8. März 2023 - Allgemein
Die neue NIS2-Richtlinie verpflichtet Wirtschaftsprüfungsunternehmen, mehr Maßnahmen zu ergreifen, um Verstöße gegen die Cybersicherheit zu verhindern. Das europäische Cyber-Gesetz ist seit dem 16. Januar 2023 in Kraft. Die Niederlande und andere Mitgliedstaaten haben bis Oktober 2024 Zeit, die Gesetzgebung in nationales Recht umzusetzen. Das bedeutet, dass Buchhalter ab diesem Zeitpunkt die neuen Cybersicherheitsrichtlinien einhalten müssen.
Was ist die neue NIS2-Richtlinie?
Die neue NIS2-Richtlinie verschärft die Anforderungen für wesentliche Unternehmen und fügt Verpflichtungen für "wichtige Unternehmen", einschließlich Wirtschaftsprüfungsgesellschaften, hinzu. In einem früheren Artikel haben wir erläutert, was die neue Richtlinie beinhaltet und was sich im Vergleich zu NIS1 ändert. Der Hauptunterschied ist die Ausweitung auf "wichtige Unternehmen" zusätzlich zu den wesentlichen Unternehmen, für die die Richtlinie bereits galt. Auch Wirtschaftsprüfungsgesellschaften gelten als wichtige Unternehmen und müssen sich ab 2024 an strengere Cybersicherheitsrichtlinien halten.
Was ändert sich für die Wirtschaftsprüfungsgesellschaften?
Wirtschaftsprüfungsgesellschaften müssen bereits Leitlinien für eine gute IT-Dokumentation einhalten, insbesondere im Hinblick auf die Informationssicherheit, die die Kontinuität, Zuverlässigkeit und Risiken der automatisierten Datenverarbeitung gewährleistet (ISA 315 (COS 315) des ISAAB). Die Wirtschaftsprüfungsgesellschaften sind außerdem verpflichtet, auf der Grundlage einer Sachverständigenprüfung über die Cybersicherheit zu berichten (Artikel 2:393 Absatz 4 BW).
Darüber hinaus werden neue Vorschriften eingeführt. So ist beispielsweise der Vorstand nun für die Cybersicherheit der Wirtschaftsprüfungsgesellschaft verantwortlich und nicht mehr nur ein IT-Partner innerhalb der Firma. Die neue Richtlinie enthält drei weitere Änderungen:
- Liste der grundlegenden Mindestsicherheitsmaßnahmen
Die Richtlinie ist konkreter, da sie eine Liste von Mindestsicherheitsmaßnahmen enthält, die die Unternehmen anwenden müssen. Die Richtlinie schreibt einen Ansatz für das Risikomanagement vor. - Umgang mit der Sicherheit in der Lieferkette
Unternehmen müssen sich mit den Sicherheitsrisiken in ihrer Lieferkette befassen, einschließlich der Risiken, die sich aus den Beziehungen zu ihren Lieferanten ergeben. - Strengere Aufsicht
Die nationalen Behörden können eine strengere Aufsicht und Durchsetzung durchführen. Mit der neuen Richtlinie werden die Sanktionsvorschriften und Meldepflichten in allen Mitgliedstaaten einheitlicher gestaltet.
Werden Sie mit einem Bußgeld belegt, wenn Sie die Vorschriften nicht einhalten?
Wirtschaftsprüfungsgesellschaften, die sich nicht an die neue Richtlinie halten, erhalten eine Verwarnung und anschließend eine Mahnung. Die lokale Behörde kann dann Bußgelder bis zu einem Höchstbetrag von 10 Millionen Euro oder zwei Prozent des Jahresumsatzes verhängen.
Welchen Risiken sind die Wirtschaftsprüfungsgesellschaften ausgesetzt?
Die Europäische Union stuft Wirtschaftsprüfungsgesellschaften als wichtige Unternehmen ein. Cyber-Risiken wirken sich sowohl auf die Unternehmen selbst als auch auf die Gesellschaft im Allgemeinen aus. Natürlich sind sich die Wirtschaftsprüfer seit langem der Gefahr bewusst, die von der Cyberkriminalität ausgeht. So zeigt eine Skopos-Studie, dass die Mehrheit der Wirtschaftsprüfer der Meinung ist, dass der Informationssicherheit mehr Aufmerksamkeit geschenkt werden sollte.
Die Wirtschaftsprüfungsgesellschaft Grant Thornton ver weist auf eine Verlagerung vom Geldverdienen hin zu böswilligen Absichten und den damit einhergehenden zunehmenden Risiken. Außerdem wurde bereits berichtet, dass niederländische Unternehmen von russischen Geheimdiensten gehackt werden.
Die SRA, die als Netzwerkorganisation 375 unabhängige Wirtschaftsprüfer mit 900 Niederlassungen in den Niederlanden vertritt, berichtet, dass Wirtschaftsprüfungsunternehmen zunehmend mit Ransomware, Malware und Kryptojacking konfrontiert werden.
