Cybervize - Cybersecurity Beratung
Alle Artikel

Virtual CISO und NIS2: Wie ein vCISO bei der Compliance hilft

Alexander Busse·6. März 2026
Virtual CISO und NIS2: Wie ein vCISO bei der Compliance hilft

Die NIS2-Richtlinie ist nicht länger optional. Seit dem 18. Dezember 2024 ist sie in der Europäischen Union gültig, und Deutschland hat sie in nationales Recht umgesetzt. Für Betreiber kritischer Infrastrukturen und große Unternehmen ist NIS2-Compliance zur Pflicht geworden. Für Mittelstandsunternehmen mit 100 bis 500 Mitarbeitern stellt sich eine kritische Frage: Wie schaffen wir NIS2-Compliance, ohne eine Vollzeit-CISO-Position zu finanzieren? Die Antwort lautet oft: Ein Virtual CISO.

Was ist NIS2 und wer ist betroffen?

NIS2 ist die Richtlinie für Netzwerk- und Informationssicherheit der Europäischen Union. Sie verpflichtet Unternehmen und Infrastrukturbetreiber zu robusten Cybersecurity-Maßnahmen und definierten Meldepflichten. Die Richtlinie betrifft nicht nur Energieversorger und Wasserwerke, sondern auch Betreiber im Gesundheitswesen, in der digitalen Infrastruktur, in Transport, Bankwesen und einem breiten Mittelstandssegment.

Größenklassen und Schwellenwerte

Große Unternehmen: Ab 250 Arbeitnehmer oder Jahresumsatz von 50 Millionen Euro oder Gesamtbilanzsumme von 25 Millionen Euro. Diese unterliegen den vollständigen NIS2-Anforderungen ohne Ausnahmen.

KMU (Kleine und mittlere Unternehmen): Unter diesen Schwellen, aber mit Ausnahmen. KMU in kritischen Sektoren (Energie, Wasser, Gesundheit, Finanzen) oder als Anbieter kritischer Infrastrukturtypen unterfallen NIS2. Andere KMU haben zwar Meldepflichten, aber etwas geringere Anforderungen.

Persönliche Haftung der Geschäftsführung: NIS2 macht die Geschäftsführung direkt haftbar. Eine Verletzung von NIS2-Anforderungen ist nicht nur ein IT-Problem, sondern kann zu Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes führen. Geschäftsfürer und Vorstägsmänner können persönlich zur Verantwortung gezogen werden.

Die 10 Kernanforderungen der NIS2 und vCISO-Lösungen

NIS2 definiert zehn Kernanforderungen an Cybersecurity. Ein Virtual CISO strukturiert systematisch, wie ein Mittelstandsunternehmen diese erfüllt.

1. Risikomanagement und Sicherheitsgovernance

Jedes Unternehmen muss ein Informationssicherheitsmanagementsystem (ISMS) etablieren, Risiken bewerten und ein Governance-Modell mit Eskalationswegen schaffen. Ein vCISO definiert, welche Risiken relevant sind, erstellt eine Risikomatrix, und gibt der Geschäftsführung monatliche Updates zu kritischen Risiken.

2. Incident Reporting: 24-Stunden-Pflicht

Schwerwiegende Vorfälle müssen innerhalb von 24 Stunden an die Behörde gemeldet werden. Das erfordert ein Incident Response Plan, ein Eskalationsteam, und ein Dokumentationssystem. Der vCISO definiert die Meldekette und trainiert die relevanten Teams in Quarter eins der Zusammenarbeit.

3. Supply Chain Security

Lieferanten und Dienstleister, die Zugang zu kritischen Systemen haben, müssen selbst NIS2-konform sein oder einen Sicherheitsvertrag unterzeichnen. Ein vCISO erstellt einen Vendor-Assessment-Prozess, bewertet die Lieferanten und dokumentiert Compliance.

