Cybersecurity
CISO (Chief Information Security Officer)
Ein CISO (Chief Information Security Officer) ist die oberste verantwortliche Führungskraft für Informationssicherheit in einem Unternehmen. Er entwickelt die Sicherheitsstrategie, verantwortet das Informationssicherheits-Managementsystem (ISMS) und berichtet in der Regel direkt an Geschäftsführung oder Vorstand. Mit Regulierungen wie NIS2, DORA und den KRITIS-Anforderungen wird die Rolle für viele Unternehmen faktisch verpflichtend, weil Leitungsorgane für Cybersicherheit persönlich in der Verantwortung stehen.
Zuletzt aktualisiert: 10. Juni 2026
// aufgaben
Aufgaben & Verantwortung
- Entwicklung und Umsetzung der unternehmensweiten Informationssicherheitsstrategie
- Aufbau und Betrieb eines ISMS, z. B. nach ISO 27001 oder BSI IT-Grundschutz
- Sicherstellung der Compliance mit NIS2, DORA, KRITIS-Verordnung und branchenspezifischer Regulatorik
- Cyber-Risikomanagement: Identifikation, Bewertung und Behandlung von Risiken inklusive Berichterstattung an die Geschäftsleitung
- Steuerung von Security-Budget, internem Team und externen Dienstleistern (MSSP, Pentest-Anbieter, Auditoren)
- Incident-Response-Governance: Notfallpläne, Krisenorganisation und gesetzliche Meldepflichten (z. B. 24-/72-Stunden-Meldungen nach NIS2)
- Security-Awareness-Programme und Verankerung einer Sicherheitskultur im Unternehmen
- Third-Party- und Lieferketten-Risikomanagement inklusive Sicherheitsanforderungen an Zulieferer
// skills
Anforderungsprofil
Must-have
- Mehrjährige Führungserfahrung in der Informationssicherheit (typisch 8+ Jahre, davon mehrere in leitender Funktion)
- Zertifizierung CISSP oder CISM (in Ausschreibungen de facto Standard)
- Tiefes Verständnis von ISMS-Standards (ISO 27001, BSI IT-Grundschutz) inklusive Audit-Erfahrung
- Fundierte Kenntnis der relevanten Regulatorik: NIS2, DORA, KRITIS, DSGVO
- Erfahrung im Cyber-Risikomanagement und in der risikobasierten Priorisierung von Maßnahmen
- Kommunikationsstärke auf Geschäftsführungs- und Vorstandsebene, auch gegenüber Aufsichtsgremien
- Erfahrung in der Steuerung von Budgets und externen Security-Dienstleistern
Nice-to-have
- ISO 27001 Lead Implementer oder Lead Auditor
- Technischer Hintergrund aus SOC, Penetration Testing oder Security-Architektur
- Erfahrung in regulierten Branchen (Finanzsektor, Energie, Gesundheitswesen, KRITIS-Sektoren)
- Cloud-Security-Expertise, z. B. CCSP oder vergleichbare Praxiserfahrung
- Erfahrung mit Cyber-Versicherungen und deren Anforderungskatalogen
- Verhandlungssicheres Englisch für internationale Konzernstrukturen
// gehalt
Gehalt
| Erfahrung / Kontext | Brutto-Jahresgehalt |
|---|---|
| Erste CISO-Rolle / Head of Information Security im Mittelstand | 110.000–140.000 € brutto/Jahr |
| Erfahrener CISO (5+ Jahre in vergleichbarer Verantwortung) | 140.000–180.000 € brutto/Jahr |
| CISO in Konzernen oder stark regulierten Umfeldern (KRITIS, Finanzsektor) | 180.000–240.000 € brutto/Jahr, teils mit variablen Anteilen |
Alle Angaben sind Orientierungswerte für Deutschland und hängen von Region, Unternehmensgröße und Erfahrung ab (Stand 2026).
// interview
Typische Interviewfragen
- 01Wie bauen Sie ein ISMS in einem Unternehmen auf, das bislang keine formalisierte Sicherheitsorganisation hat – und wie priorisieren Sie die ersten zwölf Monate?
- 02Wie übersetzen Sie Cyber-Risiken in eine Sprache, auf deren Basis Geschäftsführung und Aufsichtsrat fundierte Budgetentscheidungen treffen können?
- 03Welche konkreten Pflichten leiten Sie aus NIS2 für unser Unternehmen ab, und wie würden Sie deren Umsetzung gegenüber Behörden nachweisbar dokumentieren?
- 04Wie strukturieren Sie Incident Response inklusive Meldeketten, wenn ein Ransomware-Vorfall am Freitagabend entdeckt wird?
- 05Make or Buy: Welche Security-Funktionen würden Sie inhouse aufbauen, welche an einen MSSP auslagern – und nach welchen Kriterien entscheiden Sie?
- 06Mit welchen KPIs und KRIs messen Sie die Wirksamkeit Ihres Security-Programms jenseits von „keine Vorfälle“?
