Informationssicherheitsbeauftragter (ISB) – Aufgaben, Bedeutung und Rolle im Mittelstand

Das Wichtigste auf einen Blick

• Informationssicherheit ist für Unternehmen unerlässlich, um Cyberangriffe abzuwehren und gesetzliche Vorgaben zu erfüllen. Der oder die Informationssicherheitsbeauftragte (ISB) ist dabei die verantwortliche Person für alle Sicherheitsfragen und sorgt für Transparenz und Compliance.
• Die Rolle des ISB wird besonders im Mittelstand mit Blick auf die NIS2-Richtlinie immer wichtiger.
• Mittelständische Unternehmen sollten zeitnah prüfen, ob sie einen ISB benötigen, und diese Person entweder intern ernennen oder extern beauftragen. Eine klare Rollenverteilung und regelmäßige Weiterbildung sind entscheidend für den Erfolg.

Artikel als PDF

Lesezeit ca. 6 Minuten

Der Informationssicherheitsbeauftragte (ISB) ist eine zentrale Fachperson, die in Unternehmen die Verantwortung für die Informationssicherheit übernimmt. Ihr Fokus liegt speziell auf dem Schutz der Informationen des Unternehmens, unabhängig davon, ob diese digital oder analog vorliegen. Ein ISB stellt sicher, dass die Informationen gemäß des jeweiligen Schutzbedarfs gegen unbefugte Zugriffe, Manipulation und Ausfälle geschützt sind. Besonders im Mittelstand gewinnt die Rolle des ISB immer mehr an Bedeutung, da Unternehmen verstärkt mit Cyberrisiken und gesetzlichen Anforderungen wie NIS2 konfrontiert werden.

Was ist ein Informationssicherheitsbeauftragter (ISB)?
Der oder die Informationssicherheitsbeauftragte ist eine fachlich qualifizierte Person, die in einem Unternehmen die Verantwortung für die Planung, Umsetzung und Überwachung der Informationssicherheit trägt. Sie sorgt dafür, dass technische und organisatorische Maßnahmen zum Schutz von Informationen, IT-Systemen, Prozessen und Daten eingehalten werden. Sie stellt sicher, dass das von der Geschäftsführung angestrebte Sicherheitsniveau erreicht wird und unterstützt die Einhaltung gesetzlicher Vorgaben wie der NIS2-Richtlinie.

Warum ist der ISB für mittelständische Unternehmen wichtig?

Mittelständische Unternehmen stehen heute vor großen Herausforderungen in Bezug auf Informationssicherheit und Compliance. Neben der kontinuierlich steigenden Bedrohung durch Cyberangriffe verpflichtet die Einführung der NIS2-Richtlinie ca. 30.000 Unternehmen dazu, einen angemessenen Umgang in der Informationssicherheit gemäß Stand der Technik zu erreichen. Die NIS2-Richtlinie wird in Deutschland durch NIS2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG) umgesetzt, welches voraussichtlich zum Jahresende in Kraft treten wird. Mehr über NIS2 erfahren Sie in unserem Beitrag „NIS2: Neue Anforderungen an Cybersicherheit für Unternehmen“.

Zwar fordern weder NIS2 noch ISO/IEC 27001 explizit die Benennung eines ISB – implizit aber sehr wohl: Beide Regelwerke verlangen den Nachweis wirksamer Prozesse zur Steuerung von Informationssicherheits- und IT-Risiken (z. B. Art. 21 NIS2). Diese Aufgaben erfordern eine zentrale, koordinierende Funktion. Nur so lassen sich Sicherheitsmaßnahmen konsistent, effizient und bereichsübergreifend umsetzen.