4. Business Continuity und Disaster Recovery

Das Unternehmen muss einen Business Continuity Plan (BCP) und ein Disaster Recovery Plan (DRP) nachweisen. Ein vCISO definiert Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) für kritische Systeme, testet die Pläne halbjährlich und dokumentiert die Tests.

5. Schulung und Sensibilisierung des Managements

Geschäftsführung und Board müssen in Cybersecurity und NIS2 geschult werden, mindestens einmal pro Jahr. Ein vCISO organisiert diese Trainings und schafft eine Cybersecurity-Kultur.

6. Zugangsschutz und Authentifizierung

Multi-Faktor-Authentifizierung (MFA), Verschlüsselung sensibler Daten, und regelmäßige Passwortupdates sind verpflichtend. Ein vCISO überprüft den aktuellen Zustand, empfiehlt Maßnahmen und überwacht die Implementierung.

7. Kryptographische Verfahren und Datenschutz

Daten in Transit und in Rest müssen verschlüsselt sein. Ein vCISO veranlasst ein Datenschutz-Audit, identifiziert Lücken und orchestriert die Abstimmung der Verschlüsselung.

8. Sicherheitsarchitektur und Netzwerk-Segmentierung

Kritische Systeme müssen segmentiert sein, Firewalls und Intrusion Detection Systems (IDS) sind erforderlich. Ein vCISO überprüft die Netzwerk-Architektur und empfiehlt eine schrittweise Verbesserung.

9. Patch- und Vulnerability Management

Alle Systeme müssen auf aktuelle Software-Versionen und Sicherheits-Patches aktualisiert sein. Ein vCISO etabliert ein Patch-Management-Prozess und überwacht die Compliance monatlich.

10. Überwachung und Logging

Sicherheitsereignisse müssen protokolliert und überwacht werden (Security Information and Event Management, SIEM). Ein vCISO entwirft das Logging-Konzept und überwacht die Implementierung.

Warum die meisten Mittelstandsunternehmen NIS2 nicht alleine schaffen

Ein typisches Mittelstandsunternehmen mit 100 bis 300 Mitarbeitern hat oft keine dedizierte Sicherheitsabteilung. Der IT-Leiter verwaltet Server und Desktops, der Geschäftsführer fokussiert auf Verkäufe. Cybersecurity ist eine Zusatzaufgabe, wenn überhaupt. NIS2-Compliance ohne externe Unterstützung ist unter diesen Bedingungen fast unmöglich.

Typische Lücken ohne CISO

Keine ISMS-Struktur: Es gibt keine dokumentierte Sicherheitspolitik, keine Rollen, keine Eskalationswege. Security ist ad hoc, nicht strategisch.

Keine Meldepflicht-Prozesse: Wenn ein Sicherheitsvorfall auftritt, weiß keiner, an wen zu melden, innerhalb welcher Fristen, mit welchen Informationen.

Schwache Lieferantenkontrolle: Externe IT-Dienstleister, Cloud-Anbieter, und Consultants sind nicht formal in den Security-Prozess eingebunden.

Keine dokumentierte Disaster Recovery: Es gibt vielleicht Backups, aber keinen getesteten Plan für kritische Szenarien.

Unzulängliches Logging: Sicherheitsereignisse werden nicht zentral erfasst. Nachforschungen nach Vorfällen sind mühsam oder unmöglich.

Der vCISO-Fahrplan: Wie Sie in 12 Monaten NIS2-konform werden

Ein Virtual CISO strukturiert NIS2-Compliance in drei Phasen von je vier Monaten. Dieser Fahrplan ist realistisch, machbar und kosteneffizient.

Monate 1 bis 3: Gap-Analyse und Quick Wins

Woche 1-2: Der vCISO führt eine Gap-Analyse durch. Was haben Sie bereits? Wo sind die Lücken gegen NIS2? Resultat: Ein Gap-Assessment-Bericht mit Priorisierung nach Risiko und Aufwand.

