Google 4.9 (34 Bewertungen)
Cyber security Service für Sie
Planen Sie eine Demo
Zurück zum Ressourcenzentrum

NIS2-Leitlinie für Wirtschaftsprüfungsunternehmen: Welche Mindestmaßnahmen zur Cybersicherheit sollten Sie ergreifen?

8. März 2023 - Allgemein

Teilen Sie

Die neue NIS2-Richtlinie verpflichtet Wirtschaftsprüfungsunternehmen, mehr Maßnahmen zu ergreifen, um Verstöße gegen die Cybersicherheit zu verhindern. Das europäische Cyber-Gesetz ist seit dem 16. Januar 2023 in Kraft. Die Niederlande und andere Mitgliedstaaten haben bis Oktober 2024 Zeit, die Gesetzgebung in nationales Recht umzusetzen. Das bedeutet, dass Buchhalter ab diesem Zeitpunkt die neuen Cybersicherheitsrichtlinien einhalten müssen.

Was ist die neue NIS2-Richtlinie?

Die neue NIS2-Richtlinie verschärft die Anforderungen für wesentliche Unternehmen und fügt Verpflichtungen für "wichtige Unternehmen", einschließlich Wirtschaftsprüfungsgesellschaften, hinzu. In einem früheren Artikel haben wir erläutert, was die neue Richtlinie beinhaltet und was sich im Vergleich zu NIS1 ändert. Der Hauptunterschied ist die Ausweitung auf "wichtige Unternehmen" zusätzlich zu den wesentlichen Unternehmen, für die die Richtlinie bereits galt. Auch Wirtschaftsprüfungsgesellschaften gelten als wichtige Unternehmen und müssen sich ab 2024 an strengere Cybersicherheitsrichtlinien halten.

Was ändert sich für die Wirtschaftsprüfungsgesellschaften?

Wirtschaftsprüfungsgesellschaften müssen bereits Leitlinien für eine gute IT-Dokumentation einhalten, insbesondere im Hinblick auf die Informationssicherheit, die die Kontinuität, Zuverlässigkeit und Risiken der automatisierten Datenverarbeitung gewährleistet (ISA 315 (COS 315) des ISAAB). Die Wirtschaftsprüfungsgesellschaften sind außerdem verpflichtet, auf der Grundlage einer Sachverständigenprüfung über die Cybersicherheit zu berichten (Artikel 2:393 Absatz 4 BW).

Darüber hinaus werden neue Vorschriften eingeführt. So ist beispielsweise der Vorstand nun für die Cybersicherheit der Wirtschaftsprüfungsgesellschaft verantwortlich und nicht mehr nur ein IT-Partner innerhalb der Firma. Die neue Richtlinie enthält drei weitere Änderungen:

  • Liste der grundlegenden Mindestsicherheitsmaßnahmen
    Die Richtlinie ist konkreter, da sie eine Liste von Mindestsicherheitsmaßnahmen enthält, die die Unternehmen anwenden müssen. Die Richtlinie schreibt einen Ansatz für das Risikomanagement vor.
  • Umgang mit der Sicherheit in der Lieferkette
    Unternehmen müssen sich mit den Sicherheitsrisiken in ihrer Lieferkette befassen, einschließlich der Risiken, die sich aus den Beziehungen zu ihren Lieferanten ergeben.
  • Strengere Aufsicht
    Die nationalen Behörden können eine strengere Aufsicht und Durchsetzung durchführen. Mit der neuen Richtlinie werden die Sanktionsvorschriften und Meldepflichten in allen Mitgliedstaaten einheitlicher gestaltet.

Werden Sie mit einem Bußgeld belegt, wenn Sie die Vorschriften nicht einhalten?

Wirtschaftsprüfungsgesellschaften, die sich nicht an die neue Richtlinie halten, erhalten eine Verwarnung und anschließend eine Mahnung. Die lokale Behörde kann dann Bußgelder bis zu einem Höchstbetrag von 10 Millionen Euro oder zwei Prozent des Jahresumsatzes verhängen.

Welchen Risiken sind die Wirtschaftsprüfungsgesellschaften ausgesetzt?

Die Europäische Union stuft Wirtschaftsprüfungsgesellschaften als wichtige Unternehmen ein. Cyber-Risiken wirken sich sowohl auf die Unternehmen selbst als auch auf die Gesellschaft im Allgemeinen aus. Natürlich sind sich die Wirtschaftsprüfer seit langem der Gefahr bewusst, die von der Cyberkriminalität ausgeht. So zeigt eine Skopos-Studie, dass die Mehrheit der Wirtschaftsprüfer der Meinung ist, dass der Informationssicherheit mehr Aufmerksamkeit geschenkt werden sollte.

Die Wirtschaftsprüfungsgesellschaft Grant Thornton ver weist auf eine Verlagerung vom Geldverdienen hin zu böswilligen Absichten und den damit einhergehenden zunehmenden Risiken. Außerdem wurde bereits berichtet, dass niederländische Unternehmen von russischen Geheimdiensten gehackt werden.

