Fuentis

Verantwortlichkeiten im ISMS

Approved
Last updated: Jan 05, 2026
fuentis Trust Platform, fuentis Suite 4

Verantwortlichkeiten im ISMS: Wer macht was?

Überblick

Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) benötigt klar definierte Rollen und Verantwortlichkeiten. Die Anforderungen unterscheiden sich je nach anwendbarem Standard:

* ISO 27001 und BSI IT-Grundschutz: Grundlegende ISMS-Rollen

* NIS2-Richtlinie: Zusätzliche Pflichten, insbesondere für Geschäftsführung

Pflicht-Rollen nach ISO 27001 & BSI IT-Grundschutz

Diese Rollen sind zwingend erforderlich für jedes ISMS:

1. Geschäftsführung / Institutionsleitung

Verantwortlichkeiten:

* Gesamtverantwortung für Informationssicherheit

* Freigabe der Informationssicherheitsleitlinie

* Bereitstellung von Ressourcen (Budget, Personal, Zeit)

* Ernennung des Informationssicherheitsbeauftragten

* Jährliches Management Review

Referenz:

* ISO 27001: Clause 5.1 (Leadership and commitment)

* BSI IT-Grundschutz: ORP.1.A1

2. Informationssicherheitsbeauftragter (ISB)

Verantwortlichkeiten:

* Zentrale Koordination des ISMS

* Beratung der Geschäftsführung in Sicherheitsfragen

* Erstellung und Pflege der Sicherheitsdokumentation

* Monitoring der Umsetzung von Sicherheitsmaßnahmen

* Ansprechpartner für alle Sicherheitsfragen

Referenz:

* ISO 27001: Clause 5.3

* BSI IT-Grundschutz: ORP.1.A15

Typischer Zeitaufwand: 20-50% einer Vollzeitstelle (je nach Organisationsgröße)

3. IT-Leitung / IT-Betrieb

Verantwortlichkeiten:

* Technische Umsetzung von Sicherheitsmaßnahmen

* Konfiguration und Betrieb von IT-Systemen

* Patch-Management und Updates

* Incident Response (technische Ebene)

* Backup und Recovery

Referenz:

* ISO 27001: Clause 8 (Operation)

* BSI IT-Grundschutz: OPS.1.1.2

4. Asset Owner

Verantwortlichkeiten:

* Verantwortung für spezifische Informationswerte (Assets)

* Klassifizierung des Schutzbedarfs

* Freigabe von Zugriffsberechtigungen

* Überwachung der ordnungsgemäßen Nutzung

Beispiele: Leiter Finanzbuchhaltung (Owner der Finanzdaten), Produktionsleiter (Owner der Steuerungssysteme)

Referenz:

* ISO 27001: Annex A.5.9 (Inventory of information and other associated assets)

* BSI IT-Grundschutz: ORP.4

5. Prozess Owner

Verantwortlichkeiten:

* Verantwortung für die Sicherheit eines Geschäftsprozesses

* Integration von Sicherheitsanforderungen in den Prozess

* Business Impact Analysis (BIA) für den Prozess

* Freigabe von prozessspezifischen Sicherheitsmaßnahmen

Beispiele: Vertriebsleiter (Owner des Vertriebsprozesses), Leiter Produktion (Owner des Produktionsprozesses)

Referenz:

* ISO 27001: Clause 6.1.2 (Information security risk assessment)

* BSI IT-Grundschutz: ORP.1

6. Datenschutzbeauftragter (DSB)

Besonderheit: Pflicht für öffentliche Stellen und bestimmte private Organisationen nach DSGVO Art. 37

Verantwortlichkeiten:

* Überwachung der DSGVO-Compliance

* Beratung zu Datenschutzfragen

* Schulung und Sensibilisierung

* Ansprechpartner für Aufsichtsbehörden

Referenz:

* DSGVO: Art. 37-39

* ISO 27001: Annex A.5.2 (Information security roles and responsibilities)

Zusätzliche Pflicht-Rollen für NIS2

Die NIS2-Richtlinie stellt zusätzliche Anforderungen an betroffene Organisationen (wesentliche und wichtige Einrichtungen):

Erweiterte Pflichten der Geschäftsführung

Neu durch NIS2:

* ⚠️ Persönliche Haftung bei Verstößen (Art. 20 Abs. 2)

* ✅ Schulungspflicht zur Cybersicherheit (nachweispflichtig!)