Woche 3-4: Quick Wins: MFA für kritische Accounts aktivieren, Vendor-Liste aufbauen, erstes Incident Response Team definieren, erste IT-Sicherheitspolitik schreiben.

Woche 5-12: Formalisierung: ISMS-Dokumente erarbeiten, Schulungsplan aufbauen, Meldeprozess für Vorfälle definieren, erstes Business Continuity Review durchführen.

Monate 4 bis 6: ISMS-Grundlagen und Dokumentation

ISMS-Policy: Eine schriftliche Sicherheitspolitik wird vom vCISO zusammen mit der Geschäftsführung erarbeitet und unterzeichnet.

Risikobewertung: Alle kritischen Assets werden erfasst, Bedrohungen bewertet, Risiken priorisiert.

Compliance-Dokumentation: Alle Lieferanten erhalten einen Sicherheitsvertrag, alle Systeme werden in einer Konfigurationsverwaltung erfasst.

Schulungen: Erstes IT-Sicherheitstraining für das IT-Team und die Geschäftsführung findet statt.

Monate 7 bis 12: Vollständige Compliance und Tests

Patch- und Vulnerability Management: Ein monatlicher Scanning- und Patch-Prozess wird etabliert und dokumentiert.

Business Continuity Tests: Disaster Recovery Pläne werden geschrieben und halbjährlich getestet.

Logging und Überwachung: Eine zentrale Logging-Infrastruktur wird aufgebaut, Sicherheitsereignisse werden überwacht.

Jährliche Compliance-Audit: Der vCISO führt einen Compliance-Check gegen NIS2 durch und dokumentiert die Ergebnisse für die Geschäftsführung und, falls nötig, für Regulatoren.

Kosten: NIS2 Nicht-Compliance vs. vCISO

Die Investition in einen vCISO ist gering im Vergleich zum Risiko einer NIS2-Verletzung.

Geldbuße bei NIS2-Verstöße

Kategorien 1 und 2 (Kritische Infrastruktur): Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Kategorien 3 und 4 (Größere KMU): Bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes.

Operative Auswirkungen: Nach einem Vorfall könnte das Geschäft mehrere Wochen nicht weitergehen. Daten können stündlich Wert verlieren.

Kosten eines Virtual CISO für NIS2

Typisches Engagement: 4 bis 6 Tage pro Monat für die ersten 12 Monate, danach 2 bis 3 Tage pro Monat für kontinuierliche Compliance und jährliche Reviews.

Kosten: 5.000 bis 8.000 Euro pro Monat in der Aufbauphase, dann 2.500 bis 4.000 Euro pro Monat für laufende Betreuung. Jahrtotal: 60.000 bis 96.000 Euro im ersten Jahr, dann 30.000 bis 48.000 Euro pro Jahr.

Vergleich: Ein Vollzeit-CISO kostet 150.000 bis 250.000 Euro pro Jahr, plus Recruiting- und Einarbeitungszeit. Für NIS2-Compliance ist ein vCISO typisch um 60 bis 70 Prozent kostengünstiger und deutlich schneller produktiv.

Worauf Sie bei der Wahl eines vCISO für NIS2-Projekte achten sollten

Nicht alle vCISOs sind für NIS2-Compliance gleich gut geeignet. Hier sind die wichtigsten Auswahlkriterien.

Verifiable CISO Experience

Der vCISO sollte 10 oder mehr Jahre Erfahrung als Chief Information Security Officer in einem Unternehmen haben. Cloud-Security-Consultants oder IT-Projektmanager, die sich vCISO nennen, sind in der Regel nicht ausreichend qualifiziert. Fragen Sie nach: In welchen grössen Unternehmen war die Person CISO? Welche Prozesse hat sie aufgebaut? Welche Budgets hat sie verantwortet? Referenzen von bisherigen Klienten sind obligatorisch.

