CISO steigt auf: Vom IT-Experten zum Chef-Risikomanager

Cybersicherheit wird Chefsache: Immer mehr Sicherheitschefs berichten direkt an Vorstand und Geschäftsführung – ein strategistcher Wandel, der IT-Abteilungen neu ordnet.

Die Hierarchien in Unternehmen verändern sich grundlegend. Getrieben von schärferen Regulierungen und komplexeren Cyber-Bedrohungen, gewinnt der Chief Information Security Officer (CISO) an Einfluss. Neue Analysen zeigen: Die Sicherheitsverantwortung wandert aus der IT-Abteilung heraus und erhält direkten Zugang zur obersten Führungsebene. Ein klares Signal: Cybersicherheit wird als unternehmenskritisches Geschäftsrisiko verstanden, nicht länger als rein technisches Problem.

Angesichts der im Artikel beschriebenen komplexen Bedrohungslage stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur ohne explodierende Kosten zu schützen. Dieser Experten-Report enthüllt effektive Strategien zur Stärkung der digitalen Widerstandsfähigkeit, die auch ohne Budget-Explosion umsetzbar sind. Effektive Strategien für Cyber-Security ohne Budget-Explosion entdecken

Daten belegen den Aufstieg

Der Trend zur Aufwertung der Sicherheitschefs ist messbar. Ein Benchmark-Report von IANS und Artico Search vom Januar 2026 zeigt, dass exekutive Titel für CISOs in großen Unternehmen mit einem Umsatz von über einer Milliarde Euro deutlich zugenommen haben. Ihr Anteil stieg von 33 Prozent im Jahr 2023 auf 47 Prozent im Jahr 2025. Besonders ausgeprägt ist dieser Trend bei börsennotierten Unternehmen, was auf den gestiegenen Druck von Aufsichtsbehörden und Aufsichtsräten zurückzuführen ist.

Noch wichtiger als der Titel ist die Verschiebung der Berichtslinie. Zwar berichten noch immer 64 Prozent der CISOs an die IT-Leitung. Doch ein wachsender und bedeutender Anteil von 36 Prozent berichtet inzwischen direkt an Geschäftsführer wie den CEO, den Chief Operating Officer, den Chief Risk Officer oder den General Counsel. Diese direkte Anbindung soll den Einfluss der Sicherheitsverantwortlichen auf strategische Geschäftsentscheidungen erhöhen und sicherstellen, dass Sicherheitsprioritäten mit den übergeordneten Unternehmenszielen abgestimmt werden.

Treiber: Regulierung, KI und persönliche Haftung

Drei mächtige Kräfte beschleunigen diesen Wandel: neue Regularien, Künstliche Intelligenz (KI) und die persönliche Haftung von Vorständen. Globale regulatorische Unsicherheit ist laut einem Gartner-Report zu den Cybersicherheitstrends 2026 ein Haupttreiber. Da Aufsichtsbehörden Vorstände und Geschäftsführer zunehmend persönlich für Compliance-Verstöße haftbar machen, wird Cybersicherheit zu einem unabweisbaren Geschäftsrisiko, das Überwachung auf höchster Ebene erfordert. Die traditionelle Berichtslinie CISO-an-CIO, bei der Sicherheit mit IT-Betriebsprioritäten konkurrieren muss, gilt daher immer häufiger als nicht mehr haltbar.

Die im Text erwähnten neuen Regulierungen betreffen auch den Einsatz von Künstlicher Intelligenz, wobei Unternehmen bei Fehlern empfindliche Bußgelder riskieren. Dieser kostenlose Leitfaden erklärt kompakt die Anforderungen der EU-KI-Verordnung und zeigt Ihnen, wie Sie Ihr KI-System rechtssicher klassifizieren und dokumentieren. EU-KI-Verordnung kompakt: Jetzt kostenlosen Leitfaden herunterladen

Hinzu kommt die rasante, oft unkontrollierte Einführung von KI, die neue Angriffsflächen und Compliance-Risiken schafft. Der Aufstieg von „agentischer KI“, die eigenständig handeln kann, erfordert eine starke Governance, die über die IT-Abteilung hinausgeht. CISOs müssen nun sowohl genehmigte als auch nicht genehmigte KI-Nutzung überwachen, neue Notfallpläne entwickeln und Risiken managen, die eng mit der Geschäftsstrategie verwoben sind. Dieser erweiterte Verantwortungsbereich macht eine direkte Linie zu den Führungskräften notwendig, die letztlich für das Unternehmensrisiko verantwortlich sind.

Das Ende einer Ära: Der Abschied vom CIO

Die langjährige Debatte, ob ein CISO dem CIO unterstehen sollte, hat einen Wendepunkt erreicht. Das traditionelle Modell birgt oft einen Interessenkonflikt: Der CIO ist typischerweise für die Bereitstellung und Verfügbarkeit von IT-Projekten verantwortlich, während der CISO die Risiken managen muss, die eben diese Projekte mit sich bringen. Dies kann zu Reibungen führen und den CISO zwingen, Ressourcen und Priorität gegen andere IT-Initiativen zu erkämpfen.

Die Verlagerung der CISO-Rolle hin zu einer direkten Berichtslinie an einen Geschäftsführer wie den CEO oder einen risikoorientierten Vorstand wie den Chief Risk Officer verändert diese Dynamik. Sie positioniert Sicherheit nicht als technisches Problem, sondern als geschäftliche Herausforderung, die einen ganzheitlichen, geschäftsorientierten Ansatz erfordert. Diese direkte Berichtslinie bietet mehrere Vorteile: Sie gewährleistet eine ungefilterte Kommunikation von Risiken an die höchsten Ebenen, verleiht die Autorität, eine Sicherheitskultur in verschiedenen Geschäftsbereichen voranzutreiben, und erleichtert eine bessere Abstimmung von Sicherheitsinvestitionen mit der gesamten Unternehmensrisikostrategie.

Herausforderungen und neue Anforderungen

Der Wandel ist jedoch nicht ohne Herausforderungen. Der IANS- und Artico-Report stellt fest, dass für viele CISOs der Umfang ihrer Verantwortung schneller wächst als ihre Ressourcen. Mehr als die Hälfte der CISOs gab an, dass ihr aktueller Verantwortungsbereich nicht mehr vollständig zu bewältigen ist. Dies kann zu reaktiven statt strategischen Sicherheitsmaßnahmen führen. Während Unternehmen die Rolle des CISO in der Führungsgovernance formalisieren, müssen sie auch sicherstellen, dass die Sicherheitsteams angemessen finanziert und besetzt sind, um diesen gestiegenen Erwartungen gerecht zu werden.

Die Zukunft gehört einem neuen Typus CISO. Da Cyber-Risiken in alles eingebettet werden – von der Produktentwicklung bis zur Due Diligence bei Fusionen – wird der CISO zu einem noch kritischeren strategischen Berater für das Geschäft. Der CISO der Zukunft ist nicht nur ein Technikexperte, sondern eine Führungskraft, die komplexe Cyber-Risiken in quantifizierbare Geschäftsauswirkungen übersetzen kann. Dies erfordert ein breiteres Skillset mit Schwerpunkten auf Risikomanagement, regulatorischer Compliance und strategischer Kommunikation. Für Unternehmen ist die Botschaft klar: Um Top-Sicherheitstalente zu gewinnen und echte digitale Widerstandsfähigkeit aufzubauen, muss die CISO-Rolle für maximale Wirkung positioniert werden.