Ein Informationssicherheitsbeauftragter (ISB) ist gesetzlich verpflichtend für KRITIS-Betreiber, Bundesbehörden, NIS-2-betroffene Unternehmen ab 50 Mitarbeitern oder 10 Mio. € Umsatz, ISO-27001-zertifizierte Organisationen sowie alle Behörden und öffentlichen Stellen in Deutschland. Faktisch unverzichtbar wird die ISB-Bestellung zudem für Unternehmen mit kritischen IT-Prozessen, Cloud-Anbindungen, hohem Datenaufkommen oder Lieferketten-Anforderungen (TISAX, B3S, BSI-Grundschutz).
Bei Nichtbestellung drohen je nach Sektor Bußgelder bis 20 Mio. € (NIS-2), Haftungsrisiken für die Geschäftsführung sowie der Verlust von Zertifizierungen und Versicherungsschutz. Die DATUREX GmbH stellt Ihnen bundesweit einen externen Informationssicherheitsbeauftragten — qualifiziert nach ISO 27001 Berater und BSI IT-Grundschutz-Praktiker.
ISB Pflicht
Wann brauchen Sie einen Informationssicherheitsbeauftragten?
Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.
→ Externen Informationssicherheitsbeauftragten anfragenInformationssicherheitsbeauftragter Pflicht – Wann ist ein ISB gesetzlich vorgeschrieben?
Die Frage, ob ein Informationssicherheitsbeauftragter (ISB) Pflicht ist, beschäftigt zahlreiche Unternehmen und Organisationen in Deutschland. Während der Datenschutzbeauftragte bereits seit Jahren gesetzlich verankert ist, gewinnt der ISB durch neue EU-Regularien und steigende Cyberbedrohungen zunehmend an Bedeutung. Auf dieser Seite erfahren Sie, wann die Bestellung eines Informationssicherheitsbeauftragten verpflichtend ist, welche gesetzlichen Grundlagen gelten und welche Konsequenzen bei Nichtbestellung drohen.
Gesetzliche Grundlagen: Wann ist ein ISB Pflicht?
Anders als beim Datenschutzbeauftragten gibt es für den Informationssicherheitsbeauftragten keine einzelne, übergreifende gesetzliche Pflicht. Stattdessen ergibt sich die Verpflichtung aus verschiedenen Regelwerken und branchenspezifischen Anforderungen. Die wichtigsten Rechtsgrundlagen haben wir für Sie zusammengestellt:
1. KRITIS – Kritische Infrastrukturen
Betreiber kritischer Infrastrukturen sind nach dem BSI-Gesetz (BSIG) verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Informationssicherheit zu treffen. Dies schließt in der Praxis die Bestellung eines ISB ein. KRITIS-Betreiber müssen zudem alle zwei Jahre einen Nachweis gegenüber dem BSI erbringen, dass ihre IT-Sicherheit dem Stand der Technik entspricht. Betroffen sind Unternehmen aus den folgenden Sektoren:
- Energie und Wasser
- Informationstechnik und Telekommunikation
- Gesundheit und Ernährung
- Transport und Verkehr
- Finanz- und Versicherungswesen
- Siedlungsabfallentsorgung
- Staat und Verwaltung
2. NIS2-Richtlinie – Neue EU-weite Pflichten
Die NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen erheblich. Ab der nationalen Umsetzung sind nicht nur KRITIS-Betreiber, sondern auch mittlere und große Unternehmen aus 18 Sektoren verpflichtet, ein funktionierendes Informationssicherheits-Management nachzuweisen. Die Benennung eines ISB ist dabei eine zentrale Anforderung. Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz können betroffen sein. Besonders relevant: Die NIS2-Richtlinie sieht eine persönliche Haftung der Geschäftsführung vor, wenn die Anforderungen nicht umgesetzt werden.
3. ISO 27001 – Freiwillig, aber oft gefordert
Die ISO 27001 Zertifizierung verlangt ausdrücklich die Benennung eines Verantwortlichen für das Informationssicherheits-Managementsystem (ISMS). Unternehmen, die eine Zertifizierung anstreben oder aufrechterhalten möchten, benötigen zwingend einen ISB. Auch ohne formale Zertifizierungspflicht fordern immer mehr Auftraggeber – insbesondere in der öffentlichen Verwaltung und im Automotive-Bereich – ein ISMS nach ISO 27001 als Voraussetzung für die Zusammenarbeit.
