CISO a tiempo parcial: Qué puede externalizarse y qué debe permanecer interno
El fabricante de maquinaria con 120 empleados no necesita un puesto de CISO a tiempo completo. Lo que necesita desde la nueva BSIG es alguien que prepare y documente las medidas de riesgo y proporcione a la dirección plantillas de decisión. Un CISO externo a tiempo parcial por dos días al mes suena a la solución pragmática. Muchas ofertas ocultan el punto decisivo: El proveedor de servicios puede realizar el trabajo de seguridad. La responsabilidad organizativa de la dirección permanece, sin embargo, en la empresa.
Lo más importante en resumen
- Es delegable el trabajo especializado: Un vCISO puede asumir la estrategia, la construcción del ISMS, el análisis de riesgos, la preparación de auditorías y el reporting. Como término de mercado, el rol no está definido en la ley.
- No es delegable la obligación del órgano: El párrafo 38 BSIG obliga a la dirección de las entidades especialmente importantes e importantes a implementar las medidas de riesgo y supervisar su implementación. También la propia formación permanece en la dirección.
- El texto literal cuenta: La ley alemana habla de implementar y supervisar. El requisito de aprobación proviene del artículo 20 de la directiva NIS2. Quien mezcla ambos cita en la auditoría la norma incorrecta.
- El modelo falla en la interfaz: Sin un ancla interna, una escalada clara y un plan de offboarding, de la experiencia externa surge un vacío de gobernanza que se detecta en la auditoría.
Relacionado:Qué derechos de decisión del CISO deben regularse por escrito / Por qué el certificado ISO no basta al BSI por sí solo
Qué proporciona un vCISO y qué no regula el término de mercado
¿Qué es un vCISO? Un vCISO o CISO-as-a-Service es la ocupación externa de la función CISO por un proveedor de servicios, generalmente mediante un contingente mensual o por tarifa diaria en lugar de en una contratación fija. Asume la dirección estratégica de la seguridad de la información a nivel directivo, sin formar parte de la dirección.
En la práctica, el mandato cubre un claro espectro de tareas. El vCISO construye el sistema de gestión de la seguridad de la información o lo desarrolla ulteriormente, redacta directrices, realiza análisis de riesgos y prepara auditorías tanto internas como externas. A ello se añaden conceptos de sensibilización, playbooks de incidentes y el reporting regular a la dirección. Como orientación aproximada sin norma fija, el alcance se sitúa entre medio y unos pocos días-persona al mes, facturado como tarifa plana o por esfuerzo. No existen precios de mercado fijos; las indicaciones de los proveedores varían considerablemente.
Importante es la distinción conceptual. El delegado externo de seguridad de la información opera el ISMS de manera operativa, el vCISO dirige estratégicamente a nivel de dirección. En empresas pequeñas esto se difumina, porque una persona lleva ambos sombreros. Para la gobernanza no cuenta el título, sino el perfil de tareas y la cuestión de quién responde en última instancia ante la autoridad de supervisión.
Párrafo 38 BSIG: Lo que la dirección no puede comprar
La nueva BSIG está vigente desde el 6 de diciembre de 2025 y ha sustituido la antigua versión de 2009. Para la cuestión de los roles, el párrafo 38 es la palanca decisiva. Obliga a las direcciones de las entidades especialmente importantes e importantes a implementar las medidas de gestión de riesgos que deben adoptarse conforme al párrafo 30 y a supervisar su implementación. El párrafo 30 enumera las diez medidas mínimas, desde el análisis de riesgos, pasando por la criptografía, hasta la seguridad de la cadena de suministro.
En este punto merece la pena un examen preciso del texto literal. La ley alemana habla de implementar y supervisar. El concepto de aprobar, que utilizan muchos comentarios, proviene del artículo 20 de la directiva NIS2 y se refiere al inglés «approve». El legislador ha formulado, por tanto, de forma conscientemente más fuerte que la norma europea. Implementar significa más que consentir: La dirección debe procurar que las medidas se introduzcan y operen de forma efectiva con recursos y anclaje interno. Mantiene permanentemente bajo observación su efectividad. Un proveedor externo puede preparar esto. La responsabilidad recae en la dirección.
