Cybervize - Cybersecurity Beratung
Alle Artikel

CISO vs. ISO: Zwei Titel, zwei Aufgaben und warum der Unterschied für NIS2 entscheidend ist

Alexander Busse·23. März 2026
CISO vs. ISO: Zwei Titel, zwei Aufgaben und warum der Unterschied für NIS2 entscheidend ist

Wenn Unternehmen ihre Informationssicherheit organisieren, tauchen schnell zwei Begriffe auf: CISO und ISO. Beide klingen ähnlich, meinen aber grundlegend verschiedene Dinge. Und gerade für NIS2-betroffene Mittelständler ist die Unterscheidung entscheidend. Wer die falsche Rolle besetzt oder die richtige falsch definiert, riskiert nicht nur Compliance-Lücken, sondern echte Steuerungsverluste.

Was ist ein ISO (Informationssicherheitsbeauftragter)?

Der Informationssicherheitsbeauftragte, kurz ISB oder ISO, ist eine in Deutschland regulatorisch verankerte Rolle. Im BSI IT-Grundschutz ist sie explizit vorgeschrieben, in KRITIS-Unternehmen gesetzliche Pflicht, und in Branchen wie Gesundheit, Energie und Finanzen durch Sektorregulierung verpflichtend.

Der ISB fokussiert auf operative Sicherheit, Dokumentation, Compliance und Risikomanagement nach Standard. Er ist meist keine Führungskraft im klassischen Sinne: Er berichtet an die Unternehmensleitung, trifft aber selten strategische Entscheidungen eigener Art. Seine Arbeit orientiert sich an Kontrollkatalogen wie ISO 27001, BSI IT-Grundschutz oder TISAX.

Konkret umfasst sein Aufgabenfeld die Pflege des Informationssicherheits-Managementsystems (ISMS), die Durchführung interner Audits, die Koordination von Awareness-Maßnahmen und die Erstellung von Sicherheitsrichtlinien. Er ist der operative Anker, der dafür sorgt, dass Prozesse dokumentiert, Kontrollen nachweisbar und Risiken systematisch erfasst sind.

Was ist ein CISO (Chief Information Security Officer)?

Der CISO ist ein C-Level-Begriff mit Ursprung im angelsächsischen Raum. Er ist Mitglied der Geschäftsleitung oder direkt darunter angesiedelt. Sein Fokus liegt auf Sicherheitsstrategie, Risikoappetit, Business-Alignment und Krisenführung. Er kommuniziert direkt mit CEO, CFO, Aufsichtsrat und Versicherungen und trägt persönliche Verantwortung für Sicherheitsentscheidungen.

Der CISO denkt in Geschäftsrisiken, nicht in Kontrollkatalogen. Er priorisiert, was das Unternehmen wirklich gefährdet, und trifft Entscheidungen, die über die Technik hinausgehen. Wenn ein neuer Cloud-Anbieter evaluiert wird, fragt der ISB nach den Zertifizierungen. Der CISO fragt: Was passiert, wenn dieser Anbieter morgen ausfällt?

Ein guter CISO verbindet Sicherheit mit Geschäftsstrategie. Er übersetzt technische Risiken in finanzielle Auswirkungen, priorisiert Investitionen nach Business Impact und stellt sicher, dass Sicherheit nicht als Kostenstelle wahrgenommen wird, sondern als Voraussetzung für Geschäftsfähigkeit.

Die entscheidenden Unterschiede im Überblick

Der ISB hat eine rechtliche Grundlage (BSI IT-Grundschutz, KRITIS, NIS2) und ist in vielen Sektoren Pflicht. Der CISO ist rechtlich nicht vorgeschrieben, entspricht aber dem NIS2-Geist der Managementverantwortung. Während der ISB in einer Stabsstelle arbeitet und an das Management berichtet, agiert der CISO auf C-Level mit echter Entscheidungsgewalt.

Der ISB sichert Compliance und Dokumentation, der CISO steuert Strategie und Risiko. In der täglichen Praxis zeigt sich das deutlich: Der ISB erstellt den Audit-Bericht. Der CISO entscheidet, welche Risiken das Unternehmen bewusst eingeht und welche sofort adressiert werden müssen.

