ISB, CISO & AI Officer im Vergleich: Das richtige Modell für Ihre Organisation
NIS2, DORA und der EU AI Act fordern klare Governance-Rollen — mit persönlicher Haftung der Geschäftsführung. Wir helfen Ihnen, die passende Rollenstruktur zu finden und aufzubauen: intern, extern oder hybrid.
Valeri Milke
CEO · VamiSec GmbH
ISO 27001 & 42001 Lead Auditor
AI Officer · NIS2 & DORA Experte
Sechs Rollen — ein Ziel: Compliance & Resilienz
Die regulatorische Landschaft fordert spezialisierte Governance-Rollen. Jede Rolle hat eigene Anforderungen, Verantwortlichkeiten und regulatorische Verankerungen.
ISB / vISB
Informationssicherheitsbeauftragter. Zuständig für ISMS-Betrieb, Risikomanagement und Compliance nach ISO 27001 & BSI.
CISO / vCISO
Chief Information Security Officer. Strategische Steuerung, Leitungsverantwortung, Budget und Reporting an die Geschäftsführung.
AI Officer
KI-Beauftragter gemäß EU AI Act. Verantwortlich für KI-Governance, Risikoklassifizierung und Transparenzpflichten.
DSB
Datenschutzbeauftragter. DSGVO-Compliance, Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung.
ISK — Informationssicherheitskoordinator
Interner Ansprechpartner, koordiniert die Umsetzung von Sicherheitsmaßnahmen im Fachbereich. Bindeglied zwischen ISB und operativen Einheiten.
ISM — Informationssicherheitsmanager
Operativer Steuerer des ISMS. Verantwortet Audits, Risikobewertungen und die kontinuierliche Verbesserung des Sicherheitsniveaus.
NIS2, DORA & AI Act: Was gilt für wen?
Jede Regulierung stellt spezifische Anforderungen an Governance-Rollen. Hier die wichtigsten Artikelreferenzen im Überblick.
NIS2
→ Art. 20 — Governance & Leitungsverantwortung → Art. 21 — Risikomanagement-Maßnahmen → Art. 23 — Meldepflichten (24h/72h/1M) → Art. 20 Abs. 2 — Schulungspflicht⚠ Persönliche Haftung der Leitungsorgane
DORA
→ Art. 5–15 — IKT-Risikomanagement → Art. 5 Abs. 2 — Leitungsverantwortung → Art. 5 Abs. 4 — Kompetenzanforderung → Art. 17–23 — Incident Reporting → Art. 28–30 — Drittparteien-RisikoEU AI Act
→ Art. 4 — KI-Kompetenzpflicht (seit Feb 2025) → Art. 6–7 — Risikoklassifizierung → Art. 9 — Risikomanagement-System → Art. 50 — Transparenzpflichten → Kap. VII — Governance-StrukturenWelche Rolle deckt welche Regulierung ab?
Die Übersicht zeigt, welche Rollen direkte regulatorische Relevanz haben — und wo das Hybridmodell Synergien schafft.
| Rolle | NIS2 | DORA | AI Act | ISO 27001 | ISO 42001 |
|---|---|---|---|---|---|
| ISB / vISB | Art. 20–21 ✓ | Art. 5–16 ✓ | — | Kap. 5, 7 ✓ | — |
| CISO / vCISO | Art. 20 ✓ | Art. 5–6 ✓ | — | Kap. 5 ✓ | — |
| AI Officer | — | — | Art. 4, 9 ✓ Kap. VII |
— | Kap. 5 ✓ Anhang A |
| DSB | Art. 21 (tlw.) | — | Art. 10 (tlw.) | A.5.34 ✓ | — |
| ISK / ISM | Hybrid ✓ | Hybrid ✓ | Hybrid ✓ | Kap. 7 ✓ | Kap. 7 ✓ |
Intern, extern oder hybrid?
Das richtige Modell hängt von Größe, Branche und Reifegrad Ihrer Organisation ab. Das Hybridmodell vereint das Beste aus beiden Welten.