4. Branchenspezifische Anforderungen
In zahlreichen Branchen ist die Bestellung eines ISB durch spezifische Regulierungen vorgeschrieben:
| Branche | Regelwerk | ISB-Pflicht |
|---|---|---|
| Banken und Finanzdienstleister | MaRisk / BAIT | Ja, verpflichtend |
| Versicherungen | VAIT | Ja, verpflichtend |
| Öffentliche Verwaltung | BSI IT-Grundschutz | Ja, verpflichtend |
| Gesundheitswesen | § 75c SGB V / B3S | Ja, ab bestimmter Größe |
| Energieversorger | EnWG / IT-Sicherheitskatalog | Ja, verpflichtend |
| Telekommunikation | TKG | Ja, verpflichtend |
| Automotive-Zulieferer | TISAX / VDA ISA | Faktisch verpflichtend |
Aufgaben eines Informationssicherheitsbeauftragten
Der ISB übernimmt eine zentrale Rolle im Unternehmen und fungiert als Bindeglied zwischen Geschäftsleitung, IT-Abteilung und Fachbereichen. Zu seinen Kernaufgaben gehören:
- Aufbau und Pflege des ISMS – Entwicklung und kontinuierliche Verbesserung des Informationssicherheits-Managementsystems
- Risikoanalyse und -bewertung – Systematische Identifikation von Bedrohungen und Schwachstellen
- Erstellung von Sicherheitsrichtlinien – Definition verbindlicher Regeln, Prozesse und Verfahrensanweisungen
- Sensibilisierung und Schulung – Regelmäßige Awareness-Trainings und Phishing-Simulationen für Mitarbeiter
- Incident Management – Koordination bei Sicherheitsvorfällen und Steuerung der Sofortmaßnahmen
- Berichterstattung an die Geschäftsleitung – Regelmäßige Statusberichte, Risikoübersichten und strategische Empfehlungen
- Überwachung der Maßnahmenumsetzung – Kontrolle, Nachverfolgung und Dokumentation beschlossener Sicherheitsmaßnahmen
- Zusammenarbeit mit dem Datenschutzbeauftragten – Abstimmung bei überschneidenden Themen wie Datenschutz und Datensicherheit
Mehr über die Abgrenzung zum IT-Sicherheitsbeauftragten erfahren Sie auf unserer Seite zum IT-Sicherheitsbeauftragten. Eine ausführliche Übersicht finden Sie zudem in unserem Artikel zu den Aufgaben eines Informationssicherheitsbeauftragten.
Qualifikationen: Was muss ein ISB mitbringen?
Ein qualifizierter Informationssicherheitsbeauftragter sollte über folgende Kompetenzen verfügen:
- Fundiertes Wissen in IT-Sicherheit und Informationssicherheitsmanagement
- Kenntnisse relevanter Normen und Standards (ISO 27001, BSI IT-Grundschutz, TISAX)
- Verständnis der aktuellen Bedrohungslage und gängiger Angriffsvektoren
- Erfahrung in Risikomanagement und Business Continuity Management
- Kommunikationsstärke und Durchsetzungsvermögen gegenüber allen Hierarchieebenen
- Unabhängigkeit – keine Interessenkonflikte mit IT-Betrieb oder Geschäftsleitung
- Rechtliche Grundkenntnisse (DSGVO, NIS2, branchenspezifische Regularien)
Anerkannte Zertifizierungen wie ISO 27001 Berater, CISM, CISSP oder BSI IT-Grundschutz-Praktiker belegen die fachliche Eignung und werden von Auditoren bei Zertifizierungsverfahren positiv bewertet.
