Offizielle Pflicht zur Zertifizierung?

Ob ein Informationssicherheitsbeauftragter (ISB) intern geschult werden kann oder eine offizielle Zertifizierung durch eine externe Prüfungsstelle benötigt, hängt stark vom gesetzlichen Umfeld des Unternehmens ab. Für viele Betriebe bleibt die interne Qualifizierung weiterhin völlig ausreichend. Doch in regulierten Branchen werden externe Nachweise inzwischen praktisch unverzichtbar.

Für den größten Teil der deutschen Unternehmen – insbesondere mittelständische Betriebe, IT-Dienstleister, Produktions- und Industriefirmen ohne KRITIS-Relevanz, Handelsunternehmen, E-Commerce-Player, Startups oder Agenturen – gibt es keine gesetzliche Vorgabe, einen staatlich geprüften oder zertifizierten ISB zu beschäftigen. Hier genügt es, wenn das Unternehmen selbst eine qualifizierte Person benennt und diese durch interne Schulungen, externe Trainings oder praktische Erfahrung auf die Aufgabe vorbereitet hat. Ein einfaches Ernennungsdokument reicht aus, solange die Kompetenzen nachvollziehbar sind.

Anders sieht es in Bereichen aus, die durch Spezialgesetze oder Aufsichtsbehörden reguliert werden. Betreiber kritischer Infrastrukturen nach dem BSI-Gesetz – etwa Unternehmen der Energieversorgung, des Gesundheitswesens, der Informationstechnik, des Verkehrs oder der Wasserwirtschaft – müssen nachweislich qualifizierte Sicherheitsverantwortliche benennen. Der Gesetzgeber schreibt zwar kein konkretes Zertifikat vor, doch Auditoren und Prüfstellen akzeptieren hier fast ausschließlich offizielle, externe Qualifikationsnachweise, etwa ISO-27001-Zertifikate, BSI-IT-Grundschutz-Ausbildungen oder Zertifikate von DEKRA, TÜV oder DGQ. Die Qualifikation muss prüfbar, dokumentiert und nachvollziehbar sein.

Noch strenger sind die Anforderungen im Finanz- und Versicherungssektor. Die aufsichtsrechtlichen Vorgaben BAIT, VAIT und ZAIT verpflichten Banken, Versicherer und Zahlungsdienstleister ausdrücklich dazu, einen unabhängigen, fachlich kompetenten und eindeutig qualifizierten Informationssicherheitsbeauftragten einzusetzen. Hier ist eine externe Zertifizierung faktisch Standard und wird von den Aufsichtsbehörden regelmäßig kontrolliert.

Auch im Gesundheitswesen – insbesondere in KRITIS-Krankenhäusern oder in der Telematik-Infrastruktur – ist eine extern überprüfbare Qualifikation der verantwortlichen Person üblich oder vorgeschrieben.

Mit der Umsetzung der NIS2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) steigt der Qualifikationsdruck weiter. Zwar verlangt das Gesetz keine explizite Zertifizierung, aber es fordert angemessene Schulungen, benannte Verantwortliche und nachweisbare Kompetenzen. Für Unternehmen, die künftig als „wichtige“ oder „wesentliche Einrichtungen“ eingestuft werden, wird daher erwartet, dass Sicherheitsverantwortliche über anerkannte externe Qualifikationen verfügen. Auditoren und Aufsichtsbehörden werden entsprechende Nachweise zunehmend einfordern.

Für IT-Fachkräfte bedeutet das: Die Nachfrage nach geprüften ISB-Qualifikationen wächst rasant. Während interne Schulungen in vielen Unternehmen weiterhin ausreichen, entstehen in regulierten Branchen und im Zuge von NIS2 erhebliche Chancen für Fachkräfte, die über formale, auditierbare Zertifikate verfügen – und damit die Brücke zwischen Compliance, Technik und Management schlagen können.