* ✅ Aktive Überwachung der Risikomanagementmaßnahmen

* ✅ Dokumentierte Verantwortung (nicht delegierbar!)

Wichtig: Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes möglich!

Incident Response Team

Warum Pflicht für NIS2:

* Meldepflichten an Behörden (Frühwarnung: 24h, Meldung: 72h)

* Koordinierte Reaktion auf Sicherheitsvorfälle erforderlich

Verantwortlichkeiten:

* Erkennung und Bewertung von Sicherheitsvorfällen

* Sofortmaßnahmen zur Schadensbegrenzung

* Meldung an zuständige Behörde (CERT/CSIRT)

* Forensik und Ursachenanalyse

* Dokumentation und Lessons Learned

Referenz:

* NIS2: Art. 23 (Meldepflichten)

* BSI IT-Grundschutz: DER.2.1

Lieferanten-Manager (Supply Chain Security)

Warum Pflicht für NIS2:

* Art. 21 Abs. 2 (e) fordert explizit "Sicherheit in den Lieferketten"

Verantwortlichkeiten:

* Identifikation kritischer Lieferanten

* Risikobewertung von Lieferanten

* Sicherheitsanforderungen in Verträgen

* Überwachung der Lieferanten-Compliance

* Incident Management bei Lieferanten-Vorfällen

Referenz:

* NIS2: Art. 21 Abs. 2 (e)

* ISO 27001: Annex A.5.19 (Information security in supplier relationships)

Best Practice Rollen (Optional, empfohlen für größere Organisationen)

Diese Rollen sind nicht zwingend vorgeschrieben, werden aber dringend empfohlen, insbesondere bei:

* Mehr als 100 Mitarbeitern

* Komplexen IT-Landschaften

* Regulierten Branchen (Finanz, Gesundheit, Energie)

Business Continuity Manager (BCM)

Empfohlen weil:

* NIS2 fordert "Maßnahmen zur Gewährleistung der Geschäftskontinuität"

* ISO 27001 Annex A.5.29 (Information security during disruption)

Verantwortlichkeiten:

* Business Impact Analysis (BIA)

* Erstellung von Business Continuity Plänen (BCP)

* Disaster Recovery Planung (DRP)

* Notfallübungen und Tests

* Wiederanlaufplanung nach Vorfällen

Typischer Zeitaufwand: 20-50% einer Vollzeitstelle

Personalabteilung (HR Security)

Empfohlen weil:

* Mitarbeiter sind das größte Sicherheitsrisiko

* On-/Offboarding-Prozesse kritisch für Sicherheit

Verantwortlichkeiten:

* Sicherheitsrelevante Klauseln in Arbeitsverträgen

* Koordination von Hintergrundprüfungen (soweit zulässig)

* Onboarding: Schulungen, Verpflichtungserklärungen

* Offboarding: Zugangsrechte entziehen, Rückgabe von Assets

* Disziplinarmaßnahmen bei Sicherheitsverstößen

Referenz:

* ISO 27001: Annex A.6.1-6.4 (People controls)

* BSI IT-Grundschutz: ORP.2

Compliance Officer

Empfohlen weil:

* Überlappende Anforderungen (DSGVO, NIS2, Branchenstandards)

* Zentrale Koordination verhindert Doppelarbeit

Verantwortlichkeiten:

* Überblick über alle Compliance-Anforderungen

* Koordination zwischen DSB, ISB, Geschäftsführung

* Risikomanagement (übergreifend)

* Audit-Management und Nachverfolgung

* Reporting an Geschäftsführung

Typischer Zeitaufwand: 30-100% einer Vollzeitstelle

Change Advisory Board (CAB)

Empfohlen weil:

* Änderungen sind häufige Ursache für Sicherheitsvorfälle

* Strukturiertes Change Management reduziert Risiken

Verantwortlichkeiten:

