems nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz.	ISO 27001 Zertifizierung
Risikoanalyse & Schutzbedarf	Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Festlegung des Schutzbedarfs für Vertraulichkeit, Integrität und Verfügbarkeit – Pflichtbestandteil von § 30 Abs. 2 Nr. 1 BSIG.	Risikoanalyse in der Informationssicherheit
Richtlinien & Prozesse	Erarbeitung und Pflege der Sicherheitsleitlinie sowie aller untergeordneten Richtlinien (Passwort, Klassifizierung, Berechtigungen, Lieferantensteuerung, Kryptografie, Cloud-Nutzung, KI).	ISB, SIEM, SOAR und SOC im Zusammenspiel
Awareness & Schulung	Aufbau und Durchführung von Schulungs- und Sensibilisierungsmaßnahmen – verbindlich für alle Mitarbeitenden und (neu unter § 38 BSIG) auch für die Geschäftsleitung selbst, alle drei Jahre nachweisbar.	Mittelstand: ISB, DSB, CISO, KI-Beauftragte
Technische Sicherheitsprüfungen	Koordination von Schwachstellenscans, Penetrationstests, Konfigurationsprüfungen und Code-Audits. Auswahl geeigneter Pentest-Anbieter und Festlegung des Test-Scopes.	Checkliste Pentest-Anbieter
Sicherheitsanalysen einordnen	Begriffliche und methodische Abgrenzung von Cyber-Risiko-Check, Cyber-Sicherheits-Check und Penetrationstest – jeweils unterschiedliche Tiefe, Aufwand und Aussagekraft.	Cyber-Risiko-Check vs. Sicherheits-Check vs. Pentest
OT- & Produktionssicherheit	Bei produzierenden Unternehmen: Schutzbedarfsanalyse und Sicherheitskonzept für Produktionsumgebungen nach IEC 62443 inklusive Security Risk Assessment (SRA).	Die Rolle des ISB beim SRA nach IEC 62443
KI-Governance & ISO 42001	Bewertung von KI-Systemen nach EU AI Act, Aufbau eines AI Management Systems nach ISO/IEC 42001 sowie Steuerung KI-spezifischer Risiken wie Prompt Injection, Modell-Drift und Data Leakage.	ISO 42001 AIMS
KI in der Cyberabwehr	Einsatz von KI in SIEM, SOAR und Threat Detection: Welche Szenarien funktionieren, welche überschätzen die Technologie, und wo bleibt menschliches Urteilsvermögen unersetzlich?	Einsatz künstlicher Intelligenz in der Cybersicherheit
NIS2-Compliance & technische Maßnahmen	Übersetzung der gesetzlichen Vorgaben aus § 30 BSIG in konkrete technische Maßnahmen: Netzwerksegmentierung, MFA, Backup-Strategie, Incident Response, Lieferantenkette.	Technische Anforderungen der NIS-2 Richtlinie
API- & Webservice-Sicherheit	Steuerung von API-Penetrationstests in modernen, integrationsgetriebenen Architekturen – mit besonderem Blick auf typische Fehlannahmen bei Black-Box-Tests.	Black-Box-Webservice-API-Penetrationstests
Reporting an die Geschäftsleitung	Regelmäßige Berichte an die Geschäftsleitung über Risikolage, Maßnahmenstatus, KPIs und Vorfälle. Unter § 38 BSIG eine zentrale Grundlage für die Überwachungspflicht des Vorstands.	Der ISB-Bericht
Praxisbeispiel ISMS-Aufbau	Wie ein ISMS-Aufbau im Mittelstand konkret abläuft – von der Schutzbedarfsanalyse über die GAP-Analyse bis zum Zertifizierungsaudit.	Case-Study ISMS Mittelstand

ISB unter NIS2 – die neuen Pflichten der Geschäftsleitung

Mit dem NIS2-Umsetzungsgesetz hat sich die strategische Bedeutung des ISB verändert. Bisher war die Funktion in vielen Unternehmen ein Compliance-Add-on. Mit § 38 BSIG-neu wird sie zur operativen Voraussetzung dafür, dass die Geschäftsleitung ihre nicht-delegierbaren Pflichten überhaupt erfüllen kann.

Die drei nicht-delegierbaren Pflichten der Geschäftsleitung

• Billigung der Maßnahmen: Die Geschäftsleitung muss die Risikomanagement-Maßnahmen nach § 30 BSIG formal billigen. Eine pauschale Zustimmung reicht nicht; sie muss informiert und dokumentiert erfolgen. Ohne strukturierte Aufbereitung durch einen ISB ist eine sachgerechte Billigung kaum möglich.
• Überwachung der Umsetzung: Die Wirksamkeit der Maßnahmen ist laufend zu überwachen. Hierfür braucht es belastbare Kennzahlen, regelmäßige Reports und ein klar geregeltes Eskalationsverfahren – Aufgaben, die typischerweise der ISB operativ wahrnimmt.
• Eigene Schulung – alle drei Jahre: Die Mitglieder der Geschäftsleitung müssen sich selbst alle drei Jahre nachweisbar in Informationssicherheit schulen lassen. Eine reine Mitarbeiterschulung genügt nicht. Inhalte, Tiefe und Nachweisführung organisiert in der Praxis der ISB.