Reporting und Entscheidungsgewalt

Ein häufig unterschätzter Unterschied liegt in der Berichtslinie. Der ISB berichtet typischerweise an die IT-Leitung oder das Management. Der CISO sitzt idealerweise in der Geschäftsleitung oder berichtet direkt an den CEO. Dieser Unterschied bestimmt, wie viel Gewicht Sicherheitsentscheidungen im Unternehmen haben. Wenn der Sicherheitsverantwortliche zwei Hierarchieebenen unter der Geschäftsführung angesiedelt ist, werden kritische Entscheidungen verzögert oder verwässert.

Kostenvergleich

Kostenmäßig liegen die Rollen weit auseinander: Ein interner ISB kostet circa 60.000 bis 90.000 Euro pro Jahr. Ein interner CISO bewegt sich bei 150.000 bis 250.000 Euro. Für den Mittelstand ist das oft nicht realistisch, weshalb der vCISO als Alternative zunehmend an Bedeutung gewinnt. Ein virtueller CISO kostet ab 3.600 Euro pro Monat, je nach Umfang und Komplexität.

Was NIS2 konkret verlangt

NIS2 fordert explizit: Das Management muss Cybersicherheitsrisiken kennen, bewerten und Maßnahmen genehmigen. Verstöße können zur persönlichen Haftung von Geschäftsführern führen. Das ist ein fundamentaler Unterschied zu früheren Regulierungen, die Cybersicherheit als rein operative Aufgabe betrachteten.

Artikel 20 der NIS2-Richtlinie stellt klar: Die Leitungsorgane müssen die Maßnahmen zum Risikomanagement billigen, ihre Umsetzung überwachen und können für Verstöße haftbar gemacht werden. Das bedeutet in der Praxis: Die Geschäftsführung kann die Verantwortung nicht an einen ISB delegieren und sich zurücklehnen.

Das bedeutet konkret: Ein ISB allein reicht nicht, wenn die Geschäftsleitung nicht eingebunden ist. Ein CISO ohne dokumentierte Prozesse erfüllt die Nachweispflichten nicht. Idealerweise arbeiten beide zusammen: der ISB als operativer Umsetzer, der CISO als strategischer Verantwortlicher.

Praxisbeispiel: Wie ein Mittelständler die Rollentrennung umgesetzt hat

Ein Maschinenbauunternehmen mit 800 Mitarbeitern stand vor genau diesem Problem: Der interne IT-Leiter hatte die ISB-Rolle nebenbei übernommen. Dokumentation war vorhanden, aber strategische Steuerung fehlte komplett. Als die NIS2-Betroffenheitsprüfung ergab, dass das Unternehmen unter die Richtlinie fällt, wurde klar: So geht es nicht weiter.

Die Lösung war pragmatisch: Der IT-Leiter blieb ISB mit klarem operativem Mandat. Parallel wurde ein externer vCISO engagiert, der zwei Tage pro Monat die strategische Steuerung übernahm. Innerhalb von drei Monaten gab es zum ersten Mal einen Risikobericht auf Vorstandsebene, eine priorisierte Maßnahmenliste und klare Verantwortlichkeiten.

Der Vorstand kommentierte: „Endlich verstehen wir, wo wir stehen und was wir als Nächstes tun müssen.“ Das war der eigentliche Durchbruch: nicht die Compliance, sondern die Sichtbarkeit.

Wann reicht ein ISB, wann braucht man einen CISO?

Die Frage lässt sich nicht pauschal beantworten, aber es gibt klare Indikatoren:

Ein ISB allein reicht in der Regel aus, wenn das Unternehmen unter 250 Mitarbeiter hat, nicht unter KRITIS oder NIS2 fällt, ein etabliertes ISMS mit klaren Prozessen betreibt und die Geschäftsleitung sich aktiv mit Sicherheitsfragen beschäftigt.

Eine CISO-Funktion wird notwendig, sobald das Unternehmen unter NIS2 oder KRITIS fällt, die IT-Landschaft komplex ist (Multi-Cloud, KI-Einsatz, globale Standorte), die Geschäftsführung Risikobewertungen auf Managementebene benötigt oder regulatorische Anforderungen eine nachweisbare Managementverantwortung verlangen.

