Cybervize - Cybersecurity Beratung
Alle Artikel

Virtual CISO und NIS2: Wie ein vCISO bei der Compliance hilft

Alexander Busse·6. März 2026

Die NIS2-Richtlinie ist nicht laenger optional. Seit dem 18. Dezember 2024 ist sie in der Europaeischen Union gueltig, und Deutschland hat sie in nationales Recht umgesetzt. Fuer Betreiber kritischer Infrastrukturen und grosse Unternehmen ist NIS2-Compliance zur Pflicht geworden. Fuer Mittelstandsunternehmen mit 100 bis 500 Mitarbeitern stellt sich eine kritische Frage: Wie schaffen wir NIS2-Compliance, ohne eine Vollzeit-CISO-Position zu finanzieren? Die Antwort lautet oft: Ein Virtual CISO.

Was ist NIS2 und wer ist betroffen?

NIS2 ist die Richtlinie fuer Netzwerk- und Informationssicherheit der Europaeischen Union. Sie verpflichtet Unternehmen und Infrastrukturbetreiber zu robusten Cybersecurity-Massnahmen und definierten Meldepflichten. Die Richtlinie betrifft nicht nur Energieversorger und Wasserwerke, sondern auch Betreiber im Gesundheitswesen, in der digitalen Infrastruktur, in Transport, Bankwesen und einem breiten Mittelstandssegment.

Groessenklassen und Schwellenwerte

Grosse Unternehmen: Ab 250 Arbeitnehmer oder Jahresumsatz von 50 Millionen Euro oder Gesamtbilanzsumme von 25 Millionen Euro. Diese unterliegen den vollstaendigen NIS2-Anforderungen ohne Ausnahmen.

KMU (Kleine und mittlere Unternehmen): Unter diesen Schwellen, aber mit Ausnahmen. KMU in kritischen Sektoren (Energie, Wasser, Gesundheit, Finanzen) oder als Anbieter kritischer Infrastrukturtypen unterfallen NIS2. Andere KMU haben zwar Meldepflichten, aber etwas geringere Anforderungen.

Persoenliche Haftung der Geschaeftsfuehrung: NIS2 macht die Geschaeftsfuehrung direkt haftbar. Eine Verletzung von NIS2-Anforderungen ist nicht nur ein IT-Problem, sondern kann zu Bussgeldern bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes fuehren. Geschaeftsfuerer und Vorstaegsmaenner koennen persoenlich zur Verantwortung gezogen werden.

Die 10 Kernanforderungen der NIS2 und vCISO-Loesungen

NIS2 definiert zehn Kernanforderungen an Cybersecurity. Ein Virtual CISO strukturiert systematisch, wie ein Mittelstandsunternehmen diese erfuellt.

1. Risikomanagement und Sicherheitsgovernance

Jedes Unternehmen muss ein Informationssicherheitsmanagementsystem (ISMS) etablieren, Risiken bewerten und ein Governance-Modell mit Eskalationswegen schaffen. Ein vCISO definiert, welche Risiken relevant sind, erstellt eine Risikomatrix, und gibt der Geschaeftsfuehrung monatliche Updates zu kritischen Risiken.

2. Incident Reporting: 24-Stunden-Pflicht

Schwerwiegende Vorfaelle muessen innerhalb von 24 Stunden an die Behoerde gemeldet werden. Das erfordert ein Incident Response Plan, ein Eskalationsteam, und ein Dokumentationssystem. Der vCISO definiert die Meldekette und trainiert die relevanten Teams in Quarter eins der Zusammenarbeit.

3. Supply Chain Security

Lieferanten und Dienstleister, die Zugang zu kritischen Systemen haben, muessen selbst NIS2-konform sein oder einen Sicherheitsvertrag unterzeichnen. Ein vCISO erstellt einen Vendor-Assessment-Prozess, bewertet die Lieferanten und dokumentiert Compliance.

4. Business Continuity und Disaster Recovery

Das Unternehmen muss einen Business Continuity Plan (BCP) und ein Disaster Recovery Plan (DRP) nachweisen. Ein vCISO definiert Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) fuer kritische Systeme, testet die Plaene halbjährlich und dokumentiert die Tests.

