LAGEBRIEFING · 03.07.2026 DEENFRES

Strategie & Governance/8 Min.

Teilzeit-CISO: Was extern liegen darf, was intern bleiben muss

Von Benedikt Langer · 24. Juni 2026

6 Min. Lesezeit

Der Maschinenbauer mit 120 Beschäftigten braucht keine CISO-Stelle in Vollzeit. Was er seit dem neuen BSIG braucht, ist jemand, der die Risikomaßnahmen vorbereitet, dokumentiert und der Geschäftsführung Entscheidungsvorlagen liefert. Ein externer Teilzeit-CISO für zwei Tage im Monat klingt nach der pragmatischen Lösung. Viele Angebote verschweigen den entscheidenden Punkt: Der Dienstleister darf die Security-Arbeit machen. Die organisatorische Verantwortung der Geschäftsleitung bleibt trotzdem im Haus.

Das Wichtigste in Kürze

  • Delegierbar ist die Facharbeit: Ein vCISO kann Strategie, ISMS-Aufbau, Risikoanalyse, Audit-Vorbereitung und Reporting übernehmen. Als Marktbegriff ist die Rolle im Gesetz nicht definiert.
  • Nicht delegierbar ist die Organpflicht: Paragraf 38 BSIG verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen, die Risikomaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Auch die eigene Schulung bleibt bei der Leitung.
  • Wortlaut zählt: Das deutsche Gesetz sagt umsetzen und überwachen. Das Billigungsgebot stammt aus Artikel 20 der NIS2-Richtlinie. Wer beides vermischt, zitiert im Audit die falsche Norm.
  • Das Modell scheitert an der Schnittstelle: Ohne internen Anker, klare Eskalation und Offboarding-Plan wird aus externer Expertise ein Governance-Loch, das im Audit auffällt.

Verwandt:Welche Entscheidungsrechte des CISO schriftlich geregelt sein müssen  /  Warum das ISO-Zertifikat dem BSI allein nicht reicht

Was ein vCISO liefert und was der Marktbegriff nicht regelt

Was ist ein vCISO? Ein vCISO oder CISO-as-a-Service ist die externe Besetzung der CISO-Funktion durch einen Dienstleister, meist im Monatskontingent oder auf Tagessatz statt in Festanstellung. Er übernimmt die strategische Steuerung der Informationssicherheit auf Leitungsebene, ohne Teil der Geschäftsführung zu werden.

In der Praxis deckt das Mandat einen klaren Aufgabenkranz ab. Der vCISO baut das Informationssicherheits-Managementsystem auf oder entwickelt es weiter, schreibt Richtlinien, führt Risikoanalysen und bereitet interne wie externe Audits vor. Dazu kommen Awareness-Konzepte, Incident-Playbooks und das regelmäßige Reporting an die Geschäftsführung. Als grobe Orientierung ohne feste Norm bewegt sich der Umfang bei einem halben bis wenigen Personentagen im Monat, abgerechnet als Pauschale oder nach Aufwand. Feste Marktpreise gibt es nicht, die Angaben der Anbieter schwanken stark.

Wichtig ist die begriffliche Trennung. Der externe Informationssicherheitsbeauftragte betreibt das ISMS operativ, der vCISO steuert strategisch auf Leitungsebene. In kleinen Häusern verschwimmt das, weil eine Person beide Hüte trägt. Für die Governance zählt nicht der Titel, sondern das Aufgabenprofil und die Frage, wer am Ende gegenüber der Aufsicht geradesteht.

Paragraf 38 BSIG: Was die Geschäftsführung nicht einkaufen kann

Das neue BSIG gilt seit dem 6. Dezember 2025 und hat die alte Fassung von 2009 abgelöst. Für die Rollenfrage ist Paragraf 38 der entscheidende Hebel. Er verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, die nach Paragraf 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Paragraf 30 listet dazu die zehn Mindestmaßnahmen auf, von der Risikoanalyse über Kryptografie bis zur Lieferkettensicherheit.

An dieser Stelle lohnt der genaue Blick auf den Wortlaut. Das deutsche Gesetz spricht von umsetzen und überwachen. Der Begriff billigen, den viele Kommentare nutzen, stammt aus Artikel 20 der NIS2-Richtlinie und meint das englische approve. Der Gesetzgeber hat also bewusst stärker formuliert als die EU-Norm. Umsetzen meint mehr als zustimmen: Die Leitung muss dafür sorgen, dass die Maßnahmen mit Ressourcen und Verankerung wirksam eingeführt und betrieben werden. Ihre Wirksamkeit behält sie laufend im Blick. Ein externer Dienstleister kann das vorbereiten. Die Verantwortung dafür trägt die Geschäftsführung.