Die Einrichtung eines ISB ist daher kein Selbstzweck, sondern ein entscheidender Faktor für die wirksame Umsetzung regulatorischer Anforderungen und den nachhaltigen Schutz der digitalen Geschäftsprozesse. Der ISB hilft dabei, eine nachhaltige Sicherheitsstrategie zu entwickeln und umzusetzen, die den Schutz sensibler Daten und Systeme gewährleistet. So trägt der ISB maßgeblich zur Minimierung von Sicherheitsvorfällen und zur Einhaltung von Compliance-Vorgaben bei.

Wann braucht ein Unternehmen einen ISB?

Viele mittelständische Unternehmen fragen sich: Wann braucht man einen Informationssicherheitsbeauftragten?

Die einfache Antwort auf die Frage ist: spätestens jetzt. Mit der Einführung der NIS2-Richtlinie oder der Einführung der ISO/IEC 27001 steigen die Anforderungen an einen angemessenen Umgang mit der Informationssicherheit. Um diesen begegnen zu können, ist es erforderlich ein Informationssicherheitsmanagementsystem (ISMS) einzuführen – idealerweise mit einem ISB als verantwortliche Person. Der ISB stellt sicher, dass das angestrebte Sicherheitsniveau unter Einhaltung der Compliance-Anforderungen erreicht wird und das Management informierte Entscheidungen zur Informationssicherheit treffen kann.

Mittelständische Unternehmen sollten sich – unabhängig von formalen Vorgaben – die Frage stellen, welchen Mehrwert eine gute Informationssicherheit mit einem ISB bieten kann und wie hoch der Preis bei einem Sicherheitsvorfall tatsächlich sein kann. Interne Faktoren wie

• die Größe des Unternehmens,
• die Komplexität und Struktur der IT
• sowie die Abhängigkeit von der IT

spielen ebenfalls eine Rolle. Extern können Anforderungen von Kundinnen und Kunden, Partnern oder Branchenstandards die Notwendigkeit eines Informationssicherheitsbeauftragten bestimmen.

Aufgaben und Verantwortlichkeiten des Informationssicherheitsbeauftragten

Die Aufgaben eines ISB sind vielfältig und essenziell für den Schutz der Unternehmensinformationen. Zu den Kernaufgaben zählen:

• Entwickeln und Pflegen der Informationssicherheitsleitlinie, Sicherheitsrichtlinien und -prozessen
• Sicherstellen der Einhaltung von Sicherheitsstandards, z. B. ISO/IEC 27001 oder BSI-Grundschutz
• Durchführen von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeitende
• Zusammenarbeit mit IT-Abteilungen und externen Dienstleistern, um technische und organisatorische Maßnahmen umzusetzen
• Überwachen und Dokumentation von IT-Sicherheitsvorfällen
• Berichtswesen an die Geschäftsführung und Unterstützung bei Audits und Compliance-Prüfungen, insbesondere im Kontext von NIS2
• Beraten bei der Einführung und dem Betrieb von Sicherheitslösungen

Der ISB ist somit Bindeglied zwischen IT, Management und externen Partnern und spielt eine Schlüsselrolle für die IT-Sicherheit im Mittelstand.

Interner vs. externer Informationssicherheitsbeauftragter – Vor- und Nachteile

Unternehmen können sich entscheiden, einen internen oder externen ISB zu benennen – manchmal ist auch eine Kombination beider Modelle sinnvoll.

Für viele mittelständische Unternehmen ist die Beauftragung eines externen Informationssicherheitsbeauftragten eine attraktive und wirtschaftlich sinnvolle Lösung, wenn intern weder das Know-how noch der Bedarf für eine Vollzeitstelle besteht und sie gleichzeitig professionellen Support erhalten wollen.

Für komplexe Unternehmensstrukturen ist ein rein externer ISB jedoch nicht ideal. Besser ist ein Zusammenspiel mit einer internen Ressource. Diese Funktion sollte unabhängig aufgestellt sein, idealerweise mit direkter Anbindung an die Geschäfts- oder mindestens Bereichsleitung (nicht IT!), um ein wirksames, nachhaltiges Informationssicherheitsmanagement zu ermöglichen und Prüfungssicherheit zu gewährleisten.