5. Schulung und Sensibilisierung des Managements

Geschaeftsfuehrung und Board muessen in Cybersecurity und NIS2 geschult werden, mindestens einmal pro Jahr. Ein vCISO organisiert diese Trainings und schafft eine Cybersecurity-Kultur.

6. Zugangsschutz und Authentifizierung

Multi-Faktor-Authentifizierung (MFA), Verschluesselung sensibler Daten, und regelmaessige Passwortupdates sind verpflichtend. Ein vCISO ueberprüft den aktuellen Zustand, empfiehlt Massnahmen und ueberwacht die Implementierung.

7. Kryptographische Verfahren und Datenschutz

Daten in Transit und in Rest muessen verschluesselt sein. Ein vCISO veranlasst ein Datenschutz-Audit, identifiziert Luecken und orchestriert die Abstaendung der Verschluesselung.

8. Sicherheitsarchitektur und Netzwerk-Segmentierung

Kritische Systeme muessen segmentiert sein, Firewalls und Intrusion Detection Systems (IDS) sind erforderlich. Ein vCISO ueberprüft die Netzwerk-Architektur und empfiehlt eine schrittweise Verbesserung.

9. Patch- und Vulnerability Management

Alle Systeme muessen auf aktuelle Software-Veroes und Sicherheits-Patches aktualisiert sein. Ein vCISO etabliert ein Patch-Management-Prozess und ueberwacht die Compliance monatlich.

10. Ueberwachung und Logging

Sicherheitsereignisse muessen protokolliert und ueberwacht werden (Security Information and Event Management, SIEM). Ein vCISO entwirft das Logging-Konzept und ueberwacht die Implementierung.

Warum die meisten Mittelstandsunternehmen NIS2 nicht alleine schaffen

Ein typisches Mittelstandsunternehmen mit 100 bis 300 Mitarbeitern hat oft keine dedizierte Sicherheitsabteilung. Der IT-Leiter verwaltet Server und Desktops, der Geschaeftsfuehrer fokussiert auf Verkaeufe. Cybersecurity ist eine Zusatzaufgabe, wenn ueberhaupt. NIS2-Compliance ohne externe Unterstuetzung ist unter diesen Bedingungen fast unmoeglich.

Typische Luecken ohne CISO

Keine ISMS-Struktur: Es gibt keine dokumentierte Sicherheitspolitik, keine Rollen, keine Eskalationswege. Security ist ad hoc, nicht strategisch.

Keine Meldepflicht-Prozesse: Wenn ein Sicherheitsvorfall auftritt, weiss keiner, an wen zu melden, innerhalb welcher Fristen, mit welchen Informationen.

Schwache Lieferantenkontrolle: Externe IT-Dienstleister, Cloud-Anbieter, und Consultants sind nicht formal in den Security-Prozess eingebunden.

Keine dokumentierte Disaster Recovery: Es gibt vielleicht Backups, aber keinen getesteten Plan fuer kritische Szenarien.

Unzulaengliches Logging: Sicherheitsereignisse werden nicht zentral erfasst. Nachforschungen nach Vorfaellen sind muehsam oder unmoeglich.

Der vCISO-Fahrplan: Wie Sie in 12 Monaten NIS2-konform werden

Ein Virtual CISO strukturiert NIS2-Compliance in drei Phasen von je vier Monaten. Dieser Fahrplan ist realistisch, machbar und kosteneffizient.

Monate 1 bis 3: Gap-Analyse und Quick Wins

Woche 1-2: Der vCISO fuehrt eine Gap-Analyse durch. Was haben Sie bereits? Wo sind die Luecken gegen NIS2? Resultat: Ein Gap-Assessment-Bericht mit Priorisierung nach Risiko und Aufwand.

Woche 3-4: Quick Wins: MFA fuer kritische Accounts aktivieren, Vendor-Liste aufbauen, erstes Incident Response Team definieren, erste IT-Sicherheitspolitik schreiben.