Persönliche Haftung der Geschäftsleitung

§ 38 Abs. 2 BSIG normiert eine zivilrechtliche Binnenhaftung. Geschäftsleiter haften der Gesellschaft gegenüber für Schäden, die aus einer schuldhaften Verletzung der Pflichten aus Absatz 1 entstehen. Die allgemeinen Haftungsregeln nach § 93 AktG, § 43 GmbHG und vergleichbaren Vorschriften für Genossenschaften, Stiftungen und Vereine bleiben unberührt. Ein Verzicht oder Vergleich über Ansprüche ist gegenüber bestimmten Antragsberechtigten ausgeschlossen.

Hinzu kommen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen sowie bis 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen. Das BSI kann nach § 61 BSIG-neu Audits anordnen und in schweren Fällen ein vorübergehendes Tätigkeitsverbot für Geschäftsleiter aussprechen.

Was bedeutet das für den ISB?

Der ISB wird zur zentralen Schnittstelle zwischen Geschäftsleitung, Fachabteilungen, IT-Betrieb und Aufsichtsbehörde. Drei Tätigkeitsschwerpunkte gewinnen massiv an Bedeutung:

• Vorstandstauglicher Bericht: Quartalsweise Berichterstattung in einer Sprache, die die Geschäftsleitung verstehen und in Aufsichts- oder Beiratsgremien verteidigen kann. Risiken werden monetär bewertet, Maßnahmen mit Reifegrad und Zielzeitpunkt versehen.
• Registrierungs- und Meldepflichten: Besonders wichtige Einrichtungen mussten sich bis zum 6. März 2026 beim BSI registrieren. Erhebliche Sicherheitsvorfälle sind innerhalb von 24 Stunden zu melden, ein Zwischenbericht folgt nach 72 Stunden, der Abschlussbericht nach einem Monat. Die Vorbereitung der Meldeprozesse liegt operativ beim ISB.
• Lieferantensteuerung: § 30 Abs. 2 Nr. 4 BSIG verlangt explizit Maßnahmen zur Sicherheit der Lieferkette. Der ISB definiert Anforderungen an Dienstleister, prüft Nachweise und steuert vertragliche Sicherheitsanforderungen.

Detaillierte technische Maßnahmen, die unter NIS2 erwartet werden, sind im Beitrag Technische Anforderungen der NIS-2 Richtlinie zusammengefasst.

Persönliche und fachliche Voraussetzungen

Ein guter ISB benötigt mehr als IT-Kenntnisse. Die Funktion verlangt eine Kombination aus fachlicher Tiefe, methodischer Klarheit und sicherem Auftreten im Dialog mit der Geschäftsleitung.

Fachliche Qualifikationen

• Fundiertes Wissen in Informationssicherheit, IT-Architektur, Netzwerktechnik und Kryptografie
• Vertieftes Verständnis von ISO/IEC 27001:2022 (inkl. der 93 Annex-A-Controls in den vier Themengruppen Organisational, People, Physical, Technological) und BSI IT-Grundschutz
• Kenntnisse in rechtlichen Rahmenwerken: NIS2-Umsetzungsgesetz, DSGVO, DORA für Finanzunternehmen, EU AI Act sowie branchenspezifische Vorgaben wie B3S, TISAX oder KRITIS-Sektorenrecht
• Methodische Sicherheit bei Risikoanalysen, Audits, Schutzbedarfsfeststellung und Incident Response

Persönliche Eigenschaften

• Analytisches Denken und strukturiertes Arbeiten – Sicherheit entsteht durch Wiederholbarkeit, nicht durch Improvisation
• Klare, adressatengerechte Kommunikation – vom Techniker bis zum Vorstand
• Konfliktfähigkeit und Durchsetzungsvermögen, gepaart mit Pragmatismus
• Diskretion, Integrität und Unabhängigkeit – der ISB berichtet direkt an die Geschäftsleitung

Empfohlene Zertifizierungen

• ISO/IEC 27001:2022 Lead Auditor oder Lead Implementer
• CISM (Certified Information Security Manager, ISACA)
• CISSP (Certified Information Systems Security Professional, ISC²)
• BSI IT-Grundschutz-Praktiker bzw. -Berater
• ISO/IEC 42001 Lead Auditor – zunehmend relevant für KI-Governance
• TISAX Information Security Assessor – branchenspezifisch für Automotive-Zulieferer
• CIPP/E (Certified Information Privacy Professional/Europe) – sinnvoll bei kombinierter ISB/DSB-Funktion

Interner ISB, externer ISB oder Hybrid?

