CISO Excellence Programm

Leadership Programm für IT-Sicherheitsbeauftragte und Chief Information Security Officer

Die Rolle des Chief Information Security Officers (CISO) hat sich stark gewandelt. Aus der technischen Fachkraft ist eine strategische Führungspersönlichkeit mit direkter Verantwortung gegenüber Geschäftsführung und Vorstand geworden. CISOs sind heute Gestalterinnen und Gestalter digitaler Resilienz und Treiberinnen bzw. Treiber von Vertrauen in einer vernetzten Welt.

Der CISO Report 2025 von Splunk zeigt jedoch deutliche Herausforderungen: Nur 29 % der CISOs verfügen über ausreichende Budgets, um ihre Sicherheitsstrategie umfassend umzusetzen. Gleichzeitig sind 64 % der Vorstände überzeugt, dass höhere Budgets nur dann genehmigt werden, wenn Cybersecurity klar als Business Enabler positioniert wird – also als Beitrag zur Wertschöpfung, Stabilität und Innovationsfähigkeit des Unternehmens.

Um dieser Erwartung gerecht zu werden, benötigen CISOs zusätzliche Kompetenzen, um ihre Ziele, Prioritäten und Risiken wirksam im Management zu verankern. Entscheidend dafür sind Kommunikation, Leadership und strategisches Denken. CISOs müssen Entscheidungen unter Unsicherheit treffen, Veränderungsprozesse gestalten und Cybersecurity als unternehmerische Verantwortung begreifen, die über reine technische Maßnahmen hinausgeht.

Hier setzt das CISO Excellence Programm der Bitkom Akademie und der ESMT Berlin an. Es stärkt Leadership-Kompetenzen, Kommunikationsfähigkeit und strategische Wirkung auf C-Level – für mehr Einfluss, Klarheit und Sicherheit im digitalen Zeitalter.

Ziele des Lehrgangs

• Sie lernen, fundierte Entscheidungen zu treffen, Denkfehler zu vermeiden und Risiken klar zu kommunizieren.

• Sie erlernen, in unsicheren Situationen Orientierung zu geben und eine konstruktive Veränderungskultur zu fördern.

• Sie lernen, Veränderungsprozesse wirksam zu gestalten, Widerstände zu adressieren und zentrale Stakeholder einzubinden.

• Sie entwickeln Ihren Kommunikationsstil weiter, nutzen Storytelling gezielt und überzeugen durch Präsenz, Klarheit und aktives Zuhören.

• Sie lernen, Cybersecurity als Business Enabler zu positionieren und Sicherheitsstrategien an Unternehmenszielen auszurichten.

• Sie erlernen, Risikoanalysen, KPIs und Reporting-Strukturen für Messbarkeit und Steuerung einzusetzen.

• Sie erhalten einen Überblick über zentrale Regulierungen (u. a. NIS-2, CRA, DORA), Haftungsfragen und Compliance-Pflichten.

• Sie trainieren, in einer Incident-Response-Simulation wirksam zu handeln und Maßnahmen für Notfallmanagement und Geschäftsfortführung abzuleiten.

Zielgruppe

Angesprochen sind Chief Information Security Officer, IT-Sicherheitsbeauftragte sowie Führungskräfte aus IT, Compliance und Risikomanagement, die ihre strategischen, kommunikativen und fachlichen Kompetenzen auf C-Level ausbauen möchten.

Auch erfahrene Fach- und Führungskräfte, die Cybersecurity ganzheitlich denken und ihre Rolle als Bindeglied zwischen Technik, Management und Unternehmensstrategie weiterentwickeln wollen, können von dem Programm profitieren.

Inhalte des Lehrgangs

• Strategisches Führen und Entscheiden auf C-Level

• Kommunikation und Executive Presence

• Changemanagement und Wirkung in Führungssituationen

• Spotlight IT- & Informationssicherheit mit Keynotes, Paneldiskussion und Networking

• Strategisches Sicherheitsmanagement und Cybersecurity als Business Enabler

• Krisen- und Vorfallmanagement mit Live-Simulation

• Regulierungen, Haftung und Compliance

• Reporting, KPIs und Risikomanagement

• Austausch mit Expertinnen und Experten aus dem Bitkom-Netzwerk Zugang zu Unternehmen,

• Innovationen und Best Practices

• Regelmäßiges Netzwerktreffen auf der it-sa in Nürnberg

Seminarprogramm

Tag 1 - Begrüßung und Einführung in das Programm

• Vorstellung der Teilnehmenden

• Vorstellung und Einführung in Modul 1

Spotlight IT- & Informationssicherheit

• Trendupdate – Aktuelle Entwicklungen

• Das Berufsbild CISO

• Interaktive Gruppenarbeiten

• Input: Aktuelles aus dem AK Cybersecurity des Bitkom

Keynotes und Panel

• Panel zum Thema Die neue Rolle von CISOs und zukünftige Herausforderungen und Anforderungen

Networking Event

• Informationen erhalten die Teilnehmenden vor Programmstart

Tag 2 - Begrüßung an der ESMT Berlin

• Einführung in den Tag

• Kurze Vorstellung ESMT und Campus Tour

Entscheidungsfindung

• Verstehen, welchen Nutzen Entscheidungsprozesse haben, die Rationalität und Intuition miteinander verbinden

• Lernen, häufige Fehler bei Entscheidungsprozessen zu vermeiden

• Eigene Denkverzerrungen erkennen, um deren Einfluss auf Entscheidungen zu verhindern