Die SRA, die als Netzwerkorganisation 375 unabhängige Wirtschaftsprüfer mit 900 Niederlassungen in den Niederlanden vertritt, berichtet, dass Wirtschaftsprüfungsunternehmen zunehmend mit Ransomware, Malware und Kryptojacking konfrontiert werden.

Vorbeugung von Cyberkriminalität: Was können Sie als Wirtschaftsprüfungsgesellschaft tun?

Auf der Grundlage der neuen NIS2-Richtlinie müssen Wirtschaftsprüfungsunternehmen ab 2024 angemessene Maßnahmen ergreifen, um Verstöße gegen die Cybersicherheit zu verhindern oder deren Folgen zu begrenzen. Sie können bereits im Vorfeld der neuen Richtlinie Maßnahmen ergreifen. Die SRA empfiehlt zum Beispiel:

  • Risiken kartieren
    Sie können nur dann geeignete Maßnahmen ergreifen, wenn Sie wissen, welchen Risiken Ihre Buchhaltungsfirma ausgesetzt ist. Stellen Sie sicher, dass Sie die Risiken kartieren oder beauftragen Sie dafür externe Spezialisten. Unterscheiden Sie bei den Risiken zwischen denen für die direkte Leistungserbringung und denen für die Geschäftskontinuität. Klassifizieren Sie die Risiken, um eine Prioritätenliste zu erstellen und die entsprechenden Maßnahmen zu ergreifen.
  • Ein Rahmen für Cybersicherheitsrichtlinien
    Entwickeln Sie einen Rahmen für Cybersicherheitsrichtlinien, um unternehmensweit über Cyberrisiken und die wichtigsten Maßnahmen nachzudenken. Beginnen Sie mit einem einfachen DIN-A4-Blatt, das die Grundsätze, den Rahmen und die verschiedenen Verantwortlichkeiten umreißt. Später können Sie dies zu einer umfassenderen Richtlinie ausbauen, die sich beispielsweise auf spezifische Cyber-Risiken konzentriert, mit denen Ihre Wirtschaftsprüfungsgesellschaft konfrontiert ist.
  • Vorbereitung auf Datenschutzverletzungen und Hacks
    Bereiten Sie sich auf Datenschutzverletzungen und Hacks vor, denn jede Organisation kann davon betroffen sein. Erstellen Sie einen Plan, der festlegt, wer wie reagieren soll und welche Wiederherstellungsmaßnahmen erforderlich sind. Behalten Sie den Überblick über alle Vorfälle und analysieren Sie, was passiert ist. Schließen Sie die Sicherheitslücken und überprüfen Sie, ob die Maßnahmen die beabsichtigten Ergebnisse liefern.
  • Ergreifen Sie konkrete Maßnahmen
    Ergreifen Sie konkrete Maßnahmen, wenn noch Sicherheitslücken bestehen. Oder halten Sie sich an die in der neuen NIS2-Richtlinie festgelegten Maßnahmen, um sich auf die Änderungen im Jahr 2024 vorzubereiten. Verbessern Sie die Cybersicherheit, sowohl innerhalb Ihrer Wirtschaftsprüfungsgesellschaft als auch in den Beziehungen zu Ihren Lieferanten. Die neue Richtlinie verpflichtet Unternehmen, die Cybersicherheit in der gesamten Lieferkette zu berücksichtigen.
  • IT an Spezialisten auslagern
    Lagern Sie IT und Cybersicherheit an Spezialisten aus, die sich täglich mit diesen Themen beschäftigen. Beauftragen Sie außerdem Spezialisten, die Anwendungen in die Cloud migrieren oder andere IT-Dienste hinzufügen, verbessern oder ändern. Sie entwickeln auf der Grundlage von Security by Design und denken bei jedem Schritt an die (Cyber-)Sicherheit.

Darüber hinaus können einige grundlegende Maßnahmen die Cyber-Resilienz Ihrer Wirtschaftsprüfungsgesellschaft direkt verbessern, z. B:

  • Multi-Faktor-Authentifizierung (MFA) für alle digitalen Konten
  • Regelmäßige (automatische) Backups
  • Verwendung eines Passwort-Managers mit einem komplexen Master-Passwort
  • Benachrichtigung für E-Mails von externen Absendern einrichten
  • Kontaktlisten offline verfügbar machen

Machen Sie es sich leicht mit Guardey

Als Wirtschaftsprüfungsgesellschaft fühlen Sie sich vielleicht von all dem überwältigt. Schließlich möchten Sie sich lieber auf Ihre Buchhaltungsarbeit konzentrieren. Überlassen Sie es Guardey, sich um die Cybersicherheit für Sie zu kümmern. Wir bieten eine Komplettlösung für sichere Verbindungen, Schutz vor Schadsoftware und professionelle (aber unterhaltsame!) Mitarbeiterschulungen.

Mit Guardey entscheiden Sie sich für eine komplette Cybersicherheitslösung auf einen Schlag. Wir sind komplett Plug & Play-fähig, also unkompliziert, zugänglich und erschwinglich.

