Teilzeit-CISO: Was extern liegen darf, was intern bleiben muss
6 Min. Lesezeit
Der Maschinenbauer mit 120 Beschäftigten braucht keine CISO-Stelle in Vollzeit. Was er seit dem neuen BSIG braucht, ist jemand, der die Risikomaßnahmen vorbereitet, dokumentiert und der Geschäftsführung Entscheidungsvorlagen liefert. Ein externer Teilzeit-CISO für zwei Tage im Monat klingt nach der pragmatischen Lösung. Viele Angebote verschweigen den entscheidenden Punkt: Der Dienstleister darf die Security-Arbeit machen. Die organisatorische Verantwortung der Geschäftsleitung bleibt trotzdem im Haus.
Das Wichtigste in Kürze
- Delegierbar ist die Facharbeit: Ein vCISO kann Strategie, ISMS-Aufbau, Risikoanalyse, Audit-Vorbereitung und Reporting übernehmen. Als Marktbegriff ist die Rolle im Gesetz nicht definiert.
- Nicht delegierbar ist die Organpflicht: Paragraf 38 BSIG verpflichtet die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen, die Risikomaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Auch die eigene Schulung bleibt bei der Leitung.
- Wortlaut zählt: Das deutsche Gesetz sagt umsetzen und überwachen. Das Billigungsgebot stammt aus Artikel 20 der NIS2-Richtlinie. Wer beides vermischt, zitiert im Audit die falsche Norm.
- Das Modell scheitert an der Schnittstelle: Ohne internen Anker, klare Eskalation und Offboarding-Plan wird aus externer Expertise ein Governance-Loch, das im Audit auffällt.
Verwandt:Welche Entscheidungsrechte des CISO schriftlich geregelt sein müssen / Warum das ISO-Zertifikat dem BSI allein nicht reicht
Was ein vCISO liefert und was der Marktbegriff nicht regelt
Was ist ein vCISO? Ein vCISO oder CISO-as-a-Service ist die externe Besetzung der CISO-Funktion durch einen Dienstleister, meist im Monatskontingent oder auf Tagessatz statt in Festanstellung. Er übernimmt die strategische Steuerung der Informationssicherheit auf Leitungsebene, ohne Teil der Geschäftsführung zu werden.
In der Praxis deckt das Mandat einen klaren Aufgabenkranz ab. Der vCISO baut das Informationssicherheits-Managementsystem auf oder entwickelt es weiter, schreibt Richtlinien, führt Risikoanalysen und bereitet interne wie externe Audits vor. Dazu kommen Awareness-Konzepte, Incident-Playbooks und das regelmäßige Reporting an die Geschäftsführung. Als grobe Orientierung ohne feste Norm bewegt sich der Umfang bei einem halben bis wenigen Personentagen im Monat, abgerechnet als Pauschale oder nach Aufwand. Feste Marktpreise gibt es nicht, die Angaben der Anbieter schwanken stark.
Wichtig ist die begriffliche Trennung. Der externe Informationssicherheitsbeauftragte betreibt das ISMS operativ, der vCISO steuert strategisch auf Leitungsebene. In kleinen Häusern verschwimmt das, weil eine Person beide Hüte trägt. Für die Governance zählt nicht der Titel, sondern das Aufgabenprofil und die Frage, wer am Ende gegenüber der Aufsicht geradesteht.
Paragraf 38 BSIG: Was die Geschäftsführung nicht einkaufen kann
Das neue BSIG gilt seit dem 6. Dezember 2025 und hat die alte Fassung von 2009 abgelöst. Für die Rollenfrage ist Paragraf 38 der entscheidende Hebel. Er verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, die nach Paragraf 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Paragraf 30 listet dazu die zehn Mindestmaßnahmen auf, von der Risikoanalyse über Kryptografie bis zur Lieferkettensicherheit.
An dieser Stelle lohnt der genaue Blick auf den Wortlaut. Das deutsche Gesetz spricht von umsetzen und überwachen. Der Begriff billigen, den viele Kommentare nutzen, stammt aus Artikel 20 der NIS2-Richtlinie und meint das englische approve. Der Gesetzgeber hat also bewusst stärker formuliert als die EU-Norm. Umsetzen meint mehr als zustimmen: Die Leitung muss dafür sorgen, dass die Maßnahmen mit Ressourcen und Verankerung wirksam eingeführt und betrieben werden. Ihre Wirksamkeit behält sie laufend im Blick. Ein externer Dienstleister kann das vorbereiten. Die Verantwortung dafür trägt die Geschäftsführung.
