Sind ISO 27001 und ein CISO gesetzlich vorgeschrieben?
Die kurze Antwort lautet: Eine ISO/IEC-27001-Zertifizierung und eine Stelle mit der Bezeichnung „CISO“ sind für Unternehmen in Deutschland nicht allgemein gesetzlich vorgeschrieben. Daraus folgt jedoch nicht, dass Informationssicherheit freiwillig wäre.
Gesetze können angemessene Sicherheitsmaßnahmen, ein wirksames Risikomanagement, Überwachung, Dokumentation und klare Leitungsverantwortung verlangen. Verträge können die Anwendung einer Norm verbindlich machen. In regulierten Bereichen gelten zusätzliche Vorgaben. Die entscheidende Frage ist deshalb nicht nur, ob das Gesetz die Wörter „ISO 27001“ oder „CISO“ verwendet. Entscheidend ist, welche Sicherheits- und Organisationsleistung eine Organisation tatsächlich schuldet und wie sie deren Wirksamkeit nachweist.
Normen sind grundsätzlich freiwillig
DIN beschreibt die rechtliche Ausgangslage eindeutig: „Die Anwendung von DIN-Normen ist grundsätzlich freiwillig. Erst wenn Normen zum Inhalt von Verträgen werden oder wenn der Gesetzgeber ihre Einhaltung zwingend vorschreibt, werden Normen bindend.“[1] ISO erklärt entsprechend, dass ISO-Standards freiwillig sind und ISO weder reguliert noch Gesetze erlässt; Staaten können Standards allerdings in Rechtsvorschriften übernehmen oder auf sie verweisen.[2]
Eine Norm kann damit auf mehreren Wegen rechtliche Bedeutung gewinnen:
- Gesetzliche Bezugnahme: Ein Gesetz oder eine Verordnung erklärt eine Norm oder Teile davon für maßgeblich.
- Vertragliche Einbeziehung: Kunden und Lieferanten vereinbaren die Einhaltung einer Norm, ein Zertifikat oder ein bestimmtes Sicherheitsniveau.
- Konkretisierung offener Pflichten: Normen können als fachlicher Vergleichsmaßstab dienen, wenn Gerichte, Behörden, Versicherer oder Prüfer beurteilen, ob eine Organisation angemessen und sorgfältig gehandelt hat.
- Markt- und Lieferkettenanforderung: Ausschreibungen oder Kundenanforderungen können ISO 27001 faktisch zur Zugangsvoraussetzung machen, auch ohne gesetzliche Zertifizierungspflicht.
DIN weist ausdrücklich darauf hin, dass Normen selbst dann als Entscheidungshilfe in Haftungsprozessen dienen können, wenn sie weder gesetzlich vorgeschrieben noch vertraglich vereinbart wurden.[3] Das bedeutet nicht, dass jede Abweichung automatisch rechtswidrig wäre. Wo eine Norm als geeigneter fachlicher Vergleichsmaßstab herangezogen wird, ist es aus Nachweis- und Risikomanagementsicht sinnvoll, gleichwertige alternative Maßnahmen und das erreichte Schutzniveau zu dokumentieren. Eine allgemeine gesetzliche Rechtfertigungspflicht für jede Abweichung von ISO/IEC 27001 folgt daraus nicht.
Was ISO/IEC 27001 leistet – und was nicht
ISO/IEC 27001:2022 formuliert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS).[4] Die Norm hilft, Risiken, Verantwortlichkeiten, Maßnahmen, Überwachung und Verbesserung in einen nachvollziehbaren Managementprozess zu bringen. Eine Zertifizierung kann Vertrauen schaffen und Nachweise strukturieren.
Sie ist jedoch weder ein allgemeines Gesetz noch ein universeller Compliance-Nachweis. Für die seit 2025 geltende BSIG-Neufassung stellt das BSI klar:
„Eine Zertifizierung nach ISO/IEC 27001 ist keine Voraussetzung zur Erfüllung der Anforderungen aus dem BSIG.“[5]
Das BSI schreibt keine bestimmte Norm vor. Ebenso wenig bedeutet ein vorhandenes Zertifikat automatisch, dass sämtliche Anforderungen des BSIG erfüllt sind.[5] Der konkrete Anwendungsbereich, die gesetzlichen Pflichten und die tatsächliche Wirksamkeit der Maßnahmen bleiben zu prüfen.
