LAGEBRIEFING · 03.07.2026 DEENFRES

Strategie & Governance/8 Min.

Welche Entscheidungsrechte des CISO schriftlich geregelt sein müssen

Von Alec Chizhik · 23. Juni 2026

6 Min. Lesezeit

Freitag, 02:47 Uhr. Der SOC meldet laterale Bewegung im ERP-Segment und schlägt Isolation vor. Der Schichtleiter IT-Betrieb hält dagegen: der Monatsabschluss läuft bis 06:00 Uhr. Der CISO ist am Telefon, aber in der Incident-Policy steht nur koordinieren und beraten. Die Frage, wer das Produktivsystem abschalten darf, ist um 02:47 Uhr die falsche Zeit für eine Grundsatzdebatte.

Das Wichtigste in Kürze

  • Erwartung gegen Befugnis: Der CISO gilt als Sicherheitsautorität, sein Mandat endet in der Praxis oft bei Policy und Beratung. Ohne schriftliche Befugnis entscheidet im Ernstfall der, der am lautesten ist.
  • Sechs Felder: Risikoakzeptanz, Policy-Ausnahmen, Change-Freigabe, Notfall-Isolation, Budget und Prüfrechte gehören mit konkreten Schwellen ins Mandat.
  • GF bleibt verantwortlich: Paragraf 38 BSIG und NIS2 Artikel 20 lassen die Letztverantwortung bei der Geschäftsleitung. Der CISO handelt im delegierten Mandat, das die Lücke schließt.
  • Getrennte Linie: Wer den IT-Betrieb kontrollieren soll, sollte ihm nicht unterstellt sein. Das BSI empfiehlt die direkte Zuordnung zur Leitung.

Verwandt:KRITIS-Dachgesetz: Wenn Resilienz zur CISO-Pflicht wird  /  Warum das ISO-Zertifikat dem BSI allein nicht reicht

Ohne schriftliches Mandat entscheidet der, der am lautesten ist

Was ist ein CISO-Mandat? Ein CISO-Mandat, oft Charter genannt, ist die schriftliche Vereinbarung zwischen Geschäftsleitung und CISO, die dessen Rolle, Berichtsweg, Entscheidungs- und Vetorechte, Eskalationspfade und Ressourcen festlegt. Es übersetzt die abstrakte Erwartung „zuständig für Sicherheit“ in konkrete, im Ernstfall belastbare Befugnisse.

Die meisten Organisationen behandeln den CISO als oberste Sicherheitsautorität. In der Praxis endet sein Mandat aber häufig bei Strategie und Policy, ohne operative Durchsetzungsrechte. Diese Lücke zwischen Erwartung und Befugnis ist kein Einzelfall, sie ist strukturell angelegt.

Das NIST-Framework nennt den Kern beim Namen. Die Kategorie Governance, Roles und Responsibilities im Cybersecurity Framework 2.0 verlangt, dass Rollen mit der nötigen Autorität ausgestattet werden. Die überarbeitete Leitlinie zur Incident Response, NIST SP 800-61r3 vom April 2025, hält als Empfehlung fest: Rollen und Verantwortlichkeiten sollten dokumentiert sein. Die Beteiligten brauchen die Autorität, ihre Aufgaben zu erfüllen. Der Konflikt Monatsabschluss gegen Isolation ist kein Technikproblem. Es ist ein Governance-Loch, wenn die Eskalationskette nicht vorher schriftlich steht.

Sechs Entscheidungsfelder, die ins Mandat gehören

Ein Mandat muss nicht alles regeln. Es muss die Konflikte vorab klären, die im Alltag und im Incident regelmäßig eskalieren. Sechs Felder tauchen dabei immer wieder auf.

Risikoakzeptanz mit Schwellen. Der CISO bewertet Risiken und beschreibt Kompensationskontrollen. Das Geschäftsrisiko final akzeptieren sollte er nicht. Das Mandat legt Schwellen fest, etwa nach Schweregrad, Datenklassifikation oder Prozesskritikalität, ab denen der Fachbereich oder die Geschäftsleitung formal gegenzeichnet. Die Unterschrift des CISO belegt die Korrektheit der Sicherheitsanalyse. Die Geschäftsentscheidung trifft sie nicht.

Policy-Ausnahmen. Der CISO qualifiziert, ob eine Ausnahme zulässig ist, befristet sie und verlangt Kompensationsmaßnahmen. Ein stilles Mitlaufen über Tickets ohne dokumentierte Akzeptanz gehört ausgeschlossen. Wo er ablehnt, führt der Weg zur Eskalation. Ein Workaround ist keine Option.