ISB und NIS2 – Besonderheiten und Pflichten

Die NIS2-Richtlinie verschärft die Anforderungen an die Informationssicherheit in Europa. Sie verpflichtet betroffene Unternehmen jedoch nicht ausdrücklich dazu, einen Informationssicherheitsbeauftragten zu bestellen. Aufgrund des weiten Anforderungskatalogs – etwa zum Incident-Management, zur kontinuierlichen Risikobewertung, zu Schulungen und Berichtspflichten – wird dies in der Praxis fast immer dazu führen, dass Organisationen eine verantwortliche Person benennen, die diese Pflichten koordiniert. Im NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird man genau darauf achten müssen, ob daraus eine formale Benennungspflicht entsteht. Der aktuelle Referentenentwurf sieht bisher keine explizite Pflicht zur Bestellung eines ISB vor, sondern bleibt bei den funktionalen Vorgaben.

Der ISB übernimmt unter NIS2 eine zentrale Rolle bei der Umsetzung der Cybersecurity-Maßnahmen und der Einhaltung der gesetzlichen Pflichten.

Aufgaben wären weiterhin:

• Sicherstellung der Umsetzung von Sicherheitsvorkehrungen gemäß NIS2
• Überwachung und Koordination von Risikoanalysen und Schwachstellenmanagement
• Schnittstellenfunktion zu Aufsichtsbehörden und externen Partnern
• Unterstützung bei der Erstellung von Meldepflichten bei Sicherheitsvorfällen

Ein Informationssicherheitsbeauftragter ist auch im Mittelstand kein Nice-to-have, sondern ein Muss – besonders durch die verschärften Anforderungen durch NIS2.

Ingo Köhne, Geschäftsführer IT-Consulting

So etablieren mittelständische Unternehmen erfolgreich einen ISB

Die Einführung eines Informationssicherheitsbeauftragten im Mittelstand gelingt mit einem klaren Plan und strukturierten Schritten:

1. Bedarfsanalyse und Entscheidungsfindung: Prüfen, ob und in welchem Umfang ein ISB benötigt wird.
2. Auswahl: Intern oder extern? Es gilt zu entscheiden, ob eine qualifizierte interne Person die Aufgabe übernehmen kann, ob externe Expertise erforderlich ist oder ob eine Kombination aus beidem sinnvoll ist..
3. Benennung und offizielle Einführung im Unternehmen inklusive Kommunikation an Mitarbeitende und Management durch die Geschäftsleitung.
4. Qualifizierung und Weiterbildung: Der ISB muss regelmäßig geschult werden und benötigt neben Methodenkompetenz auch ein technisches Verständnis der Informationssicherheit.
5. Aufbau von Prozessen und Dokumentation: Leitlinie und Richtlinien erstellen, Verantwortlichkeiten definieren, Reporting-Strukturen aufbauen.
6. Zusammenarbeit mit IT-Consultants und externen Expertenteams für technische und strategische Unterstützung.
7. Regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen und ISB-Aufgaben.

Fazit: Der Informationssicherheitsbeauftragte als Schlüssel zur IT-Sicherheit und Compliance im Mittelstand

Der ISB nimmt für mittelständische Unternehmen eine unverzichtbare Rolle ein, um den Schutz der Informationen zu gewährleisten und die Anforderungen der NIS2-Richtlinie sowie weiterer Sicherheitsvorschriften umzusetzen. Mit einem kompetenten ISB minimieren Unternehmen Risiken, erfüllen Compliance-Pflichten und stärken das Vertrauen von Kundinnen, Kunden und Partnern.

Wenn Sie Unterstützung bei der Einführung oder Weiterentwicklung eines internen ISB suchen oder die Tätigkeit an einen externen ISB auslagern möchten, beraten wir Sie gern – sprechen Sie uns an!