Zwei weitere Absätze machen die Grenze der Delegation deutlich. Paragraf 38 Absatz 2 knüpft an eine schuldhafte Pflichtverletzung die Haftung der Geschäftsleitungsmitglieder gegenüber der eigenen Einrichtung, nach den Regeln des anwendbaren Gesellschaftsrechts. Und Absatz 3 verlangt, dass die Mitglieder der Leitung regelmäßig persönlich an Schulungen teilnehmen, um Cyberrisiken erkennen und bewerten zu können. Die Durchführung darf ein Externer übernehmen, die Teilnahme der Organe bleibt Pflicht. Ein vCISO darf schulen, er kann die Teilnahme aber nicht ersetzen. Wer glaubt, mit dem Retainer sei die Compliance ausgelagert, hat den Kern der Norm verfehlt.

Die Rollenaufteilung: extern operativ, intern verantwortlich

Der saubere Split folgt einer einfachen Linie. Alles, was Facharbeit ist, kann nach außen wandern. Alles, was Entscheidung, Ressourcenzuteilung und Nachweis der Überwachung betrifft, bleibt drinnen. Die folgende Übersicht ordnet die typischen Aufgaben zu.

Aufgabe Extern delegierbar? Bleibt intern Begründung
Risikoanalyse und Maßnahmenkatalog Ja, Erstellung und Pflege GF: Bewertung, Umsetzungsentscheidung, Überwachungsnachweis Umsetzung und Überwachung nach Paragraf 38 liegen bei der Leitung
ISMS, Richtlinien, Dokumentation Ja, Konzeption und Templates GF: Verankerung, Durchsetzung Papier ohne interne Durchsetzung besteht kein Audit
Management-Reporting Teilweise, Report erstellen GF: Review, Nachsteuern Die Überwachung ist Leitungspflicht und muss nachweisbar sein
Incident-Erstreaktion (operativ) Ja, als IR-Dienst vertraglich erbringbar Intern: Entscheidung, Eskalation Operative Reaktion ist delegierbar, die Entscheidungshoheit bleibt im Haus
Meldung bei erheblichem Vorfall Teilweise, Einreichung unterstützbar Einrichtung und GF: Pflicht und Freigabe Die Meldepflicht nach Paragraf 32 trifft die Einrichtung, nicht den Berater
Budget und Investitionen Nein GF Ressourcen und Risikoakzeptanz sind Unternehmensführung
Schulung der Geschäftsleitung Nein, nur durchführen GF persönlich Paragraf 38 weist die Schulung der Leitung persönlich zu

Ein Punkt aus der Organisationslehre gehört dazu. Die Sicherheitsfunktion sollte nicht in der IT-Abteilung hängen, weil sonst dieselbe Stelle baut und kontrolliert. Das BSI benennt genau diese Delegation in die IT-Abteilung als Anti-Muster und macht die Geschäftsleitung verantwortlich. Eine unabhängige Sicherheitsfunktion ist damit Best Practice, keine gesetzlich vorgeschriebene Berichtslinie. Ein vCISO, der direkt an die Geschäftsführung berichtet, passt in diese Logik. Ein vCISO, der beim IT-Leiter abgeladen wird, reproduziert den Rollenkonflikt nur mit externem Personal.

Wo das Modell im Audit und im Ernstfall bricht

Die Schwachstellen eines vCISO-Modells liegen selten in der Fachkompetenz. Sie liegen an den Schnittstellen. Fünf typische Bruchstellen kehren immer wieder.

Kein internes Standing. Ist kein interner Ansprechpartner mit Befugnis benannt, steht im Vorfall niemand vor Ort, der entscheiden darf. Der externe Experte hängt am Telefon, während im System bereits ein Vorfall läuft.

Verfügbarkeit an der Grenze. Ein Retainer über acht Stunden an fünf Tagen deckt keinen Vorfall um 22 Uhr. Die Meldepflicht nach Paragraf 32 verlangt eine erste Meldung unverzüglich, spätestens binnen 24 Stunden nach Kenntnis eines erheblichen Vorfalls, sobald der gemeinsame Meldeweg betriebsbereit ist. Diese Uhr läuft für die Einrichtung, nicht für den Dienstleister.

Interessenkonflikt. Derselbe Anbieter tritt als vCISO auf und verkauft zugleich Penetrationstests, Audits oder Umsetzungsprojekte. Beraten und bewerten liegen dann in einer Hand. Ein unabhängiges Review oder eine saubere Rollentrennung löst das.

Überwachungslücke trotz Expertise. Der vCISO eskaliert ein Risiko, die Geschäftsführung reagiert nicht, niemand dokumentiert die Entscheidung. Im Audit zeigt sich die Lücke bei der Leitung, obwohl fachlich alles vorlag.

Wissensverlust beim Vertragsende. Läuft das Mandat aus, fehlen oft ISMS-Doku, Risikoregister und Entscheidungslogs. Der Nachfolger oder der nächste Prüfer sieht eine Leerstelle, wo eben noch Steuerung war.

Für welche Unternehmen der Teilzeit-CISO passt

Das Modell ist kein Universalwerkzeug. Es passt in bestimmten Konstellationen sehr gut und in anderen schlecht. Die folgende Gegenüberstellung hilft bei der ehrlichen Selbsteinschätzung.