Zwei weitere Absätze machen die Grenze der Delegation deutlich. Paragraf 38 Absatz 2 knüpft an eine schuldhafte Pflichtverletzung die Haftung der Geschäftsleitungsmitglieder gegenüber der eigenen Einrichtung, nach den Regeln des anwendbaren Gesellschaftsrechts. Und Absatz 3 verlangt, dass die Mitglieder der Leitung regelmäßig persönlich an Schulungen teilnehmen, um Cyberrisiken erkennen und bewerten zu können. Die Durchführung darf ein Externer übernehmen, die Teilnahme der Organe bleibt Pflicht. Ein vCISO darf schulen, er kann die Teilnahme aber nicht ersetzen. Wer glaubt, mit dem Retainer sei die Compliance ausgelagert, hat den Kern der Norm verfehlt.
Die Rollenaufteilung: extern operativ, intern verantwortlich
Der saubere Split folgt einer einfachen Linie. Alles, was Facharbeit ist, kann nach außen wandern. Alles, was Entscheidung, Ressourcenzuteilung und Nachweis der Überwachung betrifft, bleibt drinnen. Die folgende Übersicht ordnet die typischen Aufgaben zu.
| Aufgabe | Extern delegierbar? | Bleibt intern | Begründung |
|---|---|---|---|
| Risikoanalyse und Maßnahmenkatalog | Ja, Erstellung und Pflege | GF: Bewertung, Umsetzungsentscheidung, Überwachungsnachweis | Umsetzung und Überwachung nach Paragraf 38 liegen bei der Leitung |
| ISMS, Richtlinien, Dokumentation | Ja, Konzeption und Templates | GF: Verankerung, Durchsetzung | Papier ohne interne Durchsetzung besteht kein Audit |
| Management-Reporting | Teilweise, Report erstellen | GF: Review, Nachsteuern | Die Überwachung ist Leitungspflicht und muss nachweisbar sein |
| Incident-Erstreaktion (operativ) | Ja, als IR-Dienst vertraglich erbringbar | Intern: Entscheidung, Eskalation | Operative Reaktion ist delegierbar, die Entscheidungshoheit bleibt im Haus |
| Meldung bei erheblichem Vorfall | Teilweise, Einreichung unterstützbar | Einrichtung und GF: Pflicht und Freigabe | Die Meldepflicht nach Paragraf 32 trifft die Einrichtung, nicht den Berater |
| Budget und Investitionen | Nein | GF | Ressourcen und Risikoakzeptanz sind Unternehmensführung |
| Schulung der Geschäftsleitung | Nein, nur durchführen | GF persönlich | Paragraf 38 weist die Schulung der Leitung persönlich zu |
Ein Punkt aus der Organisationslehre gehört dazu. Die Sicherheitsfunktion sollte nicht in der IT-Abteilung hängen, weil sonst dieselbe Stelle baut und kontrolliert. Das BSI benennt genau diese Delegation in die IT-Abteilung als Anti-Muster und macht die Geschäftsleitung verantwortlich. Eine unabhängige Sicherheitsfunktion ist damit Best Practice, keine gesetzlich vorgeschriebene Berichtslinie. Ein vCISO, der direkt an die Geschäftsführung berichtet, passt in diese Logik. Ein vCISO, der beim IT-Leiter abgeladen wird, reproduziert den Rollenkonflikt nur mit externem Personal.
Wo das Modell im Audit und im Ernstfall bricht
Die Schwachstellen eines vCISO-Modells liegen selten in der Fachkompetenz. Sie liegen an den Schnittstellen. Fünf typische Bruchstellen kehren immer wieder.
Kein internes Standing. Ist kein interner Ansprechpartner mit Befugnis benannt, steht im Vorfall niemand vor Ort, der entscheiden darf. Der externe Experte hängt am Telefon, während im System bereits ein Vorfall läuft.
Verfügbarkeit an der Grenze. Ein Retainer über acht Stunden an fünf Tagen deckt keinen Vorfall um 22 Uhr. Die Meldepflicht nach Paragraf 32 verlangt eine erste Meldung unverzüglich, spätestens binnen 24 Stunden nach Kenntnis eines erheblichen Vorfalls, sobald der gemeinsame Meldeweg betriebsbereit ist. Diese Uhr läuft für die Einrichtung, nicht für den Dienstleister.
Interessenkonflikt. Derselbe Anbieter tritt als vCISO auf und verkauft zugleich Penetrationstests, Audits oder Umsetzungsprojekte. Beraten und bewerten liegen dann in einer Hand. Ein unabhängiges Review oder eine saubere Rollentrennung löst das.
Überwachungslücke trotz Expertise. Der vCISO eskaliert ein Risiko, die Geschäftsführung reagiert nicht, niemand dokumentiert die Entscheidung. Im Audit zeigt sich die Lücke bei der Leitung, obwohl fachlich alles vorlag.
Wissensverlust beim Vertragsende. Läuft das Mandat aus, fehlen oft ISMS-Doku, Risikoregister und Entscheidungslogs. Der Nachfolger oder der nächste Prüfer sieht eine Leerstelle, wo eben noch Steuerung war.
