Compliance-Lexikon · Praxis
CISO – Praxis
Die CISO-Rolle ist im Audit ein Pruefpunkt für die Governance-Architektur: Ist die Sicherheitsverantwortung klar, mit Befugnissen ausgestattet und unabhängig genug? Was konkret geprüft wird, zeigt dieser Abschnitt.
Was Auditoren konkret prüfen
Bei einer Prüfung der CISO-Rolle prüft der Auditor Rollendefinition, Befugnisse, Reporting-Linie und Ressourcenausstattung. Das BAM-Objekt GOV-CS-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Stellenbeschreibung ohne klar definierte Befugnisse (was darf der CISO entscheiden?)
- Keine direkte Reporting-Linie zum Vorstand – CISO berichtet nur an CIO
- CISO-Funktion ohne eigenes Budget – abhängig von IT-Budget
- CIO und CISO in Personalunion ohne kompensierende Massnahmen
Praxis-Tipp
Für die CISO-Rolle gilt: Eine Reporting-Linie zum Vorstand ist kein organisatorischer Luxus, sondern regulatorische Anforderung. BaFin-BAIT und NIS-2 sind explizit. Wer den CISO nur unter dem CIO verankert, riskiert einen Befund.
Umsetzung Schritt für Schritt
Erster Schritt: Stellenbeschreibung CISO mit Verantwortlichkeiten, Befugnissen, Ressourcen und Reporting-Linie erstellen. Zweiter Schritt: Organigramm anpassen – CISO direkt unterhalb des Vorstands positionieren. Dritter Schritt: Interessenkonflikt zwischen CIO und CISO prüfen und lösen. Vierter Schritt: Eigenes Sicherheitsbudget für den CISO definieren.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datierte Stellenbeschreibung CISO, aktuelles Organigramm mit Reporting-Linie, Ressourcennachweis (Budget, Personalstärke des Security-Teams) und Nachweis der direkten Leitungsorgananbindung.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 Governance in 20 Minuten.
Die strategische Einordnung – warum die CISO-Rolle langfristig mehr als eine Compliance-Funktion ist – findet sich auf Ebene 3.