Ab wann ist ein ISB vorgeschrieben?
Führt ein Unternehmen ein ISMS ein, ist der ISB Pflicht.
Mit der Umsetzung der EU-Richtlinie NIS-2 in deutsches Recht hat sich der Druck auf Unternehmen, sich professionell mit Informationssicherheit zu beschäftigen, deutlich erhöht. Viele Betriebe müssen nun erstmals ein vollständiges Informationssicherheits-Managementsystem (ISMS) einführen und eine verantwortliche Person für Informationssicherheit benennen – selbst dann, wenn sie kein kritischer Infrastrukturbetrieb sind. Der Titel ist dabei nicht entscheidend: Ob die Position „Informationssicherheitsbeauftragter“, „CISO“ oder „Security Officer“ heißt, spielt juristisch keine Rolle. Entscheidend ist, dass ein Unternehmen eine fachkundige Person benennt, die das ISMS verantwortet und gegenüber der Geschäftsleitung berichten kann.
Besonders streng geregelt ist die Rolle in Bereichen, die bereits vor NIS2 unter das BSI-Gesetz (KRITIS) fielen. Betreiber kritischer Infrastrukturen – darunter Energie, Wasser, Gesundheit, IT- und Telekommunikation, Finanzwesen, Verkehr und Ernährung – müssen einen Informationssicherheitsbeauftragten offiziell benennen und diesen beim Bundesamt für Sicherheit in der Informationstechnik melden. Sie unterliegen zudem regelmäßigen Sicherheitsüberprüfungen und müssen die Wirksamkeit ihres ISMS nachweisen.
Auch der Finanz- und Versicherungssektor ist eindeutig reguliert. Die Vorgaben BAIT (für Banken), VAIT (für Versicherer) und ZAIT (für Zahlungsdienstleister) verpflichten Unternehmen, einen Informationssicherheitsbeauftragten einzusetzen, der organisatorisch unabhängig ist und direkt an die Geschäftsleitung berichtet. Diese Rolle ist fest definiert und zentraler Bestandteil der IT-Governance dieser Branchen.
Im Gesundheitswesen variiert die Pflicht je nach Einrichtung: KRITIS-Krankenhäuser müssen einen ISB benennen, während Anbieter in der Telematik-Infrastruktur durch gematik-Regelwerke („Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH“) ebenfalls einer klaren Sicherheitsverantwortung unterliegen. Hinzu kommt die öffentliche Verwaltung, die in mehreren Bundesländern durch Landes-Informationssicherheitsgesetze verpflichtet ist, eine fachverantwortliche Person für Informationssicherheit zu bestimmen.
Unter dem Strich zeigt sich: Für eine wachsende Zahl von Unternehmen ist ein ISB nicht mehr nur eine Best Practice, sondern eine echte gesetzliche Anforderung. Für IT-Fachkräfte entsteht daraus ein klarer Vorteil: Die Nachfrage nach qualifizierten Spezialisten steigt mit jedem neuen Regulierungsrahmen weiter an – und wer heute in Informationssicherheit einsteigt, bewegt sich in einem der zukunftssichersten Bereiche der gesamten IT-Landschaft.
Key Takeaways
Kernaussage: Durch die Umsetzung der EU‑Richtlinie NIS‑2 steigt der Druck auf Unternehmen, ein vollständiges Informationssicherheits‑Managementsystem (ISMS) zu etablieren und eine verantwortliche fachkundige Person (ISB) zu benennen.
Einordnung: Die Rolle des Informationssicherheitsbeauftragten ist gesetzlich vorgeschrieben für Betreiber kritischer Infrastrukturen (z. B. Energie, Wasser, Gesundheit, IT/Telekommunikation, Verkehr, Ernährung) und in stark regulierten Branchen wie Banken und Versicherungen.
Entscheidung: Unternehmen, auch außerhalb klassischer KRITIS‑Bereiche, sollten jetzt prüfen, ob sie eine fachverantwortliche Person mit Informationssicherheits‑Aufgaben benötigen, da sich durch NIS‑2 und branchenspezifische Vorgaben die Nachfrage nach ISB‑Kompetenzen deutlich erhöht.
Quellen – Informationssicherheitsbeauftragter / NIS2 & regulierte Branchen
1) BSI – Kritische Infrastrukturen (KRITIS)
https://www.bsi.bund.de/DE/Themen/Kritis/kritis_node.html
2) Bundesministerium des Innern – NIS2-Umsetzung in deutsches Recht
https://www.bmi.bund.de/DE/themen/moderne-verwaltung/it-und-digitalpolitik/nis2/nis2-artikel/nis2-artikel-node.html