Für welche Unternehmen der Teilzeit-CISO passt
Das Modell ist kein Universalwerkzeug. Es passt in bestimmten Konstellationen sehr gut und in anderen schlecht. Die folgende Gegenüberstellung hilft bei der ehrlichen Selbsteinschätzung.
| Passt eher, wenn | Passt schlechter, wenn |
|---|---|
| 50 bis 500 Beschäftigte, niedrige bis mittlere Security-Reife | Rund-um-die-Uhr-Verantwortung für Vorfälle ohne internes Team |
| ISMS-Aufbau oder Audit-Druck, aber kein Vollzeitbedarf | Hohe Vertraulichkeit oder OT-Produktion ohne internen Anker |
| Übergangsphase, bis eine interne Rolle besetzt ist | Komplexe Konzernstruktur mit Leitungsreporting und Töchtern |
| Geschäftsführung mit Zeitbudget für Reviews und eigene Schulung | Erwartung, Compliance ganz ohne internen Aufwand auszulagern |
In regulierten Branchen mit eigener Aufsichtserwartung ist die Kombination aus vCISO und internem Sicherheitsbeauftragten meist tragfähiger als ein externes Mandat allein. Der eine bringt die Steuerung, der andere hält das Wissen und die Reaktionsfähigkeit im Haus.
Der Einstieg: So binden Sie einen vCISO sauber ein
Ein tragfähiges Modell entsteht in wenigen, klaren Schritten. Erstens: das Mandat schriftlich fassen, mit Aufgaben, Personentagen im Monat, Reaktionszeiten und dem ausdrücklichen Hinweis, dass keine Vertretung der Geschäftsführung übertragen wird. Zweitens: die Berichtslinie direkt an die Geschäftsführung legen statt an die IT-Leitung. Drittens: einen internen Anker für Tagesgeschäft und Incident-Erstreaktion benennen. Viertens: eine Eskalations- und Meldematrix mit den Fristen aus Paragraf 32 aufsetzen, in der die Geschäftsführung als Entscheider steht. Fünftens: ein Quartals-Review mit Protokoll, das Maßnahmenstatus, offene Risiken und Budgetbedarf festhält.
Zwei Dinge gehören separat geplant. Die Schulung der Geschäftsleitung nach Paragraf 38 läuft unabhängig vom Retainer, damit die Organpflicht sichtbar erfüllt ist. Und der Offboarding-Plan mit Übergabe von Doku, Risikoregister und Zugängen steht am besten schon im Vertrag, bevor er gebraucht wird. Ein guter vCISO macht die Geschäftsführung handlungsfähig. Schuldfrei macht er sie nicht. Wer das beim Vertragsabschluss klärt, erspart sich im Audit die teure Erkenntnis, dass externe Expertise keine interne Verantwortung ersetzt.
Häufige Fragen
Kann ich als Geschäftsführer meine NIS2-Pflichten komplett an einen externen vCISO delegieren?
Nein. Paragraf 38 BSIG verpflichtet die Geschäftsleitung, die Risikomaßnahmen umzusetzen, ihre Umsetzung zu überwachen und regelmäßig persönlich an Schulungen teilzunehmen. Ein vCISO kann diese Arbeit vorbereiten und steuern. Die organisatorische Letztverantwortung bleibt bei der Leitung. Das ersetzt keine Rechtsberatung im Einzelfall, die Auslegung hängt von Rechtsform und Organisation ab.
Brauche ich einen vCISO oder reicht ein externer Sicherheitsbeauftragter?
Ein Informationssicherheitsbeauftragter passt, wenn vor allem der operative ISMS-Betrieb fehlt. Ein vCISO passt, wenn die strategische Anbindung an die Geschäftsführung und die Governance fehlen. Viele Mittelständler starten mit einem Beauftragten und ergänzen einen vCISO, sobald der Audit- und Leitungsdruck steigt.
Haftet der externe vCISO persönlich nach Paragraf 38 BSIG?
Paragraf 38 adressiert die Mitglieder der Geschäftsleitung. Der vCISO haftet vertraglich nach seinem Dienstvertrag, nicht als Ersatz-Organ. Nur bei einer ausdrücklichen und wirksamen Übernahme von Leitungsfunktionen verschiebt sich das, was in der Praxis unüblich ist.
Was kostet ein vCISO im Mittelstand?
Verbindliche Normwerte gibt es nicht. Anbieter rechnen als Monatspauschale oder nach Tagessatz ab, die Spannen unterscheiden sich stark nach Umfang und Reifegrad. Sinnvoll ist ein Vergleich mehrerer Angebote auf Basis des vereinbarten Aufgabenkatalogs statt eines pauschalen Marktpreises.
Lesetipps der Redaktion
- Welche Entscheidungsrechte des CISO schriftlich geregelt sein müssen
- NIS2 nach der Frist: Jetzt beginnt die BSI-Aufsicht
- NIS2-Compliance im Mittelstand: machbare Schritte, vermeidbare Fehler
Mehr aus dem MBF Media Netzwerk
Bildquelle: KI-generiert (Juli 2026)