Entdecken Sie unsere Lösung oder stellen Sie uns Ihre Fragen. Wir erklären Ihnen gerne, wie Guardey Ihre Wirtschaftsprüfungsgesellschaft vor allen digitalen Bedrohungen schützen kann und wie Sie die NIS2-Richtlinie ab 2024 erfüllen können!

INHALTSVERZEICHNIS
VERBUNDENE POSTEN
Guardey ausprobieren

Mit der Schulungslösung von Guardey security awareness können Ihre Mitarbeiter Cyber-Bedrohungen erkennen und melden.

14-tägige kostenlose Testversion starten

Häufig gestellte Fragen

Was ist Gamification?

Unter Gamification versteht man das Hinzufügen von Spielelementen in nicht spielerische Umgebungen, wie z. B. security awareness , um die Beteiligung zu erhöhen und aktives Lernen zu fördern.

Was sind die Vorteile von Gamification in security awareness Schulungen?

Traditionelle security awareness Schulungen können oft trocken und langweilig sein. Mit Gamification wird der komplexe Lernstoff in ein fesselndes und einprägsames Erlebnis verwandelt.

Durch die Integration von Spielelementen wie Herausforderungen, Quizfragen und Belohnungen werden die Nutzer zum aktiven Lernen angeregt. Dies macht die Schulung angenehmer und fördert das Gefühl von Wettbewerb und Leistung. Diese Kombination führt dazu, dass das Wissen von cyber security besser behalten und angewendet wird.

Warum ist es wichtig, security awareness wöchentlich zu trainieren?

Untersuchungen haben ergeben, dass bis zu 90 % des Gelernten aus jährlichen oder sogar vierteljährlichen Schulungen innerhalb weniger Wochen wieder vergessen werden. Guardey wurde entwickelt, um seine Nutzer 365 Tage im Jahr über Cyber-Bedrohungen auf dem Laufenden zu halten. Das Spiel besteht aus kurzen, wöchentlichen Herausforderungen, die das Wissen der Nutzer langsam aufbauen und schließlich zu einer dauerhaften Verhaltensänderung führen.

Welche Themen werden im Spiel von Guardey security awareness behandelt?

Guardey deckt eine breite Palette von Themen ab, um die Nutzer über alle derzeit relevanten Cyber-Bedrohungen zu informieren, die in Zusammenarbeit mit ethischen Hackern und Pädagogen zusammengestellt wurden. Zu den behandelten Themen gehören phishing, Fernarbeit, Passwortsicherheit, CEO-Betrug, Ransomware, Smishing und vieles mehr.

Wie viel Zeit wird für die wöchentlichen Herausforderungen benötigt?

Jede Aufgabe dauert bis zu drei Minuten.

Kann ich Guardey verwenden, um die Richtlinien von ISO27001, NIS2 und GDPR security awareness einzuhalten?

Ja. ISO27001, NIS2 und GDPR verlangen, dass alle Mitarbeiter eine entsprechende security awareness Schulung erhalten. Guardey ist immer auf dem neuesten Stand, was die neuesten Cyber-Bedrohungen, Richtlinien und Verfahren angeht.

Ist die Schulung security awareness für alle Mitarbeiter wichtig oder nur für bestimmte Funktionen?

Schulungen zum Thema Cybersicherheit sind für alle Mitarbeiter wichtig, nicht nur für bestimmte Funktionen. Jeder Mitarbeiter kann potenziell ein Ziel oder ein unwissentliches Einfallstor für Cyberangriffe sein. Schulungen tragen dazu bei, eine auf Sicherheit ausgerichtete Kultur zu schaffen und die Risiken für das gesamte Unternehmen zu minimieren.

Auch wenn für bestimmte Aufgaben eine spezielle Ausbildung erforderlich ist, sollte ein grundlegendes Ausbildungsniveau für alle zugänglich sein.

In welchen Sprachen ist Guardey verfügbar?

Guardey ist in Englisch, Niederländisch, Italienisch, Französisch, Spanisch, Deutsch, Polnisch, Schwedisch und Dänisch verfügbar.

Möchten Sie weitere Fragen stellen?
Erhalten Sie eine persönliche Demo

Erhalten Sie die neuesten Ressourcen und Nachrichten direkt in Ihren Posteingang.

Ressourcen, die Sie interessieren könnten

Allgemein
ISO27001 Security Awareness Schulung: Ein vollständiger Leitfaden
guardey-sprint-meeting
Cyber security
Warum die meisten phishing Simulationen mehr schaden als nutzen (und wie wir das ändern)
Allgemein
95 % der Hacks und Datenlecks werden durch menschliches Versagen verursacht. Hier ist der Grund, warum Spiele die Lösung sind.
Ressourcenzentrum
Anouk CTA Guardey Website
14 TAGE KOSTENLOS TESTEN

Erleben Sie Guardey noch heute.

  • Testen Sie völlig risikofrei
  • 24/7 Unterstützung
14-tägige kostenlose Testversion starten