Dos párrafos adicionales clarifican el límite de la delegación. El párrafo 38 apartado 2 vincula una violación culpable del deber con la responsabilidad de los miembros de la dirección frente a la propia entidad, de acuerdo con las normas del derecho de sociedades aplicable. Y el apartado 3 exige que los miembros de la dirección participen regularmente de forma personal en formaciones para poder reconocer y evaluar los riesgos cibernéticos. La ejecución puede ser asumida por un externo, pero la participación de los órganos sigue siendo obligatoria. Un vCISO puede impartir formaciones, pero no puede sustituir la participación. Quien crea que con el retainer se ha externalizado el cumplimiento normativo, ha pasado por alto el núcleo de la norma.
La distribución de roles: externo operativo, interno responsable
La división limpia sigue una línea sencilla. Todo lo que constituye trabajo especializado puede desplazarse al exterior. Todo lo que afecta a decisiones, asignación de recursos y acreditación de la supervisión permanece dentro. La siguiente tabla asigna las tareas típicas.
| Tarea | ¿Delegable externamente? | Permanece interno | Justificación |
|---|---|---|---|
| Análisis de riesgos y catálogo de medidas | Sí, elaboración y mantenimiento | Dirección: evaluación, decisión de implementación, acreditación de supervisión | Implementación y supervisión según el párrafo 38 corresponden a la dirección |
| ISMS, directrices, documentación | Sí, concepción y plantillas | Dirección: anclaje, aplicación | El papel sin aplicación interna no supera una auditoría |
| Reporting a la dirección | Parcialmente, elaborar el informe | Dirección: revisión, corrección | La supervisión es obligación de la dirección y debe ser demostrable |
| Primera respuesta a incidentes (operativa) | Sí, como servicio de respuesta a incidentes contractualmente prestable | Interno: decisión, escalada | La reacción operativa es delegable, la autoridad de decisión permanece en la empresa |
| Notificación en caso de incidente significativo | Parcialmente, la presentación es apoyable | Entidad y dirección: obligación y aprobación | La obligación de notificación según el párrafo 32 recae en la entidad, no en el consultor |
| Presupuesto e inversiones | No | Dirección | Los recursos y la aceptación del riesgo son responsabilidad de la dirección de la empresa |
| Formación de la dirección | No, solo impartir | Dirección personalmente | El párrafo 38 asigna la formación personalmente a la dirección |
Además pertenece un punto de la teoría organizativa. La función de seguridad no debería depender del departamento de TI, porque de lo contrario la misma instancia construye y controla. El BSI califica precisamente esta delegación al departamento de TI como anti-patrón y responsabiliza a la dirección. Una función de seguridad independiente es por tanto una Best Practice, no una línea jerárquica prescrita legalmente. Un vCISO que informa directamente a la dirección encaja en esta lógica. Un vCISO que se asigna al responsable de TI reproduce el conflicto de roles solo con personal externo.
Dónde falla el modelo en la auditoría y en el caso real
Las debilidades de un modelo de vCISO rara vez residen en la competencia especializada. Residen en las interfaces. Cinco puntos de ruptura típicos se repiten una y otra vez.
Sin presencia interna. Si no se designa ningún interlocutor interno con autoridad, en caso de incidente no hay nadie in situ autorizado a decidir. El experto externo permanece al teléfono mientras que en el sistema ya está en marcha un incidente.
Disponibilidad al límite. Un retainer de ocho horas durante cinco días no cubre un incidente a las 22 h. La obligación de notificación según el párrafo 32 exige una primera notificación inmediata, a más tardar dentro de las 24 horas tras tener conocimiento de un incidente significativo, tan pronto como la vía común de notificación esté operativa. Este reloj corre para la entidad, no para el proveedor de servicios.
Conflicto de intereses. El mismo proveedor actúa como vCISO y vende al mismo tiempo pruebas de penetración, auditorías o proyectos de implementación. Asesoramiento y evaluación quedan entonces en una sola mano. Una revisión independiente o una separación clara de roles lo resuelve.
Brecha de supervisión a pesar de la experiencia. El vCISO escala un riesgo, la dirección no reacciona, nadie documenta la decisión. En la auditoría se revela la brecha en la dirección, aunque a nivel técnico todo estuviera disponible.
Pérdida de conocimiento al finalizar el contrato. Al expirar el mandato faltan a menudo la documentación del ISMS, el registro de riesgos y los registros de decisiones. El sucesor o el siguiente auditor ve un vacío donde antes había control.
