CISO · Executive Search · NIS2

Der CISO ist jetzt
Pflicht.

Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Unternehmen ab 10 Mio. € Umsatz in regulierten Sektoren sind verpflichtet, einen Informationssicherheitsbeauftragten (CISO) zu benennen – mit ausreichenden Befugnissen und Ressourcen. Wir besetzen diese Positionen. Seit Jahren.

Mandat besprechen
29.000
Unternehmen in Deutschland
jetzt NIS2-pflichtig
10 Mio.
€ Jahresumsatz –
ab hier greift die Pflicht
Seit 2025
In Kraft. Keine
Übergangsfrist.

Warum der CISO-Markt
anders funktioniert.

Der klassische Mittelstand hat noch nie einen CISO gesucht. Er kennt die Kandidatenprofile nicht. Er weiß nicht, wo diese Menschen sind. Und er unterschätzt, was ein CISO kosten muss – und was er wert ist.

Erschwerend kommt hinzu: Die besten CISO-Profile sitzen nicht auf LinkedIn. Sie sind tief in Unternehmensstrukturen verankert, bewegen sich in geschlossenen Fachkreisen und reagieren nicht auf Stellenanzeigen. Sie reagieren auf einen direkten Anruf von jemandem, den sie kennen oder respektieren.

Genau dort setzt Personal Wünsche an.

NIS2 · Was Mittelständler wissen müssen

Cybersicherheit ist Chefsache – per Gesetz.

Das NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft. Es betrifft Unternehmen in 18 Sektoren – von Maschinenbau über Chemie und Pharma bis Logistik und Lebensmittelproduktion – wenn sie mindestens 50 Mitarbeiter oder 10 Mio. € Jahresumsatz erreichen.

Die Geschäftsführung haftet persönlich für die Umsetzung. Ein CISO mit ausreichenden Befugnissen ist keine Empfehlung – er ist gesetzliche Anforderung.

Laut Regierungsschätzung steigt die Zahl der regulierten Einrichtungen in Deutschland von 4.500 auf rund 29.000. Der überwiegende Teil davon hat noch keinen CISO.

Was einen exzellenten
Mittelstands-CISO ausmacht.

Ein CISO für den Mittelstand ist kein CISO für einen DAX-Konzern. Die Anforderungen unterscheiden sich fundamental.

Fachliche Tiefe
Technisch
und strategisch

Im Mittelstand gibt es kein 50-köpfiges Security-Team. Der CISO muss konzipieren und operativ führen können – beides gleichzeitig.

Kommunikation
Inhaber-tauglich

Er erklärt Cyberrisiken dem Gesellschafter – nicht dem CISO Board. Das erfordert eine andere Sprache und eine andere Haltung.

Regulatorik
NIS2-Compliance
als Basis

Er kennt die Anforderungen des NIS2-Umsetzungsgesetzes, ISO 27001 und BSI-Standards – und setzt sie pragmatisch um.

Passung
Kulturell
kompatibel

Mittelstand hat eine eigene Kultur. Wer jahrelang in Konzernen gearbeitet hat, scheitert oft an der Direktheit und Eigenverantwortung die hier erwartet wird.

Unsere Erfahrung
in diesem Segment.

Personal Wünsche besetzt seit Jahren Führungspositionen an der Schnittstelle von Technologie, Sicherheit und Unternehmensführung im deutschsprachigen Mittelstand. Wir kennen die Kandidaten die in Frage kommen – und wir kennen die Inhaber die sie einstellen.

Kein Datenbankabgleich. Keine Stellenanzeigen. Direktansprache von Menschen, die nicht suchen – und die auf einen Anruf von Tim Wünsche reagieren.

CISO-Mandat
besprechen.

Das erste Gespräch führt Tim Wünsche persönlich.
Kein Formular. Kein Prozess.

tim.wuensche@personal-wuensche.de