- 07Wie lösen Sie den Zielkonflikt zwischen Time-to-Market im Produktbereich und verbindlichen Sicherheitsanforderungen?
// markt
Marktlage
CISOs gehören zu den am schwersten zu besetzenden Positionen im deutschen Arbeitsmarkt. Der Fachkräftemangel in der Cybersicherheit ist auf Führungsebene besonders ausgeprägt: Kandidaten mit nachweisbarer ISMS-Verantwortung, Regulatorik-Erfahrung und Vorstandskommunikation sind fast ausnahmslos in ungekündigten Positionen. NIS2 und DORA verschärfen die Lage, weil deutlich mehr Unternehmen – auch mittelständische Zulieferer und Betreiber wichtiger Einrichtungen – erstmals eine verantwortliche Sicherheitsorganisation nachweisen müssen und Leitungsorgane persönlich haften. Viele Mittelständler besetzen die Rolle daher zunächst als Head of Information Security oder kombinieren einen internen Verantwortlichen mit externer Unterstützung (CISO-as-a-Service, MSSP). Wer einen erfahrenen CISO fest gewinnen will, konkurriert mit Konzernen und reguliertem Finanzsektor – entscheidend sind ein klares Mandat mit direkter Berichtslinie zur Geschäftsführung, realistisches Budget und ein belastbarer Gestaltungsspielraum. Vakanzzeiten von sechs Monaten und mehr sind bei rein passiver Suche keine Seltenheit.
// faq
Häufige Fragen
Ein eigener CISO wird in der Regel notwendig, sobald Informationssicherheit nicht mehr nebenbei durch die IT-Leitung verantwortet werden kann: bei regulatorischen Pflichten (NIS2, DORA, KRITIS), bei wachsender Organisationsgröße ab einigen hundert Mitarbeitenden, bei hoher Abhängigkeit von digitalen Prozessen oder nach einem Sicherheitsvorfall. Entscheidend ist die Gewaltenteilung: Wer IT-Systeme betreibt, sollte nicht zugleich deren Sicherheit unabhängig bewerten. NIS2 verlangt zudem, dass Leitungsorgane Risikomanagement-Maßnahmen billigen und überwachen – ohne eine fachlich verantwortliche Person ist das kaum belastbar darstellbar. Kleinere Unternehmen starten häufig mit einem Informationssicherheitsbeauftragten (ISB) oder einem externen CISO-as-a-Service-Modell und überführen die Rolle später in eine Festanstellung, sobald Budget und Aufgabenvolumen eine Vollzeitposition rechtfertigen.
NOBA Experts ist eine Personalberatung für Technologie-Positionen und besetzt CISO-Rollen über aktive Direktansprache statt reiner Anzeigenschaltung. Der Prozess kombiniert KI-gestütztes Matching zur Identifikation passender Profile mit einer technischen und fachlichen Tiefenprüfung – geprüft werden unter anderem ISMS-Erfahrung, Regulatorik-Kenntnisse und Führungsverantwortung, nicht nur Schlagworte im Lebenslauf. Auftraggeber erhalten innerhalb von zwei bis sechs Wochen eine Shortlist mit drei bis fünf geprüften Kandidaten. Vertraulichkeit ist bei C-Level-Security-Besetzungen entscheidend: NOBA Experts arbeitet ab Tag 1 mit NDA, sodass weder Marktbegleiter noch eigene Mitarbeitende vorzeitig von der Suche erfahren. Auf Wunsch erfolgt die Zusammenarbeit zum Festpreis, was die Kosten gegenüber klassischen prozentualen Honorarmodellen planbar macht.
Ein CISO verantwortet die Informationssicherheit strategisch und disziplinarisch: Er führt Budget, Team und Dienstleister, gestaltet die Sicherheitsstrategie und berichtet an Geschäftsführung oder Vorstand. Ein Informationssicherheitsbeauftragter (ISB) – im BSI-Umfeld auch IT-Sicherheitsbeauftragter genannt – ist dagegen primär eine Stabs- und Kontrollfunktion: Er koordiniert das ISMS, berät die Leitung und überwacht die Einhaltung von Vorgaben, hat aber meist keine eigene Budget- oder Personalverantwortung. In kleineren Organisationen fallen beide Rollen häufig zusammen; in größeren oder regulierten Unternehmen werden sie bewusst getrennt, um Interessenkonflikte zu vermeiden. Für NIS2- und KRITIS-Pflichten ist weniger der Titel entscheidend als ein dokumentiertes Mandat, ausreichende Ressourcen und eine direkte Berichtslinie zur Leitungsebene.
// verwandte rollen
Verwandte Rollenprofile
Chief Information Security Officer besetzen?
NOBA Experts besetzt diese Rolle mit KI-gestütztem Matching und persönlicher technischer Vorabprüfung — DACH-weit, auf Wunsch zum Festpreis.