Das BSIG verlangt Ergebnisse, nicht zwingend ein Zertifikat
§ 30 Abs. 1 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen. Sie sollen Störungen vermeiden und Auswirkungen von Sicherheitsvorfällen begrenzen.[6]
§ 30 Abs. 2 BSIG verbindet zwei Anforderungen:
„Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen.“[6]
Das Gesetz unterscheidet zwischen dem Einhalten des Stands der Technik und dem Berücksichtigen einschlägiger Normen. Es verlangt unter anderem Risikoanalyse, Sicherheitskonzepte, Incident Management, Business Continuity, Lieferkettensicherheit, sichere Entwicklung und Wartung, Wirksamkeitsprüfungen, Zugriffssicherheit und Schulungen.[6]
ISO 27001 kann dafür ein belastbares Grundgerüst sein. Das Gesetz lässt aber andere geeignete Wege offen. Wer ohne ISO-27001-System arbeitet, muss trotzdem zeigen können, dass die gesetzlichen Maßnahmen vollständig, wirksam und risikoadäquat umgesetzt sind.
Die Geschäftsleitung bleibt verantwortlich
NIS 2 weist den Leitungsorganen eine aktive Rolle zu. Nach Art. 20 Abs. 1 der Richtlinie müssen sie die Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden.[7]
Die nationale Umsetzung ist in § 38 BSIG deutlich formuliert: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen müssen die Maßnahmen nach § 30 umsetzen und deren Umsetzung überwachen. Das verlangt nicht, dass jedes Leitungsmitglied die Maßnahmen technisch selbst ausführt; die Geschäftsleitung muss jedoch für eine ordnungsgemäße Umsetzung sorgen und diese überwachen. Bei schuldhafter Pflichtverletzung richtet sich die Haftung nach dem jeweils anwendbaren Gesellschaftsrecht. Zusätzlich besteht eine regelmäßige Schulungspflicht.[8]
Eine CISO-Funktion kann die Geschäftsleitung fachlich unterstützen, Risiken transparent machen und die Umsetzung steuern. Sie übernimmt aber nicht die gesetzliche Gesamtverantwortung der Leitung.
Schreibt das Gesetz einen CISO vor?
Für die allgemeine Privatwirtschaft schreiben die zentralen Vorschriften keine Person mit der Amtsbezeichnung „Chief Information Security Officer“ vor. Sie verlangen Funktionen und Ergebnisse:
- angemessene Sicherheitsorganisation,
- Risikoerkennung und Risikobehandlung,
- klare Verantwortlichkeiten,
- Umsetzung und Überwachung,
- Dokumentation und Nachweisfähigkeit,
- regelmäßige Bewertung der Wirksamkeit.
Auch § 91 Abs. 2 AktG verlangt kein bestimmtes Rollenmodell. Der Vorstand muss jedoch geeignete Maßnahmen und insbesondere ein Überwachungssystem einrichten, damit bestandsgefährdende Entwicklungen früh erkannt werden. Für börsennotierte Gesellschaften verlangt § 91 Abs. 3 AktG zusätzlich ein angemessenes und wirksames internes Kontroll- und Risikomanagementsystem.[9] § 93 AktG konkretisiert die Sorgfalt eines ordentlichen und gewissenhaften Vorstandsmitglieds.[10]
Für GmbH-Geschäftsführer gilt die Sorgfaltspflicht aus § 43 GmbHG.[11] Auch dort steht weder „ISO 27001“ noch „CISO“. Aus § 43 GmbHG kann sich abhängig von Größe, Geschäftsmodell und Risikolage eine Pflicht der Geschäftsführung ergeben, für eine angemessene Organisation und Überwachung wesentlicher Cyberrisiken zu sorgen. Die Vorschrift schreibt jedoch weder generell ein mit § 91 Abs. 3 AktG identisches System noch eine bestimmte CISO-Struktur vor.
Eine ausdrücklich so bezeichnete Beauftragtenpflicht enthält etwa § 45 BSIG für Einrichtungen der Bundesverwaltung: Deren Leitung muss eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten bestellen und mindestens eine zur Vertretung berechtigte Person bestimmen.[12] Daneben sind für Spezialsektoren die jeweils anwendbaren Gesetze, Verordnungen, Sicherheitskataloge, Genehmigungsbedingungen und Aufsichtsanforderungen gesondert zu prüfen; sie können bestimmte Sicherheitsfunktionen, Zuständigkeiten oder Ansprechpartner verlangen, ohne die Bezeichnung „CISO“ zu verwenden.