Woche 5-12: Formalisierung: ISMS-Dokumente erarbeiten, Schulungsplan aufbauen, Meldeprozess fuer Vorfaelle definieren, erstes Business Continuity Review durchfuehren.

Monate 4 bis 6: ISMS-Grundlagen und Dokumentation

ISMS-Policy: Eine schriftliche Sicherheitspolitik wird vom vCISO zusammen mit der Geschaeftsfuehrung erarbeitet und unterzeichnet.

Risikobewertung: Alle kritischen Assets werden erfasst, Bedrohungen bewertet, Risiken priorisiert.

Compliance-Dokumentation: Alle Lieferanten erhalten einen Sicherheitsvertrag, alle Systeme werden in einer Konfigurationsverwaltung erfasst.

Schulungen: Erstes IT-Sicherheitstraining fuer das IT-Team und die Geschaeftsfuehrung findet statt.

Monate 7 bis 12: Vollstaendige Compliance und Tests

Patch- und Vulnerability Management: Ein monatlicher Scanning- und Patch-Prozess wird etabliert und dokumentiert.

Business Continuity Tests: Disaster Recovery Plaene werden geschrieben und halbjährlich getestet.

Logging und Ueberwachung: Eine zentrale Logging-Infrastruktur wird aufgebaut, Sicherheitsereignisse werden ueberwacht.

Jährliche Compliance-Audit: Der vCISO fuehrt einen Compliance-Check gegen NIS2 durch und dokumentiert die Ergebnisse fuer die Geschaeftsfuehrung und, falls noetig, fuer Regulatoren.

Kosten: NIS2 Nicht-Compliance vs. vCISO

Die Investition in einen vCISO ist gering im Vergleich zum Risiko einer NIS2-Verletztung.

Geldbusse bei NIS2-Verstoess

Kategorien 1 und 2 (Kritische Infrastruktur): Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag hoeher ist.

Kategorien 3 und 4 (Groessere KMU): Bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes.

Operative Auswirkungen: Nach einem Vorfall koennte das Geschaeft mehrere Wochen nicht weitergehen. Daten koennen stuendlich Wert verlieren.

Kosten eines Virtual CISO fuer NIS2

Typisches Engagement: 4 bis 6 Tage pro Monat fuer die ersten 12 Monate, danach 2 bis 3 Tage pro Monat fuer kontinuierliche Compliance und jährliche Reviews.

Kosten: 5.000 bis 8.000 Euro pro Monat in der Aufbauphase, dann 2.500 bis 4.000 Euro pro Monat fuer laufende Betreuung. Jahrtotal: 60.000 bis 96.000 Euro im ersten Jahr, dann 30.000 bis 48.000 Euro pro Jahr.

Vergleich: Ein Vollzeit-CISO kostet 150.000 bis 250.000 Euro pro Jahr, plus Recruiting- und Einarbeitungszeit. Fuer NIS2-Compliance ist ein vCISO typisch um 60 bis 70 Prozent kostenguenstiger und deutlich schneller produktiv.

Worauf Sie bei der Wahl eines vCISO fuer NIS2-Projekte achten sollten

Nicht alle vCISOs sind fuer NIS2-Compliance gleich gut geeignet. Hier sind die wichtigsten Auswahlkriterien.

Verifiable CISO Experience

Der vCISO sollte 10 oder mehr Jahre Erfahrung als Chief Information Security Officer in einem Unternehmen haben. Cloud-Security-Consultants oder IT-Projektmanager, die sich vCISO nennen, sind in der Regel nicht ausreichend qualifiziert. Fragen Sie nach: In welchen groessen Unternehmen war die Person CISO? Welche Prozesse hat sie aufgebaut? Welche Budgets hat sie verantwortet? Referenzen von bisherigen Klienten sind obligatorisch.

NIS2-spezifisches Know-how

Der vCISO muss NIS2 im Detail kennen. Hat die Person Unternehmen bei NIS2-Compliance begleitet? Kennt sie die deutschen Regulatorischen Ausfuehrungsbestimmungen? Kann sie den Unterschied zwischen NIS1 und NIS2 erklaeren? Ein guter vCISO haelt Sie ueber Aenderungen in den NIS2-Ausfuehrungsbestimmungen aktuell.