NIS2-spezifisches Know-how

Der vCISO muss NIS2 im Detail kennen. Hat die Person Unternehmen bei NIS2-Compliance begleitet? Kennt sie die deutschen Regulatorischen Ausführungsbestimmungen? Kann sie den Unterschied zwischen NIS1 und NIS2 erklären? Ein guter vCISO hält Sie über Änderungen in den NIS2-Ausführungsbestimmungen aktuell.

Fähigkeit, mit Ihrem IT-Team zusammenzuarbeiten

Der vCISO muss ein Facilitator und Trainer sein, nicht nur ein Auditor. Ein guter vCISO arbeitet mit Ihrem IT-Leiter zusammen, um Prozesse und Pläne gemeinsam zu entwickeln, anstatt top-down Forderungen zu stellen. Das Team sollte den vCISO als Partner empfinden, nicht als Bedrohung.

Transparenz bei Kosten und Lieferergebnissen

Gute vCISOs bieten klare Service Level Agreements (SLAs) an: wie viele Tage pro Monat, was ist enthalten, was kostet extra? Sie liefern monatliche Status-Reports und treten vor der Geschäftsführung auf. Vorsicht vor vCISOs, die Ihnen keinen klaren Kostenrahmen oder Lieferergebnisse garantieren.

Zertifizierungen und Methodologie

Der vCISO sollte relevante Zertifizierungen haben, wie CISSP, CISM oder ISO/IEC 27001 Lead Auditor. Der vCISO sollte eine klare Methodologie haben: Welcher Standard wird als Grundlage für das ISMS verwendet (ISO/IEC 27001, BSI C5 oder ähnlich)? Wie sind die Projektphasen strukturiert?

Fazit: Ein vCISO ist der pragmatische Weg zu NIS2-Compliance

NIS2 ist ernst zu nehmen, aber nicht überwältigend. Für die meisten Mittelstandsunternehmen ist ein Virtual CISO die beste Lösung: Branchenexpertise, reduzierte Kosten, schnelle Produktivität, und keinen Einstellungsaufwand. In 12 Monaten können Sie NIS2-konform sein, ohne die Geschäftsführung umzustrukturieren.

Der Schlüssel ist die Wahl des richtigen Partners. Ein vCISO mit echter CISO-Erfahrung und NIS2-Know-how wird Ihr Unternehmen systematisch durch die Anforderungen führen, Ihre IT-Teams in den Prozess einbinden und Ihnen am Ende vollständige Dokumentation und verifiable Compliance liefern.

Bereit, NIS2 systematisch anzugehen? Kontaktieren Sie uns für ein kostenfreies Beratungsgespräch. Wir zeigen Ihnen, wie Ihr Unternehmen in realistischer Zeit zu Compliance kommt.

Zurück zur Übersicht

Weitere Artikel

Cloud-Lock-in: Wenn 40 Prozent Aufschlag zum Weckruf werden

Ein Cloud-Anbieter erhöht die Preise um 40 Prozent. Kein Plan B. Was dieser Fall über digitale Souveränität und Vendor-Lock-in im Mittelstand zeigt.

10. April 2026

Kein System ist sicher: Was Anthropics neue KI wirklich kann

Anthropics neues KI-Modell findet Sicherheitsluecken in Windows, macOS und Linux im großen Stil. Was das für Unternehmen bedeutet und warum Resilienz jetzt Pflicht ist.

8. April 2026

NIS-2 aufschieben: Warum Warten teurer wird als Starten

Wer NIS-2 aufschiebt, zahlt später mehr. Ressourcen werden knapper, Preise steigen und Behörden bauen Prüfkapazitäten auf. Der erste Schritt dauert zwei Stunden.

7. April 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

NIS-2 & DORA Schulung

Executive Training zu den regulatorischen Anforderungen von NIS-2 und DORA.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren
CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
Jahresrückblick

Cybervize Jahresrückblick | 2021 | Teil 1

41 minAnhoeren