Interner vs. externer Informationssicherheitsbeauftragter
Unternehmen haben grundsätzlich die Wahl zwischen einem internen und einem externen ISB. Beide Varianten haben spezifische Vor- und Nachteile, die sorgfältig abgewogen werden sollten:
| Kriterium | Interner ISB | Externer ISB |
|---|---|---|
| Kosten | Gehalt + Weiterbildung + Tools | Planbare monatliche Pauschale |
| Verfügbarkeit | Jederzeit vor Ort | Nach Vereinbarung, remote und vor Ort |
| Unabhängigkeit | Potenzielle Interessenkonflikte | Hohe Unabhängigkeit garantiert |
| Fachwissen | Muss aufgebaut und aktuell gehalten werden | Breites Expertenwissen aus vielen Projekten |
| Branchenerfahrung | Nur eigene Branche | Branchenübergreifende Erfahrung |
| Einarbeitung | Kennt das Unternehmen | Einarbeitung erforderlich |
| Vertretung | Ausfallrisiko bei Krankheit oder Kündigung | Vertretung durch Beraterteam gesichert |
Gerade für kleine und mittelständische Unternehmen in Sachsen ist ein externer ISB häufig die wirtschaftlichere und qualitativ bessere Lösung. Die monatlichen Kosten für einen externen ISB liegen in der Regel deutlich unter den Gesamtkosten einer internen Besetzung.
Konsequenzen bei Nichtbestellung eines ISB
Unternehmen, die trotz bestehender Pflicht keinen Informationssicherheitsbeauftragten bestellen, riskieren erhebliche Konsequenzen:
- Bußgelder – Insbesondere unter NIS2 drohen Strafen von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
- Persönliche Haftung der Geschäftsleitung – NIS2 sieht eine persönliche Verantwortung der Leitungsorgane vor, die nicht delegierbar ist
- Verlust von Zertifizierungen – Ohne ISB kann eine ISO 27001 oder TISAX Zertifizierung nicht aufrechterhalten werden
- Reputationsschäden – Sicherheitsvorfälle ohne etabliertes ISMS schädigen das Unternehmensimage nachhaltig
- Vertragliche Konsequenzen – Kunden und Geschäftspartner fordern zunehmend Nachweise zur Informationssicherheit
- Versicherungsprobleme – Cyber-Versicherungen setzen ein funktionierendes ISMS voraus und können im Schadensfall Leistungen kürzen
- Wettbewerbsnachteile – Unternehmen ohne Sicherheitsnachweise werden bei Ausschreibungen zunehmend ausgeschlossen
Häufig gestellte Fragen zur ISB-Pflicht
Muss jedes Unternehmen einen Informationssicherheitsbeauftragten haben?
Nein, eine allgemeine gesetzliche Pflicht besteht nicht. Die Verpflichtung ergibt sich aus branchenspezifischen Regelungen, der Unternehmensgröße oder vertraglichen Anforderungen. Mit der NIS2-Richtlinie wird der Kreis der verpflichteten Unternehmen jedoch erheblich erweitert.
Kann der Datenschutzbeauftragte gleichzeitig ISB sein?
Grundsätzlich ja, allerdings kann es zu Interessenkonflikten kommen. Die Rollen haben unterschiedliche Schwerpunkte und sollten idealerweise getrennt besetzt werden, um eine unabhängige Aufgabenwahrnehmung sicherzustellen.
Was kostet ein externer Informationssicherheitsbeauftragter?
Die Kosten hängen von der Unternehmensgröße und dem erforderlichen Aufwand ab. Für KMU beginnen die monatlichen Pauschalen in der Regel ab einigen Hundert Euro. Kontaktieren Sie uns für ein individuelles Angebot.
DATUREX GmbH als Ihr externer Informationssicherheitsbeauftragter
Die DATUREX GmbH aus Dresden unterstützt Unternehmen sachsenweit als externer Informationssicherheitsbeauftragter. Unsere Leistungen umfassen:
- Übernahme der Funktion als externer ISB gemäß allen relevanten Regularien
- Aufbau und Betreuung Ihres ISMS nach ISO 27001 oder BSI IT-Grundschutz
- Unterstützung bei der Umsetzung von NIS2-Anforderungen
- Regelmäßige Sicherheitsaudits und Risikoanalysen
- Mitarbeiterschulungen und Awareness-Kampagnen
- Incident Response und Notfallmanagement
Profitieren Sie von unserer langjährigen Erfahrung und branchenübergreifenden Expertise.
Kontaktieren Sie die DATUREX GmbH für eine kostenlose Erstberatung und erfahren Sie, ob für Ihr Unternehmen die Pflicht zur Bestellung eines Informationssicherheitsbeauftragten besteht – und wie wir Sie dabei unterstützen können.
Wann ist ein Informationssicherheitsbeauftragter Pflicht?