Internes Modell
→ Tiefes Organisationsverständnis → Direkte Verfügbarkeit → Kulturelle IntegrationHerausforderung: Fachkräftemangel, hohe Kosten, Betriebsblindheit
Externes Modell (vCISO/vISB)
→ Sofortige Fachexpertise → Branchenübergreifende Erfahrung → Flexibel skalierbarHerausforderung: Eingeschränkte Verfügbarkeit, Abhängigkeit
Hybridmodell — Best Practice
→ Schneller Start + nachhaltiger Aufbau → Externer vCISO/vISB + interner ISK/ISM → Coaching & Wissenstransfer → Übergabe nach 1–2 Jahren → Natürlicher Backup-MechanismusISK/ISM aufbauen — in 4 Phasen
Unser strukturierter Coaching-Ansatz über 24 Monate baut interne Kompetenz auf und schafft echte Resilienz statt Abhängigkeit.
Onboarding
vCISO/vISB übernimmt vollständig, ISK beobachtet und lernt
Monat 1–3Co-Working
ISK übernimmt erste operative Aufgaben unter Supervision
Monat 4–8Transfer
ISK/ISM steuert eigenständig, vCISO im Review-Modus
Monat 9–14Übergabe
Interner ISM/ISB übernimmt vollständig, vCISO als Sparringspartner
Monat 15–24Audit-Ready
Organisation ist resilient, compliant und unabhängig aufgestellt
ZielVon der Rollenanalyse bis zur Audit-Readiness
Wir begleiten Sie durch den gesamten Prozess — praxisnah, regulatorisch fundiert und auf Ihre Organisation zugeschnitten.
Rollenanalyse & Gap Assessment
→ Ist-Aufnahme bestehender Governance-Rollen → Delta-Analyse zu NIS2, DORA & AI Act → Bewertung des Reifegrades → Priorisierter MaßnahmenplanvCISO / vISB as a Service
→ Externer CISO oder ISB auf Abruf → Strategische Steuerung & Reporting → Leitungsberatung & Board Decks → Incident Response UnterstützungAI Officer & KI-Governance
→ KI-Beauftragter gemäß EU AI Act → Risikoklassifizierung & KI-Inventar → AIMS nach ISO 42001 → OWASP GenAI SecurityCoaching & Wissenstransfer
→ Strukturierter 24-Monats-Plan → Aufbau interner ISK/ISM-Kompetenz → Mentoring & Supervision → Schrittweise ÜbergabeZertifizierungsbegleitung
→ ISO 27001 & ISO 42001 Audits → Mock Audits & Auditvorbereitung → Dokumentation & Nachweisführung → Unterstützung bei FeststellungenRegulatorische Compliance
→ NIS2-Umsetzungsgesetz (NIS2UmsuCG) → DORA / BaFin-Anforderungen → EU AI Act Compliance → Multi-Framework MappingDie Fristen laufen — jetzt handeln
Von DORA über den AI Act bis zur NIS2-Umsetzung: Die wichtigsten Meilensteine im Überblick.
Jan 2025
DORA
anwendbar
Feb 2025
AI Act Art. 4 + 5
Verbote
Aug 2025
AI Act GPAI
Governance
Aug 2026
AI Act Hochrisiko
vollständig
2027
AI Act Art. 6(1)
Annex I
Governance-Rollen sind kein Zukunftsthema — sie sind jetzt Pflicht
Die Regulierungen sind in Kraft oder stehen unmittelbar bevor. Positionieren Sie sich jetzt — bevor die Aufsichtsbehörden prüfen.
Valeri Milke
CEO · VamiSec GmbH• Lead Auditor (ISO/IEC 27001 & ISO/IEC 42001)
• NIS2, DORA, CRA und AI Act Experte
• KI-Beauftragter gemäß EU-KI-Verordnung
• Wiz Partner · OWASP GenAI Security
Rollen klären, Compliance sichern — jetzt starten
ISB, CISO oder AI Officer? Intern, extern oder hybrid? Buchen Sie ein kostenloses Erstgespräch und erfahren Sie, welches Modell zu Ihrer Organisation passt.