• Risiken klar benennen und Worst-Case-Szenarien kommunizieren

Change Management und Führen unter Unsicherheit

• Gründe für Erfolg und Scheitern von Change Initiativen

• Umgang mit Widerständen in Veränderungsprozessen

• Wirksame Einbindung zentraler Stakeholder

• Orientierung geben und Zuversicht vermitteln

• Mut machen, Neues auszuprobieren und aus Fehlern zu lernen

Tag 3 - Einführung in den Tag und kurze Reflexion des Vortages

Kommunikation und Executive Presence

• Eigenen Kommunikationsstil reflektieren und weiterentwickeln

• Storytelling-Techniken gezielt einsetzen

• Mit Präsenz, Klarheit & Energie überzeugen

• Den eigenen Stil weiterentwickeln

• Wirkung, Vision & Ausdruckskraft stärken

• Aktives Zuhören und die richtigen Fragen stellen

Tag 4 - Begrüßung

• Vorstellung der Teilnehmenden

• Vorstellung von Modul 2

Aktuelle IT-Sicherheitsregulierung und Haftungsrisiken

• Überblick über das IT-Sicherheitsrecht

• Vertiefung der Anforderungen von NIS-2, CRA, DORA und sektorspezifischen Vorgaben

• Compliance und Strafrechtsrelevanz unzureichender IT-Sicherheit

• Folgen für die persönliche Haftung: Zivil-, straf- und bußgeldrechtliche Risiken & Versicherbarkeit

Risikomanagement nach NIS-2

• Umsetzung der Risikomanagementvorgaben: Analyse, Bewertung und Behandlung von Cyberrisiken

• Relevanz der IT-Standards & Zertifizierungen: von ISO27001 über den BSI-Grundschutz bis zur DIN SPEC 27076

• Berichtspflichten und Dokumentationsanforderungen ggü. Behörden und Stakeholdern

• Meldepflichten, rechtkonformes Notfallmanagement und angemessene Incident Response-Vorkehrungen

Gesamtverantwortung und Delegation

• Cybersicherheit als Chefsache: Anforderungen von NIS-2- und Gesellschaftsrecht

• Berichtspflichten und Dokumentationsanforderungen ggü. Behörden und Stakeholdern

• Meldepflichten, rechtkonformes Notfallmanagement und angemessene Incident Response-Vorkehrungen

Tag 5 

• Begrüßung und Einführung

  • Relevanz von Regulierung, Haftung & Compliance im IT-Sicherheitsrecht

  • Kurze Vorstellung der Referenten

Cybersecurity als Business Enabler

• Inhalte:

  • Cybersecurity im Kontext der Unternehmensstrategie

  • Best Practices für die strategische Ausrichtung

  • Methoden: Vortrag, Diskussion

• Lernziele:

  • Verständnis für die Rolle von Cybersecurity als Werttreiber

  • Fähigkeit, Sicherheitsziele mit Unternehmenszielen zu verknüpfen

Risikomanagement als Steuerungsinstrument

• Inhalte:

  • Risikoanalyse und Priorisierung

  • Erstellung einer Risiko-Heatmap

  • Methoden: Vortrag, Gruppenarbeit

• Lernziele:

  • Risiken bewerten und priorisieren

  • Strategische Entscheidungen auf Basis von Risiken treffen

KPIs und Reporting für das C-Level

• Inhalte:

  • Relevante Kennzahlen für Cybersecurity

  • Reporting-Frameworks und Dashboards

• Methoden: Vortrag, Praxisbeispiele, Diskussion

• Lernziele:

  • KPIs definieren und interpretieren

  • Cybersecurity-Performance transparent darstellen

Cybersecurity messbar und wirksam positionieren

• Inhalte:

  • Kommunikation mit dem Management

  • Storytelling für Investitionen

• Methoden: Vortrag, Gruppenarbeit

• Lernziele:

  • Cybersecurity überzeugend präsentieren

  • Argumentationsstrategien für Budget und Ressourcen entwickeln

Zusammenfassung & Ausblick

• Key Takeaways

• Diskussion: Herausforderungen und nächste Schritte

Tag 6 

Begrüßung und Einführung

• Erwartungen der Teilnehmerinnen und Teilnehmer

• Bedeutung von Krisen- und Vorfallmanagement auf C-Level

• Rolle der Incident Response im strategischen Kontext

Der Schwarze Schwan – Vorbereitung auf das Unerwartbare

• Grundlagen des Krisen- und Vorfallmanagements

• Best Practices und typische Herausforderungen

• Verantwortlichkeits-Diffusion in unterschiedlichen Organisationsgrößen

Strukturierter Notfall- und Krisenprozess

• Aufbau und Zusammenspiel strategischer, taktischer und operativer Ebenen

• Bedeutung und Abgrenzung von ISMS, BCMS und DSMS

• Best Practices zum Aufbau von Managementsysteme

Tools und Methoden im Krisenmanagement

• Einsatz von Management-Tools in der Informationssicherheit

• Unterstützende Technologien und Reporting-Strukturen

• Überführung von Prozessen in den organisatorischen Alltag

Praxis: Live Incident Response Szenario Simulation eines sicherheitsrelevanten Vorfalls

• Trainieren von Entscheidungs- und Kommunikationsprozessen unter Druck

• Ableitung von Verbesserungsmaßnahmen für die eigene Organisation