Chief Information Security Officer CISO: Wie sich dessen Rolle weiterentwickeln wird

Anbieter zum Thema

Infinigate Deutschland GmbH

d.velop AG

Esker Software Entwicklungs-und Vertrieb

Yorizon GmbH & Co. KG

Die Rolle des Chief Information Security Officer (CISO) hat sich in den vergangenen Jahren stark gewandelt. CEOs haben erkannt, dass Cybersicherheit ein zunehmend entscheidender Faktor für den Geschäftserfolg des Unternehmens ist.

Laut einer aktuellen Studie berichten derzeit 82 Prozent der befragten CISO direkt an den CEO, gegenüber 47 Prozent im Jahr 2023, und wohnen regelmäßig Vorstandssitzungen bei. Chief Information Security Officers nehmen heute eine wesentlich strategischere Position ein als in der Vergangenheit, da sie dafür verantwortlich sind, Sicherheitsinitiativen mit den Unternehmenszielen in Einklang zu bringen. Wie der Report zeigt, besteht die größte Herausforderung für Unternehmen, insbesondere im Zusammenhang mit neuen Technologien, darin, eine starke Sicherheitskultur zu etablieren, um die zunehmenden Cyberrisiken einzudämmen.

Einflussbereich des CISO hat sich erweitert

CISO agieren nicht mehr isoliert oder lediglich innerhalb der IT-Abteilung; ihr Einflussbereich hat sich erweitert: Sie übernehmen die Rolle von Brückenbauern, deren Aufgabe es ist, die technischen Sicherheitsmaßnahmen mit der übergreifenden Sicherheitsstrategie des Unternehmens in Einklang zu bringen. In ihrer Verantwortung liegt die Bewertung von Risiken, regulatorischen Anforderungen und Governance-Fragen sowie die Auswirkungen von Sicherheitsbedrohungen auf die Geschäftskontinuität.

Die Herausforderungen, denen Unternehmen aufgrund aktueller EU-Vorschriften, wie NIS2, DORA und EU-KI-Rechtsakt, gegenüberstehen, unterstreichen die zentrale Bedeutung von Chief Information Security Officers innerhalb des Management-Teams. Diese Regularien erweitern den Umfang der Cybersicherheit, erfordern klare Compliance-Strukturen und betonen die persönliche Haftung von Unternehmensleitern. Dadurch rückt die Sicherheitsstrategie stärker in den Fokus der Vorstände, die CISOs als fachkundige Berater bei der Risikominimierung und Umsetzung regulatorischer Vorgaben einbinden. Gleichzeitig erfordert die ganzheitliche Integration von Cyber- und Risikomanagement eine interdisziplinäre Zusammenarbeit über alle Arbeitsgebiete hinweg – von der IT über die Rechtsabteilung bis hin zur Geschäftsleitung.

Rollenwandel beeinflusst die Entscheidungsfindung im Unternehmen

Die Rolle des CISO bewegt entwickelt sich in zwei Richtungen: Einerseits gewinnt er mehr Autonomie und Verantwortung für die Sicherheitsstrategie, andererseits wird er aufgrund der Verknüpfung von Sicherheitsmaßnahmen und Geschäftsprozessen stärker integriert und gerät in Abhängigkeit von der Zusammenarbeit mit dem restlichen Managementteam. Die zunehmende persönliche Haftung für IT-Sicherheitsexperten – insbesondere unter NIS2 – dürfte dieses Gleichgewicht beeinflussen. Während einige CISO aus Risikoscheu dazu neigen könnten, sich stärker auf die Einhaltung von Vorschriften zu konzentrieren, dürften andere die erhöhte Aufmerksamkeit nutzen, um die Freistellung von Ressourcen für robuste Sicherheitsarchitekturen durchzusetzen.

Die Verschärfung der Haftungsrisiken führt zu ambivalenten Effekten: Einerseits droht eine Überpriorisierung von Compliance auf Kosten innovativer Sicherheitsansätze. Andererseits entstehen Chancen für eine unternehmensweite Sicherheitskultur. CISO, die technologische Expertise mit strategischer Führung verbinden, sind in der Lage, Cyberresilienz als Wachstumstreiber zu positionieren – beispielsweise durch Schulungen, Risikobewusstsein und die Einbindung in frühe Projektphasen. Entscheidend wird sein, wie die Balance zwischen regulatorischem Druck und proaktiver Risikosteuerung gelingt, ohne die Geschäftsagilität einzuschränken.