Kontakt
Kontakt

Blog

IDW PS 861: Prüfung von KI-Systemen

Der Prüfungsstandard IDW PS 861 wurde am 8. Februar 2023 vom Fachausschuss für Informationstechnologie verabschiedet und am 10. März 2023 vom Hauptfachausschuss gebilligt. Er gilt für Prüfungsaufträge außerhalb der Abschlussprüfung, die nach diesem Datum beauftragt werden. Eine frühere freiwillige Anwendung ist zulässig. Der Standard basiert auf den Grundsätzen des internationalen ISAE 3000 (Revised), wobei kein ausdrücklicher Verweis im Prüfungsbericht erforderlich ist.

Zielsetzung des PS 861

Das Ziel des Standards ist die Schaffung einheitlicher Grundsätze für die freiwillige Prüfung von KI-Systemen. Unternehmen setzen zunehmend künstliche Intelligenz ein – sei es zur Mustererkennung, Datenanalyse, Entscheidungsunterstützung oder zur Automatisierung ganzer Prozesse. Damit verbunden sind Fragen nach Ethik, Transparenz, Sicherheit und Leistungsfähigkeit. Der PS 861 soll Wirtschaftsprüfern ein strukturiertes Vorgehen ermöglichen, um die Angemessenheit und gegebenenfalls auch die Wirksamkeit von KI-Systemen zu prüfen. Das Ergebnis ist ein Prüfungsurteil mit hoher Aussagekraft für Unternehmensleitung, Aufsichtsorgane und andere Adressaten.

Überblick über die Inhalte

Der Standard gliedert sich in mehrere Abschnitte. Zunächst werden Begriffe definiert – von der KI selbst über KI-Modelle bis hin zu den Elementen eines KI-Systems wie Daten, Governance, Algorithmen, Anwendungen und IT-Infrastruktur. Anschließend beschreibt PS 861 die Kriterien, die ein KI-System erfüllen muss: ethische und rechtliche Anforderungen, Nachvollziehbarkeit, IT-Sicherheit sowie Leistungsfähigkeit.

Der Prüfungsstandard IDW PS 861 richtet sich an Wirtschaftsprüfer und behandelt die freiwillige Prüfung von Systemen künstlicher Intelligenz (KI). Er wurde entwickelt, um klare Leitlinien für die Prüfung der Angemessenheit und – soweit beauftragt – auch der Wirksamkeit von KI-Systemen zu geben. Im Folgenden sind die wesentlichen Inhalte ausführlich dargestellt.

Begriffsbestimmungen und Anwendungsbereich

Zu Beginn definiert der Standard zentrale Begriffe, die für das Verständnis notwendig sind. Unter einem KI-System versteht der PS 861 nicht nur das eigentliche Modell oder den Algorithmus, sondern das gesamte Zusammenspiel aus Datenbasis, Modell, Algorithmen, IT-Infrastruktur, Prozessen und Governance-Strukturen. Der Anwendungsbereich umfasst Prüfungen außerhalb der klassischen Abschlussprüfung, die sich auf die Funktionsweise, Sicherheit und Verlässlichkeit solcher Systeme beziehen.

Verantwortung der gesetzlichen Vertreter

Ein zentrales Element des Standards ist die Rolle der gesetzlichen Vertreter des Unternehmens. Sie tragen die Verantwortung dafür, dass eine vollständige und zutreffende Beschreibung des KI-Systems vorliegt. Diese Beschreibung muss alle relevanten Bestandteile, Zielsetzungen, Datenquellen, eingesetzten Modelle und Prozesse enthalten. Zudem müssen sie die Kriterien festlegen, nach denen das System geprüft werden soll, und sicherstellen, dass diese Kriterien sachgerecht, nachvollziehbar und vollständig dokumentiert sind.