Mit der Pflicht zur Bestellung eines ISB im Sinne der NIS2-Umsetzung steht jedes betroffene Unternehmen vor der Wahl zwischen interner, externer oder hybrider Besetzung. Die richtige Variante hängt von Unternehmensgröße, Branche, Reifegrad des ISMS und vorhandenen Personalkapazitäten ab.

Modell	Vorteile	Grenzen
Interner ISB	Tiefe Kenntnis der internen ProzesseHohe Verfügbarkeit, kurzer Weg zur GeschäftsleitungStabile Vertrauensbasis	Hohe Personalkosten (oft >100 TEUR p. a.)Schwer ersetzbar bei Ausfall oder WechselEingeschränkte methodische Breite
Externer ISB	Breite Erfahrung aus vielen ProjektenSchneller einsatzfähig, planbare KostenUnabhängige Außensicht stärkt Argumentation gegenüber GF	Geringere interne SichtbarkeitOnboarding-AufwandBegrenzte Tageserreichbarkeit
Hybrid (interner Koordinator + externer Senior-ISB)	Interne Verfügbarkeit + externe ErfahrungSkalierbarer PersonalaufwandKlare Aufgabentrennung möglich	Höherer AbstimmungsaufwandRollen müssen sauber definiert seinZwei Vertragsverhältnisse

In der NESEC-Praxis hat sich für Unternehmen mit 50 bis 2.000 Mitarbeitenden vor allem das Hybridmodell bewährt: Ein interner Mitarbeitender koordiniert den Tagesbetrieb, ein externer Senior-ISB liefert Methodenkompetenz, Audit-Vorbereitung und vorstandstaugliches Reporting.

ISO 27001:2022 und ISO 42001 – die wichtigsten Aktualisierungen

Die Übergangsfrist für die Umstellung von ISO/IEC 27001:2013 auf die Fassung 2022 endete am 31. Oktober 2025. Zertifikate nach der alten Fassung sind seither nicht mehr gültig. Die neue Norm strukturiert den Anhang A in 93 Controls und vier Themengruppen: Organisational (37), People (8), Physical (14) und Technological (34). Elf Controls sind neu – darunter Threat Intelligence, Cloud Services Security, ICT Readiness for Business Continuity, Data Masking und Web Filtering.

Eine kompakte Darstellung der konkreten Vorteile einer Zertifizierung – auch für nicht regulierte Unternehmen – bietet der Beitrag ISO 27001 Zertifizierung für Unternehmen.

Parallel hat sich ISO/IEC 42001 (Artificial Intelligence Management System, AIMS) als zertifizierbare Norm etabliert. Sie ergänzt ISO 27001 für Unternehmen, die KI entwickeln oder betreiben, und harmoniert mit den Anforderungen des EU AI Act, der seit August 2024 stufenweise in Kraft tritt. Für jedes Unternehmen, das produktiv generative KI einsetzt, lohnt sich frühzeitig ein Blick auf die Governance-Anforderungen.

Häufig gestellte Fragen

Wer muss seit dem NIS2-Umsetzungsgesetz einen ISB bestellen?

Das Gesetz schreibt die Funktion „ISB“ namentlich nicht vor. § 30 BSIG verlangt jedoch von besonders wichtigen und wichtigen Einrichtungen umfassende technische und organisatorische Maßnahmen sowie ein Risikomanagement – inklusive Schulungen, Kennzahlen und Reporting. In der Praxis ist die Bestellung eines ISB für besonders wichtige Einrichtungen ab 250 Mitarbeitenden bzw. 50 Mio. EUR Umsatz/43 Mio. EUR Bilanz sowie für wichtige Einrichtungen ab 50 Mitarbeitenden bzw. 10 Mio. EUR Umsatz unverzichtbar.

Gibt es einen Kündigungsschutz für den ISB wie für den DSB?

Anders als der Datenschutzbeauftragte (§ 6 Abs. 4 BDSG) hat der interne ISB keinen besonderen gesetzlichen Kündigungsschutz. Allerdings haftet die Geschäftsleitung seit dem 6. Dezember 2025 persönlich für eine sachgerechte Umsetzung der Risikomanagement-Maßnahmen. Eine sachfremde Abberufung oder Versetzung kann daher bereits eine Pflichtverletzung im Sinne von § 38 BSIG darstellen. In der Praxis empfiehlt sich eine vertragliche Regelung, die Unabhängigkeit, Weisungsfreiheit in fachlichen Belangen und direkten Berichtsweg zur Geschäftsleitung absichert.

Können ISB und Datenschutzbeauftragter dieselbe Person sein?