Change-Freigabe bei riskanten Deployments. Der IT-Betrieb will den Release-Termin halten, der CISO sieht offene Findings oder eine fehlende Pen-Test-Freigabe. Das Mandat definiert Stufen: Standard-Changes laufen ohne den CISO, High-Risk-Changes brauchen seine Freigabe oder sein Veto, ein Deadlock geht an die Geschäftsleitung oder ein Cyber-Gremium.

Notfall-Isolation. Der wichtigste Satz im Mandat. Wer darf Netzsegmente trennen, Konten sperren und Produktivsysteme offline nehmen, ohne vorherige Freigabe der Geschäftsleitung und innerhalb welcher Parameter. Ein aktiver Incident mit bestätigter Kompromittierung ist ein anderer Fall als ein Verdacht. Genau diese Grenze gehört vorher gezogen.

Budget und Ressourcen. Kein Blankoscheck, aber Mindestbefugnisse: ein eigenes Security-Budget, eine Freigabeschwelle für Notfallausgaben wie Forensik oder externe Unterstützung und ein Mitspracherecht bei sicherheitsrelevanten Beschaffungen. Das BSI nennt für den Sicherheitsbeauftragten ausdrücklich ausreichende Ressourcen und einen direkten Berichtsweg.

Prüf- und Auditrechte. Ohne Einsicht kein Veto. Der CISO braucht Lese- und Auditzugriff auf Logs, Firewall-Regeln, Schwachstellen-Reports und Backup-Restore-Tests, unabhängig vom IT-Betrieb. Diese Befugnis gehört zeitlich und rechtlich begrenzt, aber durchsetzbar ins Mandat.

Die folgende Übersicht zeigt das Muster, ohne eine ganze RACI-Matrix auszubreiten.

Entscheidung Wer entscheidet Eskalation bei Deadlock
Risiko final akzeptieren Fachbereich oder GF, CISO zeichnet die Analyse Geschäftsleitung
High-Risk-Change freigeben CISO-Freigabe oder Veto GF oder Cyber-Gremium
Produktivsystem isolieren CISO oder CSIRT im aktiven Incident Sofortmeldung an GF ohne Vorabfreigabe
Policy-Ausnahme CISO befristet, mit Kompensation GF bei Ablehnung durch Fachbereich

CISO und CIO: warum dieselbe Berichtslinie den Konflikt versteckt

Verfügbarkeit und Sicherheit sind zwei legitime Ziele, die sich regelmäßig widersprechen. Der IT-Betrieb will liefern, der CISO will absichern. Wenn beide Rollen in derselben Linie hängen, kontrolliert die IT-Leitung genau das, was der CISO kontrollieren soll: Patches, Identitäten, Logging, Backup. Das ist ein Bruch der Funktionstrennung.

Das BSI empfiehlt deshalb, den Informationssicherheitsbeauftragten (ISB) zur Wahrung der Unabhängigkeit direkt der obersten Leitung zuzuordnen. Eine Integration in die IT-Abteilung kann Rollenkonflikte erzeugen. Governance-Analysen weisen in dieselbe Richtung: Wo die Sicherheitsfunktion unter der IT-Leitung sitzt, entstehen leicht Informationsdefizite und stille Eigeninteressen in der Kette.

Die praktische Antwort ist keine Statusdebatte darüber, ob der CISO ins C-Level gehört. Sie ist eine Eskalationsregel: Ein fachlicher Deadlock zwischen IT-Leitung und CISO geht innerhalb eines definierten Zeitfensters an die Geschäftsleitung. Diese entscheidet über das Geschäftsrisiko, der CISO dokumentiert seine Sicherheitsposition, beides schriftlich im Protokoll.

Der Rechtsrahmen zieht die Grenze zwischen Verantwortung und Befugnis

Gesetz und Normen definieren die Führungsverantwortung. Das operative Entscheidungsheft des CISO regeln sie nicht. Genau diese Lücke schließt das Mandat. Paragraf 38 BSIG verpflichtet die Geschäftsleitung, die Risikomanagement-Maßnahmen umzusetzen und ihre Umsetzung zu überwachen. Bei schuldhafter Pflichtverletzung haftet sie nach gesellschaftsrechtlichen Regeln. NIS2 Artikel 20 formuliert auf EU-Ebene dieselbe Linie: Die Leitungsorgane billigen die Maßnahmen, überwachen sie und können bei Verstößen haftbar gemacht werden.

Der BSI-Grundschutz macht die Konsequenz klar. Die oberste Leitung trägt die Gesamtverantwortung. Die Delegation operativer Aufgaben entbindet sie nicht davon. Daraus folgt die saubere Rollenteilung: Die Geschäftsleitung bleibt Letztentscheiderin für Risikoakzeptanz und strategische Abwägungen. Der CISO erhält delegierte Befugnisse für den Sicherheitsbetrieb, ein Veto in definierten Feldern und eine Eskalationspflicht. Wichtig ist die Reihenfolge: Das Gesetz sagt nicht, welche Rechte der CISO hat. Das ist eine Frage der Organisation. Deshalb muss sie schriftlich beantwortet werden.

