Compliance-Lexikon · Governance
CISO
[ˈsiːsəʊ] · Chief Information Security Officer · auch: Informationssicherheitsbeauftragter (ISB)
Der CISO (Chief Information Security Officer) ist die führende Sicherheitsfunktion einer Organisation – verantwortlich für Entwicklung und Umsetzung der Informationssicherheitsstrategie, die Führung des Sicherheitsprogramms und die Kommunikation der Sicherheitslage an das Leitungsorgan.
Warum die CISO-Rolle eine regulatorische Anforderung ist
ISO 27001, NIS-2, DORA und die BaFin-Anforderungen setzen alle eine funktionale Sicherheitsverantwortung voraus, die über die IT-Administration hinausgeht. In kleinen Organisationen kann diese Rolle nebenamtlich ausgefüllt werden (Informationssicherheitsbeauftragter), in größeren Organisationen erfordert sie eine dedizierte Funktion. Was nicht flexibel ist: Die Rolle muss existieren, mit Befugnissen ausgestattet sein und eine direkte Reporting-Linie zum Leitungsorgan haben.
Wo die CISO-Rolle gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 5.3 | Rollen, Verantwortlichkeiten und Befugnisse: Informationssicherheitsverantwortliche müssen definiert und ausgestattet sein. |
| NIS-2 / BSIG | § 38 | Leitungsorganhaftung: CISO oder äquivalente Funktion als operative Verantwortung unterhalb des Leitungsorgans. |
| DORA | Art. 5 | Governance: Klare Rollen und Verantwortlichkeiten für IKT-Risikomanagement – CISO als funktionale Anforderung. |
| BSI IT-Grundschutz | ISMS.1 | Informationssicherheitsbeauftragter als Pflichtrolle in der BSI-Grundschutz-Architektur. |
| BaFin BAIT / VAIT | vollständig | Informationssicherheitsbeauftragter mit direkter Reporting-Linie zur Geschäftsführung als regulatorische Pflicht für Banken und Versicherer. |
BAM-Objektreferenz
Häufige Audit-Fehler
- CISO-Funktion existiert, aber ohne formale Stellenbeschreibung und Befugnisse
- CISO berichtet nur an CIO oder IT-Leitung, nicht direkt an den Vorstand
- Keine ausreichenden Ressourcen (Budget, Personal) für die CISO-Funktion
- Interessenkonflikt: CIO und CISO in Personalunion (IT baut und prüft sich selbst)
CISO vs. Informationssicherheitsbeauftragter
In Deutschland wird die Rolle häufig als Informationssicherheitsbeauftragter (ISB) bezeichnet, in internationalen Frameworks als CISO. Inhaltlich gleich: Beide sind für das Sicherheitsprogramm verantwortlich. Der Unterschied liegt häufig in der organisatorischen Einordnung: Ein ISB kann nebenamtlich und in niedrigerer Hierarchiestufe angesiedelt sein, während ein CISO typischerweise eine C-Level-Position mit eigenem Budget und direkter Vorstandsanbindung ist. Für NIS-2-pflichtige Einrichtungen und DORA-regulierte Unternehmen sind die Anforderungen an die Funktion mit einer einfachen nebenamtlichen ISB-Rolle kaum zu erfüllen.
Unabhängigkeit als Kernprinzip
Der CISO muss unabhängig vom IT-Betrieb sein: Wer Systeme aufbaut und betreibt, kann nicht gleichzeitig deren Sicherheit neutral beurteilen. BSI IT-Grundschutz und BAIT fordern deshalb eine Trennung zwischen IT-Betrieb und Informationssicherheitsfunktion. In kleinen Organisationen ist die vollständige Trennung nicht immer möglich – dann sind Vier-Augen-Prinzipien und externe Review-Prozesse das Mittel der Wahl.
Nächste Ebene
CISO in der Praxis: Rollendefinition, Befugnisse und Evidence
Wie die CISO-Rolle formal verankert wird und was Auditoren prüfen.