Faehigkeit, mit Ihrem IT-Team zusammenzuarbeiten

Der vCISO muss ein Facilitator und Trainer sein, nicht nur ein Auditor. Ein guter vCISO arbeitet mit Ihrem IT-Leiter zusammen, um Prozesse und Plaene gemeinsam zu entwickeln, anstatt top-down Forderungen zu stellen. Das Team sollte den vCISO als Partner empfinden, nicht als Bedrohung.

Transparenz bei Kosten und Lieferergebnissen

Gute vCISOs bieten klare Service Level Agreements (SLAs) an: wie viele Tage pro Monat, was ist enthalten, was kostet extra? Sie liefern monatliche Status-Reports und treten vor der Geschaeftsfuehrung auf. Vorsicht vor vCISOs, die Ihnen keinen klaren Kostenrahmen oder Lieferergebnisse garantieren.

Zertifizierungen und Methodologie

Der vCISO sollte relevante Zertifizierungen haben, wie CISSP, CISM oder ISO/IEC 27001 Lead Auditor. Der vCISO sollte eine klare Methodologie haben: Welcher Standard wird als Grundlage fuer das ISMS verwendet (ISO/IEC 27001, BSI C5 oder aehnlich)? Wie sind die Projektphasen strukturiert?

Fazit: Ein vCISO ist der pragmatische Weg zu NIS2-Compliance

NIS2 ist ernst zu nehmen, aber nicht überwaeltigend. Fuer die meisten Mittelstandsunternehmen ist ein Virtual CISO die beste Loesung: Branchenexpertise, reduzierte Kosten, schnelle Produktivitaet, und keinen Einstellungsaufwand. In 12 Monaten koennen Sie NIS2-konform sein, ohne die Geschaeftsfuehrung umzustrukturieren.

Der Schluessel ist die Wahl des richtigen Partners. Ein vCISO mit echter CISO-Erfahrung und NIS2-Know-how wird Ihr Unternehmen systematisch durch die Anforderungen fuehren, Ihre IT-Teams in den Prozess einbinden und Ihnen am Ende vollstaendige Dokumentation und verifiable Compliance liefern.

Bereit, NIS2 systematisch anzugehen? Kontaktieren Sie uns fuer ein kostenfreies Beratungsgespraech. Wir zeigen Ihnen, wie Ihr Unternehmen in realistischer Zeit zu Compliance kommt.

Zurück zur Übersicht

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Storytelling für CISOs und Security-Teams

Mit Milena Thalmann

35 minAnhoeren
CISO & Führung

Mehr Regulierung für Cybersicherheit?

Mit Tobias Glemser, Geschäftsführer der Secuvera

33 minAnhoeren
Jahresrückblick

Cybervize Jahresrückblick | 2021 | Teil 1

41 minAnhoeren

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

Interim CISO

Sofortige Sicherheitsexpertise für Übergangsphasen und kritische Projekte.

Mehr erfahren

Weitere Artikel

Was kostet ein Virtual CISO wirklich? Deep Dive in vCISO-Preise und ROI

Retainer, Projekt-basiert, Stundensatz oder hybrid? Konkrete Preis-Ranges im DACH-Markt (EUR 2.500-15.000/Monat), versteckte Kosten, ROI-Berechnung und ein Leitfaden zur Budgetierung von Virtual CISO Lösungen.

6. März 2026

vCISO vs. CISO: Welches Modell passt zu Ihrem Unternehmen?

Virtual CISO, Interim CISO oder Vollzeit-CISO? Detaillierter Vergleich mit Kosten, Verfuegbarkeit, Faehigkeiten und einer klaren Entscheidungsmatrix fuer jedes Unternehmen.

6. März 2026

Virtual CISO: Der komplette Guide fuer den Mittelstand 2026

Was ein vCISO leistet, was er kostet, und warum der Mittelstand jetzt strategische Cybersecurity-Fuehrung braucht. Praxisguide mit 90-Tage-Plan, NIS2-Bezug und Auswahlkriterien.

6. März 2026