Der vCISO als pragmatische Lösung für den Mittelstand

Für die meisten mittelständischen Unternehmen gilt: Der ISB oder ISO ist oft gesetzlich vorgeschrieben und realistisch in Teilzeit oder extern zu besetzen. Die CISO-Funktion als Vollzeit-Stelle ist kaum finanzierbar. Hier bietet sich ein vCISO, ein Virtual CISO, als pragmatische Alternative an.

Ein externer vCISO übernimmt die strategische CISO-Funktion stundenweise oder tageweise. Er kommuniziert mit der Geschäftsleitung, setzt Prioritäten, entwickelt die Sicherheitsstrategie und trägt die Verantwortung im Ernstfall. In Kombination mit einem internen oder externen ISB deckt das Unternehmen beide Ebenen ab: Compliance und Leadership.

Die Vorteile liegen auf der Hand: sofortige Verfügbarkeit von Senior-Expertise, keine Fixkosten einer Vollzeitstelle, frische Perspektive durch Erfahrung aus verschiedenen Branchen und Unternehmen, und ein klarer Ansprechpartner für die Geschäftsführung bei Sicherheitsfragen.

Häufig gestellte Fragen

Kann eine Person beide Rollen gleichzeitig ausüben?

Theoretisch ja, praktisch führt es fast immer zu Interessenkonflikten. Der ISB prüft und dokumentiert. Der CISO priorisiert und entscheidet. Wer beides macht, prüft seine eigenen Entscheidungen. Außerdem fehlt dem ISB in Personalunion oft der direkte Zugang zur Geschäftsführung, den ein CISO braucht.

Ist der CISO in Deutschland gesetzlich vorgeschrieben?

Nein, der CISO ist keine gesetzlich definierte Rolle in Deutschland. NIS2 fordert aber eine nachweisbare Managementverantwortung für Cybersicherheit. Das entspricht funktional einer CISO-Rolle, auch wenn der Titel nicht vorgeschrieben ist. Entscheidend ist nicht der Titel, sondern die Funktion: Wer trägt auf Managementebene die Verantwortung für Informationssicherheit?

Was kostet ein vCISO im Vergleich zu einem internen CISO?

Ein interner CISO kostet mit Gehalt, Nebenkosten und Weiterbildung 150.000 bis 250.000 Euro pro Jahr. Ein vCISO liegt je nach Umfang ab 43.200 Euro jährlich. Für die meisten Mittelständler ist der vCISO damit die wirtschaftlichere Lösung, ohne Kompromisse bei der strategischen Qualität einzugehen.

Fazit: Zwei Rollen, ein Ziel

CISO und ISO sind keine Alternativen, sondern Ergänzungen. Der ISB sorgt dafür, dass Prozesse laufen und Nachweise existieren. Der CISO oder vCISO sorgt dafür, dass die richtigen Prioritäten gesetzt werden und das Management wirklich in der Verantwortung steht.

Beides braucht der Mittelstand. Die Frage ist nicht ob, sondern wie er es finanzierbar und wirksam umsetzt. Die Kombination aus internem ISB und externem vCISO hat sich in der Praxis als der pragmatischste Weg erwiesen, um beide Anforderungen zu erfüllen: operative Compliance und strategische Führung.

Zurück zur Übersicht

Weitere Artikel

EU-Service klingt beruhigend: Vier Prueffragen fuer echte digitale Souveraenitaet

EU-Service klingt nach Souveraenitaet, doch wer hat wirklich administrativen Zugriff? Vier Prueffragen, die IT-Entscheider im Mittelstand jedem Cloud-Dienstleister stellen sollten.

24. März 2026

Zeig mir mal euer ISMS-Tool: Warum 47 Excel-Dateien kein Managementsystem sind

Wenn das ISMS-Tool ein SharePoint-Ordner mit 47 Excel-Dateien ist, stimmt etwas nicht. Warum echte Informationssicherheit operative Steuerung braucht, nicht nur Dokumentation.

24. März 2026

Der schnellste Weg, NIS-2 zu verlieren: Alles gleichzeitig machen wollen

Warum parallele Workstreams bei der NIS-2-Umsetzung scheitern und wie ein pragmatischer Priorisierungsansatz Mittelstaendler schneller zum Ziel bringt.

23. März 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

AI Security Governance

Sichere KI-Nutzung mit Governance-Frameworks und Risikobewertung.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren
Startups & Innovation

Startups im Fadenkreuz

Mit Saskia Bestgen, Beraterin und Auditorin

34 minAnhoeren