Die Pflicht zur Bestellung eines Informationssicherheitsbeauftragten (ISB) ergibt sich aus verschiedenen gesetzlichen und regulatorischen Anforderungen. Nicht jedes Unternehmen benötigt zwingend einen ISB, doch in vielen Branchen und ab bestimmten Unternehmensgrößen ist die Benennung verpflichtend oder zumindest dringend empfohlen.
KRITIS-Betreiber
Betreiber kritischer Infrastrukturen sind nach dem BSI-Gesetz (§ 8a BSIG) verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Informationssicherheit zu treffen. Ein qualifizierter Informationssicherheitsbeauftragter ist dabei unverzichtbar. KRITIS-Betreiber müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Ansprechpartner für IT-Sicherheit benennen und alle zwei Jahre Nachweise über ihre Sicherheitsmaßnahmen erbringen. Zu den KRITIS-Sektoren gehören Energie, Wasser, Ernährung, Gesundheit, Transport, Finanz- und Versicherungswesen sowie Telekommunikation.
NIS-2-Richtlinie
Die europäische NIS-2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt wird, erweitert den Kreis der betroffenen Unternehmen erheblich. Neben den klassischen KRITIS-Betreibern sind nun auch mittlere Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 Sektoren betroffen. Die Geschäftsleitung haftet persönlich für die Umsetzung angemessener Cybersicherheitsmaßnahmen — ein ISB wird damit faktisch zur Pflicht.
ISO 27001 Zertifizierung
Unternehmen, die eine Zertifizierung nach ISO 27001 anstreben oder aufrechterhalten, benötigen zwingend einen verantwortlichen Informationssicherheitsbeauftragten. Die Norm fordert klare Verantwortlichkeiten und Rollen im Informationssicherheitsmanagement. Ohne einen dedizierten ISB ist eine erfolgreiche Zertifizierung praktisch nicht möglich, da die Auditoren explizit nach der organisatorischen Verankerung der Informationssicherheit fragen.
Branchenspezifische Anforderungen
In zahlreichen Branchen existieren eigene Regelungen zur Informationssicherheit. Finanzdienstleister unterliegen den Anforderungen der BaFin (BAIT, KAIT, VAIT, ZAIT), die einen ISB explizit fordern. Im Gesundheitswesen schreibt § 75c SGB V seit 2022 angemessene IT-Sicherheitsmaßnahmen für Krankenhäuser vor. Auch Kommunen und Behörden in Sachsen müssen gemäß dem Sächsischen Informationssicherheitsgesetz einen Informationssicherheitsbeauftragten bestellen.
Externer vs. interner Informationssicherheitsbeauftragter: Was ist besser?
Unternehmen stehen vor der Wahl, ob sie einen internen Mitarbeiter zum ISB ernennen oder einen externen Dienstleister beauftragen. Beide Varianten haben ihre Berechtigung — die beste Lösung hängt von Unternehmensgröße, Budget und vorhandenem Know-how ab.
Vorteile eines internen ISB
- Tiefe Kenntnis der Unternehmensstrukturen: Ein interner ISB kennt die Abläufe, Systeme und die Unternehmenskultur aus erster Hand.
- Ständige Verfügbarkeit: Er ist täglich vor Ort und kann schnell auf Vorfälle reagieren.
- Engere Zusammenarbeit: Die Integration in bestehende Teams erleichtert die Umsetzung von Sicherheitsmaßnahmen.
Vorteile eines externen ISB
- Breite Erfahrung aus verschiedenen Branchen: Externe ISB bringen Best Practices und aktuelle Bedrohungskenntnisse aus zahlreichen Projekten mit.
- Unabhängigkeit und Objektivität: Ohne betriebliche Verflechtungen können sie Schwachstellen offen ansprechen, ohne Konflikte innerhalb der Hierarchie zu scheuen.
- Kosteneffizienz: Insbesondere für kleine und mittlere Unternehmen ist ein externer ISB deutlich günstiger als eine Vollzeitstelle.
- Sofortige Einsatzbereitschaft: Keine langwierige Einarbeitung oder Schulung notwendig.
- Immer auf dem neuesten Stand: Externe Dienstleister investieren kontinuierlich in Weiterbildung und Zertifizierungen.
