NIS2-Richtlinie: Mehr Cybersicherheitsverantwortung für Unternehmen – was auf Steuerkanzleien zukommen kann
Die deutsche Bundesregierung plant, die europäische NIS2-Richtlinie (Network and Information Security Directive) bis Anfang 2026 in nationales Recht umzusetzen. Ziel ist es, Unternehmen besser vor Cyberangriffen zu schützen – auch solche, deren Ausfall spürbare Auswirkungen auf das Gemeinwohl hätte. Dazu zählen Sektoren wie Energieversorgung, Telekommunikation, Gesundheitswesen oder auch IT-Dienstleister. Auch für Steuerkanzleien kann diese Richtlinie in Zukunft relevant werden – insbesondere, wenn sie Mandanten in betroffenen Branchen betreuen.
Laut Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), arbeitet das Bundesinnenministerium mit Hochdruck an der Umsetzung. Ein entsprechender Gesetzentwurf wurde im Juli 2024 vorgestellt und ging bereits in die Verbändeanhörung. Nun müsse Tempo gemacht werden, so Plattner, denn „die Anforderungen, die auf viele Unternehmen zukommen, sind oft noch nicht ausreichend präsent.“
Sicherheitsmaßnahmen werden Pflicht
Konkret sieht die Richtlinie vor, dass betroffene Unternehmen eine Risikoanalyse durchführen und erhebliche IT-Sicherheitsvorfälle melden müssen. Auch organisatorische und technische Schutzmaßnahmen gegen Angriffe werden verpflichtend. Insgesamt wird erwartet, dass rund 29.000 Unternehmen in Deutschland künftig unter die verschärften Anforderungen fallen – im Vergleich zu aktuell etwa 4.500 betreuten KRITIS-Betreibern durch das BSI.
Zur Orientierung bietet das BSI seit einigen Monaten ein Online-Tool zur sogenannten „NIS2-Betroffenheitsprüfung“. Dieses wurde bereits über 200.000 Mal genutzt – ein Zeichen für das wachsende Interesse, aber auch den hohen Informationsbedarf in der Wirtschaft.
Umsetzung mit Verzögerung – aber wachsendem Druck
Die Frist zur nationalen Umsetzung der EU-Richtlinie lief bereits im Oktober 2024 ab – doch wie viele andere Mitgliedsstaaten hat auch Deutschland diese Frist verpasst. Zwar wurde im Juli ein Gesetzentwurf verabschiedet, doch nach dem Bruch der Ampel-Koalition konnte dieser nicht mehr im Bundestag beschlossen werden. Plattner warnt daher: „Jetzt ist wirklich Tempo gefragt.“ Eine spätere Nachjustierung sei möglich – aber zunächst müsse überhaupt ein gesetzlicher Rahmen geschaffen werden.
Cyberbedrohungslage verschärft sich
Hintergrund des neuen Gesetzesrahmens ist die wachsende Bedrohung durch Cyberangriffe – sowohl durch organisierte Kriminalität als auch durch staatlich gesteuerte Akteure. Besonders im Fokus stehen derzeit sogenannte „Supply-Chain-Angriffe“ – also Angriffe über Dienstleister, deren eigentliche Zielpersonen oder -organisationen ganz woanders liegen. Auch Behörden, Forschungseinrichtungen und politische Institutionen sind zunehmend im Visier.
Zuletzt kam es etwa beim Gesundheitskonzern Ameos zu einem schweren IT-Ausfall durch einen Hackerangriff. Kurz darauf waren auch Ministeriums-Webseiten in Sachsen-Anhalt Ziel einer prorussischen Hackergruppe.
Was bedeutet das für Steuerkanzleien?
Auch wenn Steuerberatungskanzleien derzeit nicht unmittelbar zu den KRITIS-relevanten Einrichtungen zählen, sollten sie sich frühzeitig mit den Anforderungen der NIS2-Richtlinie vertraut machen. Das gilt insbesondere, wenn sie:
-
Mandanten aus den betroffenen Sektoren betreuen,
-
IT-Dienstleistungen (z. B. im Bereich Buchhaltung oder Lohnabrechnung) für kritische Branchen anbieten,
-
in Kanzleiverbundstrukturen oder mit Cloud-Lösungen arbeiten, bei denen Sicherheitsverantwortung geteilt wird.
Jetzt ist der richtige Zeitpunkt, sich mit den Grundlagen von Informationssicherheit, Risikoanalyse und Meldepflichten auseinanderzusetzen. Denn selbst wenn keine direkte Verpflichtung besteht, wächst der Druck auf Unternehmen aller Branchen, ihre Cybersicherheitsstandards zu verbessern – nicht zuletzt im Sinne der eigenen Haftungsvermeidung und Mandantenschutzes.
Quelle: Heise