Para qué empresas encaja el CISO a tiempo parcial
El modelo no es una herramienta universal. Encaja muy bien en determinadas constelaciones y mal en otras. La siguiente comparación ayuda a realizar una autoevaluación honesta.
| Encaja más bien cuando | Encaja peor cuando |
|---|---|
| 50 a 500 empleados, madurez de seguridad baja a media | Responsabilidad 24/7 para incidentes sin equipo interno |
| Construcción de ISMS o presión de auditoría, pero sin necesidad a tiempo completo | Alta confidencialidad o producción OT sin ancla interna |
| Fase de transición hasta que se cubra un rol interno | Estructura corporativa compleja con reporting a dirección y filiales |
| Dirección con presupuesto de tiempo para revisiones y formación propia | Expectativa de externalizar el cumplimiento sin esfuerzo interno alguno |
En sectores regulados con exigencias propias de supervisión, la combinación de vCISO y delegado interno de seguridad suele ser más sostenible que un mandato externo por sí solo. Uno aporta la dirección estratégica, el otro mantiene el conocimiento y la capacidad de reacción en la empresa.
El inicio: Cómo integrar limpiamente un vCISO
Un modelo sostenible surge en pocos pasos claros. Primero: plasmar el mandato por escrito, con las tareas, los días-persona al mes, los tiempos de respuesta y la indicación expresa de que no se transfiere ninguna representación de la dirección. Segundo: fijar la línea de reporte directamente a la dirección en lugar de a la dirección de TI. Tercero: designar un ancla interna para el día a día y la primera respuesta a incidentes. Cuarto: establecer una matriz de escalada y notificación con los plazos del párrafo 32, en la que figure la dirección como tomadora de decisiones. Quinto: un review trimestral con acta que documente el estado de las medidas, los riesgos abiertos y las necesidades de presupuesto.
Dos aspectos deben planificarse por separado. La formación de la dirección según el párrafo 38 se desarrolla independientemente del retainer, para que la obligación del órgano quede visiblemente cumplida. Y el plan de offboarding con la entrega de la documentación, el registro de riesgos y los accesos conviene incluirlo ya en el contrato, antes de que se necesite. Un buen vCISO hace que la dirección sea capaz de actuar. No la exime de responsabilidad. Quien aclara esto en el momento de la contratación se ahorra en la auditoría el costoso aprendizaje de que la experiencia externa no sustituye la responsabilidad interna.
Preguntas frecuentes
Cada pregunta está cerrada. Un toque desbloquea la respuesta.
¿Puedo como director delegar completamente mis obligaciones NIS2 en un vCISO externo?
No. El párrafo 38 BSIG obliga a la dirección a implementar las medidas de riesgo, supervisar su implementación y participar regularmente de forma personal en formaciones. Un vCISO puede preparar y dirigir este trabajo. La responsabilidad organizativa última permanece en la dirección. Esto no sustituye un asesoramiento jurídico en el caso concreto; la interpretación depende de la forma jurídica y de la organización.
¿Necesito un vCISO o basta con un delegado externo de seguridad?
Un delegado de seguridad de la información encaja cuando falta principalmente la operación operativa del ISMS. Un vCISO encaja cuando faltan la conexión estratégica con la dirección y la gobernanza. Muchos del Mittelstand comienzan con un delegado y complementan con un vCISO tan pronto como aumenta la presión de auditoría y de la dirección.
¿Responde personalmente el vCISO externo según el párrafo 38 BSIG?
El párrafo 38 se dirige a los miembros de la dirección. El vCISO responde contractualmente según su contrato de prestación de servicios, no como órgano sustituto. Solo en caso de una asunción expresa y efectiva de funciones directivas se desplaza eso, algo inusual en la práctica.
¿Cuánto cuesta un vCISO en el Mittelstand?
No existen valores normativos vinculantes. Los proveedores facturan como cuota mensual o por tarifa diaria; los rangos varían considerablemente según el alcance y el grado de madurez. Es recomendable comparar varias ofertas sobre la base del catálogo de tareas acordado, en lugar de un precio de mercado genérico.
Consejos de lectura de la redacción
- Qué derechos de decisión del CISO deben regularse por escrito
- NIS2 tras el plazo: Ahora comienza la supervisión del BSI
- Cumplimiento de NIS2 en el Mittelstand: pasos viables, errores evitables
Selección de la redacción
RecomendadoQué derechos de decisión del CISO deben estar regulados por escritoRecomendadoNIS2 después del plazo: Comienza la supervisión del BSIRecomendadoCumplimiento de NIS2 en la mediana empresa: pasos factibles, errores evitables
Más de la red MBF Media
Digital ChiefsGeopol?tica y datacenters: lo que los CIO deben asegurarMyBusinessFutureReglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahoracloudmagazinXFS4IoT se encuentra con la nube: El cajero automático se convierte en plataforma