Was in ein CISO-Mandat gehört und wo Sie anfangen

Ein Mandat ist ein kompakter Vertrag zwischen Geschäftsleitung und CISO, kein 40-seitiges Policy-Bündel. Acht Bausteine reichen: Rolle und Scope mit Abgrenzung zu CIO und Datenschutz, der Berichtsweg mit Mindestfrequenz und ungefiltertem Konfliktbericht, die Entscheidungsbefugnisse mit Schwellen, die enumerierten Vetorechte, der Eskalationspfad mit Zeitfenster und Erreichbarkeit, die Ressourcen inklusive Notfallfreigabe, die Prüf- und Durchsetzungsrechte sowie ein Review-Zyklus mit Unterschrift der Geschäftsleitung.

Der Einstieg braucht keine große Reorganisation. Drei Schritte genügen für den Anfang. Erstens: die drei Incident-Fragen vorab beantworten, also wer isoliert, wer informiert Geschäftsleitung und Behörden, wer darf Verfügbarkeit opfern. Zweitens: diese Antworten in Mandat und Incident-Plan identisch festhalten. Drittens: das Szenario ERP-Segment isolieren einmal als Tabletop-Übung durchspielen, mit IT-Leitung, Finanzchef und Geschäftsleitung am Tisch, über den SOC hinaus. Wer diese Übung einmal gemacht hat, streitet um 02:47 Uhr nicht mehr über Zuständigkeiten.

In sehr kleinen Organisationen fällt die Rolle manchmal mit der IT-Leitung zusammen. Dann braucht es kompensierende Maßnahmen: ein Vier-Augen-Prinzip, externe Reviews und einen direkten Berichtsweg zur Geschäftsleitung im Incident, klar befristet. Das ist die zweitbeste Lösung, aber eine dokumentierte.

Häufige Fragen

Was ist der Unterschied zwischen einer Stellenbeschreibung und einem CISO-Mandat?

Eine Stellenbeschreibung nennt Aufgaben und Anforderungen. Ein Mandat legt Befugnisse fest: was der CISO entscheiden darf, wo er ein Veto hat, wann er eskaliert und welche Ressourcen ihm zustehen. Im Incident zählt das Mandat, weil es die Handlungsgewalt regelt.

Schreibt das BSIG vor, welche Rechte ein CISO hat?

Nein. Paragraf 38 BSIG regelt die Verantwortung der Geschäftsleitung. Die Befugnisse des CISO regelt es nicht. Welche Rechte delegiert werden, ist eine Organisationsentscheidung. Genau deshalb muss sie schriftlich getroffen werden, sonst bleibt die Lücke zwischen gesetzlicher Verantwortung und operativer Handlung offen.

Sollte der CISO dem CIO unterstellt sein?

Das BSI rät zur direkten Zuordnung an die oberste Leitung, um die Unabhängigkeit zu wahren. Wer den IT-Betrieb prüfen und im Zweifel bremsen soll, sollte ihm nicht unterstehen. Wo eine direkte Linie nicht möglich ist, braucht es zumindest einen ungefilterten Eskalationsweg zur Geschäftsleitung.

Darf ein CISO ein Produktivsystem eigenmächtig abschalten?

Nur wenn das Mandat es erlaubt. Sinnvoll ist eine klar umrissene Befugnis zur Isolation im aktiven Incident mit bestätigter Kompromittierung, verbunden mit einer sofortigen Meldung an die Geschäftsleitung. Ohne diese schriftliche Regel entsteht die Verzögerung, die im Ernstfall am teuersten ist.

Wie oft sollte ein Mandat überprüft werden?

Mindestens jährlich und nach jedem größeren Sicherheitsvorfall. Ein Vorfall zeigt schnell, wo die Befugnisse in der Praxis nicht getragen haben. Jede Überprüfung endet mit einer erneuten Unterschrift der Geschäftsleitung, damit das Mandat aktuell und autorisiert bleibt.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Digital ChiefsRecords Management als CIO-Thema: warum Governance Ownership braucht
MyBusinessFutureEU AI Act: Was der Mittelstand kennzeichnen muss
cloudmagazinXFS4IoT trifft Cloud: Der Geldautomat wird Plattform

Bildquelle: KI-generiert (Juni 2026)

Weiterführende Lektüre

Innovation · 29. Juni 2026

DORA im Betrieb: Was die Aufsicht sehen will

DORA gilt seit 2025, doch erst die Hälfte der Finanzinstitute ist compliant. 2026 zählen Register-Meldung, Penetrationstests und CTPP-Aufsicht.

Ein Magazin der Evernine Media GmbH