Für die meisten kleinen und mittleren Unternehmen in Sachsen ist ein externer Informationssicherheitsbeauftragter die wirtschaftlich sinnvollste Lösung. Die Kosten sind kalkulierbar, das Fachwissen ist garantiert, und das Unternehmen profitiert von einer neutralen Außenperspektive.
Kosten eines externen Informationssicherheitsbeauftragten
Die Kosten für einen externen ISB hängen von mehreren Faktoren ab: Unternehmensgröße, Branche, vorhandenes Sicherheitsniveau und Umfang der gewünschten Leistungen. Grundsätzlich lassen sich folgende Preisbereiche als Orientierung nutzen:
| Unternehmensgröße | Monatliche Kosten (ab) | Leistungsumfang |
|---|---|---|
| Kleinstunternehmen (1–10 MA) | ab 300 € | Grundlegende ISB-Funktion, jährliche Prüfung |
| Kleine Unternehmen (11–50 MA) | ab 500 € | ISB-Funktion, Risikoanalyse, Schulungen |
| Mittlere Unternehmen (51–250 MA) | ab 900 € | Umfassende ISB-Leistungen, ISMS-Aufbau |
| Größere Unternehmen (250+ MA) | ab 1.500 € | Vollumfängliches ISMS, Audit-Begleitung |
Im Vergleich dazu kostet ein interner ISB in Vollzeit mindestens 60.000 bis 80.000 Euro Jahresgehalt — zuzüglich Sozialabgaben, Weiterbildungskosten und Zertifizierungen. Für die meisten KMU ist der externe ISB daher die deutlich wirtschaftlichere Variante.
Bei der DATUREX GmbH in Dresden erhalten Sie einen erfahrenen externen Informationssicherheitsbeauftragten bereits ab 300 Euro monatlich. Unsere Leistungen umfassen die vollständige Übernahme der ISB-Funktion, regelmäßige Sicherheitsprüfungen, Mitarbeiterschulungen und die Begleitung bei Audits und Zertifizierungen.
Häufig gestellte Fragen zum ISB
Wann ist ein ISB Pflicht?
Ein Informationssicherheitsbeauftragter ist gesetzlich verpflichtend für Betreiber kritischer Infrastrukturen (KRITIS), Bundesbehörden sowie Unternehmen, die unter die NIS2-Richtlinie fallen. Außerdem schreiben branchenspezifische Regelwerke wie BAIT (Banken) oder VAIT (Versicherungen) die Bestellung eines ISB vor. Unser externer ISB erfüllt diese Anforderungen rechtskonform und kostengünstig.
Wer kann ISB werden?
ISB kann jede Person werden, die fundierte Kenntnisse in Informationssicherheit, IT-Risikomanagement und relevanten Normen wie ISO 27001 oder BSI IT-Grundschutz nachweist. Anerkannte Zertifizierungen wie CISM, CISSP oder ISO 27001 Lead Implementer sind empfehlenswert. Der ISB muss nicht zwingend angestellt sein – ein externer Dienstleister ist vollständig anerkannt.
Was kostet ein externer ISB?
Die Kosten für einen externen ISB hängen vom Leistungsumfang und der Unternehmensgröße ab. Typischerweise liegen monatliche Pauschalen zwischen 300 und 1.500 Euro – deutlich günstiger als eine Vollzeitstelle. Fordern Sie jetzt ein individuelles Angebot an.
Muss der ISB im Unternehmen angestellt sein?
Nein, ein ISB muss nicht als Mitarbeiter angestellt sein. Die Bestellung eines externen Informationssicherheitsbeauftragten ist gesetzlich ausdrücklich zulässig und wird insbesondere für KMU empfohlen, da so spezialisiertes Know-how ohne Vollzeit-Personalkosten verfügbar ist.
Welche Qualifikation braucht ein ISB?
Ein ISB sollte fundierte Kenntnisse in Informationssicherheits-Management, IT-Risiken und Normen wie ISO 27001 oder BSI IT-Grundschutz mitbringen. Zertifizierungen wie CISM, CISSP oder ISO 27001 Berater sind anerkannte Nachweise der Kompetenz. Zusätzlich sind Kommunikationsstärke und unternehmerisches Denken wichtige Voraussetzungen.
Kostenlose Erstberatung
TÜV+BSI zertifizierte Informationssicherheitsexperten. DATUREX GmbH, Dresden.
Telefon: 0351 / 79593513