Informationssicherheitsbeauftragter

Der Informationssicherheitsbeauftragte (ISB), häufig auch als Chief Information Security Officer (CISO) bezeichnet, ist die organisatorisch verankerte Rolle, die für die Planung, Steuerung und Überwachung des Informationssicherheits-Managementsystems (ISMS) einer Organisation verantwortlich ist. Er berät die Geschäftsleitung in allen Fragen der Informationssicherheit, koordiniert die Umsetzung von Sicherheitsmaßnahmen und stellt sicher, dass Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angemessen gewahrt werden. Der ISB nimmt damit eine Schnittstellenfunktion zwischen Leitungsebene, Fachabteilungen und IT-Betrieb ein.

Zu den Kernaufgaben des ISB zählen die Entwicklung und Fortschreibung der Sicherheitsrichtlinien und der Sicherheitsleitlinie, die Steuerung des Risikomanagementprozesses einschließlich Schutzbedarfsfeststellung und Risikobehandlung, die Koordination des Incident-Response- und Notfallmanagements sowie die Förderung der Security Awareness im Unternehmen. Er überwacht die Wirksamkeit der getroffenen Maßnahmen, berichtet regelmäßig an die Leitung und wirkt bei internen wie externen Audits mit. Anerkannte Rahmenwerke wie der BSI IT-Grundschutz und die ISO/IEC 27001 sehen die Benennung eines ISB ausdrücklich vor und beschreiben dessen Aufgabenprofil.

Mit der NIS2-Richtlinie und ihrer nationalen Umsetzung gewinnt die Rolle weiter an Bedeutung, auch wenn das Gesetz die Funktion nicht zwingend mit dem Titel "ISB" verknüpft. Maßgeblich ist, dass die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen die Verantwortung für das Risikomanagement trägt und nicht vollständig delegieren kann; der ISB unterstützt sie bei der Erfüllung dieser Geschäftsleitungspflichten. Wichtig ist die Unabhängigkeit der Rolle: Der ISB sollte direkt an die oberste Leitung berichten und darf nicht in Interessenkonflikte geraten, etwa durch eine gleichzeitige operative Verantwortung für den IT-Betrieb, deren Sicherheit er bewerten soll.