* Bewertung von Changes hinsichtlich Sicherheitsrisiken

* Freigabe oder Ablehnung von Changes

* Priorisierung von Changes

* Post-Implementation-Review

Mitglieder: IT-Leitung, ISB, betroffene Fachbereiche

Referenz:

* ISO 27001: Annex A.8.32 (Change management)

* BSI IT-Grundschutz: OPS.1.2.1

Security Awareness Koordinator

Empfohlen weil:

* NIS2 fordert "Schulungen zur Cybersicherheitshygiene"

* Mitarbeiter-Awareness ist kostengünstigste Sicherheitsmaßnahme

Verantwortlichkeiten:

* Planung und Durchführung von Awareness-Kampagnen

* Erstellung von Schulungsmaterialien

* Phishing-Simulationen

* Messung der Awareness (z.B. Klickraten bei Phishing-Tests)

* Reporting an ISB und Geschäftsführung

Typischer Zeitaufwand: 10-30% einer Vollzeitstelle

Referenz:

* ISO 27001: Annex A.6.3 (Information security awareness, education and training)

* BSI IT-Grundschutz: ORP.3

Internal Audit

Empfohlen weil:

* ISO 27001 fordert interne Audits (Clause 9.2)

* Unabhängige Kontrolle erhöht Qualität des ISMS

Verantwortlichkeiten:

* Planung und Durchführung interner ISMS-Audits

* Identifikation von Nonkonformitäten

* Nachverfolgung von Korrekturmaßnahmen

* Vorbereitung auf externe Zertifizierungsaudits

Besonderheit: Muss unabhängig sein (nicht eigene Arbeit prüfen!)

Referenz:

* ISO 27001: Clause 9.2 (Internal audit)

* BSI IT-Grundschutz: ORP.5

Zusammenfassung nach Organisationsgröße

Kleine Organisationen (< 50 Mitarbeiter)

Minimum:

* ✅ Geschäftsführung

* ✅ ISB (20-30%, ggf. extern)

* ✅ IT-Betrieb (kann Personalunion mit ISB sein, wenn externe Kontrolle vorhanden)

* ✅ Asset/Prozess Owner (Geschäftsführung + Bereichsleiter)

Zusätzlich bei NIS2:

* ✅ Incident Response (kann ISB + IT-Betrieb sein)

* ✅ Lieferanten-Manager (kann ISB sein)

Mittelgroße Organisationen (50-250 Mitarbeiter)

Zusätzlich zu oben:

* ✅ Dedizierter ISB (50-100%)

* ✅ Klare Trennung IT-Betrieb ↔ ISB

* ✅ HR Security (Teil der Personalabteilung)

* ✅ BCM-Manager (20-50%, kann ISB sein)

Große Organisationen (> 250 Mitarbeiter)

Zusätzlich zu oben:

* ✅ CISO (Vollzeit)

* ✅ Security-Team (mehrere Personen)

* ✅ Compliance Officer (Vollzeit)

* ✅ Dediziertes Incident Response Team

* ✅ Internal Audit

* ✅ Security Awareness Koordinator

Häufige Fehler vermeiden

"Das macht die IT" → Informationssicherheit ist Querschnittsaufgabe, nicht nur IT-Thema!

"Der ISB macht alles alleine" → ISB koordiniert, Verantwortung liegt bei Asset/Prozess Ownern

"Keine Zeit für ISMS-Aufgaben" → Zeitbudget realistisch einplanen (sonst funktioniert es nicht)

"Rollen nur mündlich vergeben" → Unbedingt schriftlich dokumentieren!

"Bei NIS2 reicht ISB-Benennung" → Nein! Geschäftsführung hat persönliche Schulungs- und Überwachungspflicht

Nächste Schritte

  1. Prüfen Sie Ihren NIS2-Status → Sind Sie betroffen?
  2. Rollen zuweisen → Welche Rollen benötigen Sie? Wer übernimmt sie?
  3. Dokumentieren → Erstellen Sie ein "Rollen & Verantwortlichkeiten"-Dokument
  4. Schulen → Insbesondere Geschäftsführung (bei NIS2 Pflicht!)
  5. Ressourcen bereitstellen → Realistische Zeitbudgets festlegen
  6. Regelmäßig überprüfen → Mindestens jährlich