Grundsätzlich ja, sofern keine Interessenkonflikte entstehen. Beide Funktionen müssen weisungsfrei und unabhängig ausgeübt werden. Eine personelle Doppelrolle ist in mittelständischen Unternehmen häufig, sollte aber ausreichend Zeit, Qualifikation (CIPP/E in Kombination mit ISO 27001 Lead Auditor) und klare interne Trennung bei sicherheitsrelevanten Datenschutzvorfällen sicherstellen.

Was unterscheidet ISB und CISO?

Die Begriffe werden häufig synonym verwendet, beschreiben aber unterschiedliche Reifegrade derselben Funktion. Der ISB ist in der deutschen Tradition normativ verankert (BSI IT-Grundschutz, ISO 27001) und operativ ausgerichtet. Der CISO ist in größeren Organisationen die strategische Führungsfunktion mit Budget- und Personalverantwortung, dem mehrere ISB unterstellt sein können. In Unternehmen unter 1.000 Mitarbeitenden ist der ISB in der Regel ausreichend.

Wie häufig muss die Geschäftsleitung selbst geschult werden?

§ 38 Abs. 3 BSIG schreibt mindestens alle drei Jahre eine Schulung der Geschäftsleitung in Informationssicherheit vor. Die Schulung muss inhaltlich angemessen, dokumentiert und auf das Aufgabenfeld der Geschäftsleitung zugeschnitten sein. Reine Awareness-Module für Mitarbeitende genügen nicht – verlangt wird ein Verständnis für Risikomanagement-Entscheidungen, Aufsichtsverfahren und Bußgeldlogik.

Bis wann mussten Unternehmen sich registrieren?

Besonders wichtige Einrichtungen mussten ihre Registrierung beim BSI bis zum 6. März 2026 abschließen. Wichtige Einrichtungen folgten bis zum 6. Juni 2026. Wer die Frist versäumt hat, sollte umgehend nachregistrieren – das BSI kommuniziert in den ersten Monaten pragmatisch, behält sich aber Sanktionen vor.

Wo liegt der Unterschied zwischen Cyber-Risiko-Check, Sicherheits-Check und Pentest?

Diese drei Begriffe werden häufig vermischt. Eine kompakte Abgrenzung mit konkreten Aufwandsschätzungen und Einsatzszenarien bietet der Beitrag Cyber-Risiko-Check vs. Cyber-Sicherheits-Check vs. Penetrationstest.

Gruß von NESEC

Der ISB ist 2026 keine Compliance-Komfortzone mehr, sondern die operative Voraussetzung dafür, dass Geschäftsleitungen ihre persönliche Verantwortung aus § 38 BSIG erfüllen können. Wer als Vorstand oder Geschäftsführer dauerhaft sicher schlafen möchte, braucht einen kompetenten ISB, der den Status der Maßnahmen kennt, die Risikobilanz vorstandstauglich aufbereitet, Vorfälle innerhalb der gesetzlichen Fristen meldet und die Schulungsverpflichtungen organisiert.

NESEC unterstützt Unternehmen in der DACH-Region beim Aufbau eines tragfähigen ISMS, bei der Stellung eines externen ISB und bei der praktischen Umsetzung der NIS2-Anforderungen. Von der ersten GAP-Analyse über die Lieferantensteuerung bis hin zum Audit-Coaching für die Geschäftsleitung.

Weitere interessante Beiträge

• Die Rolle des ISB beim SRA nach IEC 62443 in der Produktion
• Technische Anforderungen der NIS-2 Richtlinie
• Der ISB-Bericht: Schlüssel zur effektiven Informationssicherheit
• Wie gesetzliche Vorgaben, ISB, SIEM, SOAR und SOC zusammenwirken
• Informationssicherheit im Mittelstand: Aufgaben für ISB, DSB, CISO und KI-Beauftragte
• ISO 27001 Zertifizierung für Unternehmen
• ISO 42001 AIMS – warum KI-Managementsysteme unverzichtbar werden
• Einsatz künstlicher Intelligenz in der Cybersicherheit
• Die Risikoanalyse in der Informationssicherheit
• ISB und DSB: Gemeinsamkeiten und Unterschiede
• Cyber-Risiko-Check vs. Cyber-Sicherheits-Check vs. Penetrationstest
• Checkliste: So finden Unternehmen den richtigen Pentest-Anbieter
• Case-Study: Aufbau eines ISMS bei einem mittelständischen Unternehmen
• Black-Box-Webservice-API-Penetrationstests sind eine dumme Idee

Dieser Beitrag wurde im Juni 2026 aktualisiert. Alle Angaben erfolgen mit Stand des NIS2-Umsetzungsgesetzes vom 6. Dezember 2025 und ohne Anspruch auf rechtliche Verbindlichkeit. Für verbindliche Auskünfte zur konkreten Anwendung empfehlen wir eine individuelle Beratung.