Passt eher, wenn Passt schlechter, wenn
50 bis 500 Beschäftigte, niedrige bis mittlere Security-Reife Rund-um-die-Uhr-Verantwortung für Vorfälle ohne internes Team
ISMS-Aufbau oder Audit-Druck, aber kein Vollzeitbedarf Hohe Vertraulichkeit oder OT-Produktion ohne internen Anker
Übergangsphase, bis eine interne Rolle besetzt ist Komplexe Konzernstruktur mit Leitungsreporting und Töchtern
Geschäftsführung mit Zeitbudget für Reviews und eigene Schulung Erwartung, Compliance ganz ohne internen Aufwand auszulagern

In regulierten Branchen mit eigener Aufsichtserwartung ist die Kombination aus vCISO und internem Sicherheitsbeauftragten meist tragfähiger als ein externes Mandat allein. Der eine bringt die Steuerung, der andere hält das Wissen und die Reaktionsfähigkeit im Haus.

Der Einstieg: So binden Sie einen vCISO sauber ein

Ein tragfähiges Modell entsteht in wenigen, klaren Schritten. Erstens: das Mandat schriftlich fassen, mit Aufgaben, Personentagen im Monat, Reaktionszeiten und dem ausdrücklichen Hinweis, dass keine Vertretung der Geschäftsführung übertragen wird. Zweitens: die Berichtslinie direkt an die Geschäftsführung legen statt an die IT-Leitung. Drittens: einen internen Anker für Tagesgeschäft und Incident-Erstreaktion benennen. Viertens: eine Eskalations- und Meldematrix mit den Fristen aus Paragraf 32 aufsetzen, in der die Geschäftsführung als Entscheider steht. Fünftens: ein Quartals-Review mit Protokoll, das Maßnahmenstatus, offene Risiken und Budgetbedarf festhält.

Zwei Dinge gehören separat geplant. Die Schulung der Geschäftsleitung nach Paragraf 38 läuft unabhängig vom Retainer, damit die Organpflicht sichtbar erfüllt ist. Und der Offboarding-Plan mit Übergabe von Doku, Risikoregister und Zugängen steht am besten schon im Vertrag, bevor er gebraucht wird. Ein guter vCISO macht die Geschäftsführung handlungsfähig. Schuldfrei macht er sie nicht. Wer das beim Vertragsabschluss klärt, erspart sich im Audit die teure Erkenntnis, dass externe Expertise keine interne Verantwortung ersetzt.

Häufige Fragen

Kann ich als Geschäftsführer meine NIS2-Pflichten komplett an einen externen vCISO delegieren?

Nein. Paragraf 38 BSIG verpflichtet die Geschäftsleitung, die Risikomaßnahmen umzusetzen, ihre Umsetzung zu überwachen und regelmäßig persönlich an Schulungen teilzunehmen. Ein vCISO kann diese Arbeit vorbereiten und steuern. Die organisatorische Letztverantwortung bleibt bei der Leitung. Das ersetzt keine Rechtsberatung im Einzelfall, die Auslegung hängt von Rechtsform und Organisation ab.

Brauche ich einen vCISO oder reicht ein externer Sicherheitsbeauftragter?

Ein Informationssicherheitsbeauftragter passt, wenn vor allem der operative ISMS-Betrieb fehlt. Ein vCISO passt, wenn die strategische Anbindung an die Geschäftsführung und die Governance fehlen. Viele Mittelständler starten mit einem Beauftragten und ergänzen einen vCISO, sobald der Audit- und Leitungsdruck steigt.

Haftet der externe vCISO persönlich nach Paragraf 38 BSIG?

Paragraf 38 adressiert die Mitglieder der Geschäftsleitung. Der vCISO haftet vertraglich nach seinem Dienstvertrag, nicht als Ersatz-Organ. Nur bei einer ausdrücklichen und wirksamen Übernahme von Leitungsfunktionen verschiebt sich das, was in der Praxis unüblich ist.

Was kostet ein vCISO im Mittelstand?

Verbindliche Normwerte gibt es nicht. Anbieter rechnen als Monatspauschale oder nach Tagessatz ab, die Spannen unterscheiden sich stark nach Umfang und Reifegrad. Sinnvoll ist ein Vergleich mehrerer Angebote auf Basis des vereinbarten Aufgabenkatalogs statt eines pauschalen Marktpreises.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Digital ChiefsGeopolitik trifft die Datacenter-Roadmap: Was CIOs jetzt absichern
MyBusinessFutureEU AI Act: Was der Mittelstand kennzeichnen muss
cloudmagazinXFS4IoT trifft Cloud: Der Geldautomat wird Plattform

Bildquelle: KI-generiert (Juli 2026)

Weiterführende Lektüre

Innovation · 29. Juni 2026

DORA im Betrieb: Was die Aufsicht sehen will

DORA gilt seit 2025, doch erst die Hälfte der Finanzinstitute ist compliant. 2026 zählen Register-Meldung, Penetrationstests und CTPP-Aufsicht.

Ein Magazin der Evernine Media GmbH