Vorbeugung von Cyberkriminalität: Was können Sie als Wirtschaftsprüfungsgesellschaft tun?
Auf der Grundlage der neuen NIS2-Richtlinie müssen Wirtschaftsprüfungsunternehmen ab 2024 angemessene Maßnahmen ergreifen, um Verstöße gegen die Cybersicherheit zu verhindern oder deren Folgen zu begrenzen. Sie können bereits im Vorfeld der neuen Richtlinie Maßnahmen ergreifen. Die SRA empfiehlt zum Beispiel:
- Risiken kartieren
Sie können nur dann geeignete Maßnahmen ergreifen, wenn Sie wissen, welchen Risiken Ihre Buchhaltungsfirma ausgesetzt ist. Stellen Sie sicher, dass Sie die Risiken kartieren oder beauftragen Sie dafür externe Spezialisten. Unterscheiden Sie bei den Risiken zwischen denen für die direkte Leistungserbringung und denen für die Geschäftskontinuität. Klassifizieren Sie die Risiken, um eine Prioritätenliste zu erstellen und die entsprechenden Maßnahmen zu ergreifen. - Ein Rahmen für Cybersicherheitsrichtlinien
Entwickeln Sie einen Rahmen für Cybersicherheitsrichtlinien, um unternehmensweit über Cyberrisiken und die wichtigsten Maßnahmen nachzudenken. Beginnen Sie mit einem einfachen DIN-A4-Blatt, das die Grundsätze, den Rahmen und die verschiedenen Verantwortlichkeiten umreißt. Später können Sie dies zu einer umfassenderen Richtlinie ausbauen, die sich beispielsweise auf spezifische Cyber-Risiken konzentriert, mit denen Ihre Wirtschaftsprüfungsgesellschaft konfrontiert ist. - Vorbereitung auf Datenschutzverletzungen und Hacks
Bereiten Sie sich auf Datenschutzverletzungen und Hacks vor, denn jede Organisation kann davon betroffen sein. Erstellen Sie einen Plan, der festlegt, wer wie reagieren soll und welche Wiederherstellungsmaßnahmen erforderlich sind. Behalten Sie den Überblick über alle Vorfälle und analysieren Sie, was passiert ist. Schließen Sie die Sicherheitslücken und überprüfen Sie, ob die Maßnahmen die beabsichtigten Ergebnisse liefern. - Ergreifen Sie konkrete Maßnahmen
Ergreifen Sie konkrete Maßnahmen, wenn noch Sicherheitslücken bestehen. Oder halten Sie sich an die in der neuen NIS2-Richtlinie festgelegten Maßnahmen, um sich auf die Änderungen im Jahr 2024 vorzubereiten. Verbessern Sie die Cybersicherheit, sowohl innerhalb Ihrer Wirtschaftsprüfungsgesellschaft als auch in den Beziehungen zu Ihren Lieferanten. Die neue Richtlinie verpflichtet Unternehmen, die Cybersicherheit in der gesamten Lieferkette zu berücksichtigen. - IT an Spezialisten auslagern
Lagern Sie IT und Cybersicherheit an Spezialisten aus, die sich täglich mit diesen Themen beschäftigen. Beauftragen Sie außerdem Spezialisten, die Anwendungen in die Cloud migrieren oder andere IT-Dienste hinzufügen, verbessern oder ändern. Sie entwickeln auf der Grundlage von Security by Design und denken bei jedem Schritt an die (Cyber-)Sicherheit.
Darüber hinaus können einige grundlegende Maßnahmen die Cyber-Resilienz Ihrer Wirtschaftsprüfungsgesellschaft direkt verbessern, z. B:
- Multi-Faktor-Authentifizierung (MFA) für alle digitalen Konten
- Regelmäßige (automatische) Backups
- Verwendung eines Passwort-Managers mit einem komplexen Master-Passwort
- Benachrichtigung für E-Mails von externen Absendern einrichten
- Kontaktlisten offline verfügbar machen
Machen Sie es sich leicht mit Guardey
Als Wirtschaftsprüfungsgesellschaft fühlen Sie sich vielleicht von all dem überwältigt. Schließlich möchten Sie sich lieber auf Ihre Buchhaltungsarbeit konzentrieren. Überlassen Sie es Guardey, sich um die Cybersicherheit für Sie zu kümmern. Wir bieten eine Komplettlösung für sichere Verbindungen, Schutz vor Schadsoftware und professionelle (aber unterhaltsame!) Mitarbeiterschulungen.
Mit Guardey entscheiden Sie sich für eine komplette Cybersicherheitslösung auf einen Schlag. Wir sind komplett Plug & Play-fähig, also unkompliziert, zugänglich und erschwinglich.
Entdecken Sie unsere Lösung oder stellen Sie uns Ihre Fragen. Wir erklären Ihnen gerne, wie Guardey Ihre Wirtschaftsprüfungsgesellschaft vor allen digitalen Bedrohungen schützen kann und wie Sie die NIS2-Richtlinie ab 2024 erfüllen können!