Auch die DSGVO verlangt kein bestimmtes Organigramm
Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zu einem risikoadäquaten Schutzniveau. Zu berücksichtigen sind Stand der Technik, Implementierungskosten, Art und Umfang der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken.[13]
Genannt werden unter anderem Verschlüsselung, Belastbarkeit, Wiederherstellungsfähigkeit und regelmäßige Wirksamkeitsprüfungen. Art. 32 DSGVO verlangt jedoch weder eine ISO-27001-Zertifizierung noch einen CISO. Zertifizierungen können als Nachweisfaktor dienen, ersetzen aber nicht die Bewertung der tatsächlichen Maßnahmen.[13]
Wann eine CISO-Funktion organisatorisch erforderlich wird
Keine allgemeine gesetzliche Titelpflicht bedeutet nicht, dass jedes beliebige Rollenmodell genügt. Eine eigenständige interne oder externe CISO-Funktion wird besonders plausibel, wenn:
- das Geschäftsmodell stark von digitalen Diensten und vertraulichen Informationen abhängt,
- eine Einrichtung unter NIS 2, KRITIS-, Finanz- oder vergleichbare Regulierung fällt,
- mehrere Standorte, Gesellschaften oder Dienstleister gesteuert werden müssen,
- Sicherheitsrisiken regelmäßig auf Leitungsebene entschieden werden,
- Kunden belastbare Nachweise oder Zertifizierungen verlangen,
- Audits, Vorfälle oder Transformationsprogramme koordiniert werden müssen,
- operative IT und unabhängige Risikobewertung sauber getrennt werden sollen.
Der Titel allein löst keines dieser Probleme. Entscheidend sind Mandat, Ressourcen, Zugang zur Geschäftsleitung, definierte Entscheidungswege und überprüfbare Wirksamkeit.
Fazit
ISO 27001 und ein CISO sind keine allgemeine gesetzliche Pflicht. Gesetzlich verbindlich sind jedoch in vielen Konstellationen angemessene Informationssicherheit, Risikomanagement, Überwachung und Geschäftsleitungsverantwortung. Normen können diese offenen Anforderungen strukturieren, vertraglich verbindlich werden und die Nachweisführung erleichtern.
Die belastbare Managementfrage lautet daher nicht: „Steht ISO 27001 im Gesetz?“ Sie lautet: Können wir zeigen, dass unsere Sicherheitsorganisation dem Risiko, den gesetzlichen Anforderungen und unseren Verträgen tatsächlich entspricht?
Fachliche Abgrenzung: Dieser Beitrag behandelt die informationssicherheits- und governancebezogene Einordnung. Ob im Einzelfall eine rechtliche oder vertragliche Verpflichtung besteht, hängt vom konkreten Rechtsrahmen, dem Unternehmen und seinen Verträgen ab.
Quellen
[1] DIN Deutsches Institut für Normung e. V. Normen und Recht. o. D. https://www.din.de/de/ueber-normen-und-standards/normen-und-recht (abgerufen am 11.07.2026).
[2] International Organization for Standardization. ISO – Media kit. o. D. https://www.iso.org/media-kit.html (abgerufen am 11.07.2026).
[3] DIN Deutsches Institut für Normung e. V. Rechtsverbindlichkeit durch Normen. o. D. https://www.din.de/de/ueber-normen-und-standards/normen-und-recht/rechtsverbindlichkeit-durch-normen (abgerufen am 11.07.2026).
[4] ISO. ISO/IEC 27001:2022 – Information security management systems. 3. Aufl., Oktober 2022; Amendment 1:2024. https://www.iso.org/standard/27001 (abgerufen am 11.07.2026).
[5] Bundesamt für Sicherheit in der Informationstechnik. ISO/IEC 27001 im Kontext NIS-2/BSIG. Stand 02.06.2026. https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-ISO27001/NIS-2-ISO-27001.html (abgerufen am 11.07.2026).
[6] Bundesrepublik Deutschland. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), § 30, in der am 11.07.2026 geltenden Fassung. https://www.gesetze-im-internet.de/bsig_2025/__30.html.
[7] Europäisches Parlament und Rat. Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, ABl. L 333 vom 27.12.2022, Art. 20–21. https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555.
[8] Bundesrepublik Deutschland. BSIG, § 38. https://www.gesetze-im-internet.de/bsig_2025/__38.html.
[9] Bundesrepublik Deutschland. Aktiengesetz, § 91. https://www.gesetze-im-internet.de/aktg/__91.html.
[10] Bundesrepublik Deutschland. Aktiengesetz, § 93 Abs. 1. https://www.gesetze-im-internet.de/aktg/__93.html.
[11] Bundesrepublik Deutschland. Gesetz betreffend die Gesellschaften mit beschränkter Haftung, § 43. https://www.gesetze-im-internet.de/gmbhg/__43.html.
[12] Bundesrepublik Deutschland. BSIG, § 45. https://www.gesetze-im-internet.de/bsig_2025/__45.html.
[13] Europäisches Parlament und Rat. Verordnung (EU) 2016/679 vom 27. April 2016 (Datenschutz-Grundverordnung), ABl. L 119 vom 04.05.2016, Art. 32. https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679.