Prüfungsgegenstand und Kriterien

Der Prüfungsgegenstand besteht aus der vom Unternehmen bereitgestellten Systembeschreibung sowie den definierten Kriterien. Diese Kriterien decken vier Dimensionen ab:

  1. Ethische und rechtliche Anforderungen – Einhaltung von Gesetzen, Regularien und ethischen Prinzipien (Menschenwürde, Fairness, Vermeidung von Diskriminierung).
  2. Nachvollziehbarkeit – Transparenz der Entscheidungswege, Dokumentation von Modellen, Daten und Prozessen.
  3. IT-Sicherheit – Schutz vor Manipulation, Missbrauch oder Ausfällen; Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Autorisierung.
  4. Leistungsfähigkeit – Fähigkeit des Systems, die definierten Unternehmensziele zuverlässig und dauerhaft zu erreichen.

Vorgehen des Prüfers

Der Standard beschreibt ein mehrstufiges Vorgehen:

  • Verständnis des KI-Systems: Der Prüfer verschafft sich zunächst ein umfassendes Bild vom Aufbau, den Funktionen und der Einbettung in die Organisation.
  • Identifizierung von Risiken: Auf Basis dieses Verständnisses identifiziert er mögliche Risiken wesentlicher falscher Darstellungen.
  • Prüfung der Angemessenheit: Der Prüfer beurteilt, ob die beschriebenen Maßnahmen sachgerecht ausgestaltet und implementiert wurden.
  • Prüfung der Wirksamkeit: Falls beauftragt, wird untersucht, ob die Maßnahmen über den gesamten Prüfungszeitraum hinweg tatsächlich wirksam angewendet wurden.
  • Zusätzliche Prüfungshandlungen: Hierzu gehören z. B. die Einbindung von Sachverständigen, die Zusammenarbeit mit der Internen Revision oder die Berücksichtigung nachträglicher Ereignisse, die Einfluss auf das KI-System haben könnten.

Prüfungsnachweise und Dokumentation

Besonderer Wert wird auf die Qualität der Prüfungsnachweise gelegt. Alle wesentlichen Feststellungen müssen nachvollziehbar dokumentiert sein. Der Prüfer muss sicherstellen, dass seine Beurteilungen auf einer belastbaren Grundlage beruhen und auch für Dritte prüfbar sind. Dazu gehören sowohl technische Tests als auch die Überprüfung organisatorischer und prozessualer Maßnahmen.

Berichterstattung und Prüfungsurteil

Das Ergebnis der Prüfung wird in einem strukturierten Prüfungsbericht dargestellt. Dieser enthält:

  • die Beschreibung des Prüfungsgegenstands,
  • die angewandten Kriterien,
  • das Prüfungsurteil (Angemessenheit und ggf. Wirksamkeit),
  • sowie Hinweise zu Einschränkungen, Mängeln oder empfohlenen Maßnahmen.

Das Prüfungsurteil ist dabei differenziert: Es kann uneingeschränkt, eingeschränkt, mit Versagung oder mit Hinweis formuliert werden – analog zu anderen Prüfungsstandards.

Wichtigste Punkte

Der Standard stellt vier Kernanforderungen an KI-Systeme heraus:

  1. Ethische und rechtliche Anforderungen
    KI-Systeme müssen nicht nur geltende Gesetze und regulatorische Vorgaben einhalten, sondern auch grundlegende ethische Prinzipien beachten. Dazu gehören der Schutz der Menschenwürde, die Wahrung der Autonomie der Betroffenen, Fairness im Umgang mit Daten und Ergebnissen sowie die Vermeidung von Diskriminierungen. Unternehmen müssen sicherstellen, dass ihre KI-Systeme diese Werte widerspiegeln und in allen Prozessen verankert sind.
  2. Nachvollziehbarkeit und Transparenz
    Ein zentrales Element ist die Erklärbarkeit von KI-Entscheidungen. Unternehmen müssen nachweisen können, wie ein Ergebnis zustande gekommen ist – von der Datengrundlage über das Modell bis hin zum Algorithmus. Dokumentation, Modellkarten und Entscheidungsprotokolle sind daher unverzichtbar. Diese Transparenz soll nicht nur interne Prüfungen ermöglichen, sondern auch das Vertrauen von Kunden, Aufsichtsbehörden und anderen Stakeholdern stärken.
  3. IT-Sicherheit
    KI-Systeme müssen vor Manipulation, Missbrauch und Ausfällen geschützt sein. Dazu gehören organisatorische und technische Maßnahmen wie Verschlüsselung, Zugangskontrollen, Berechtigungskonzepte, regelmäßige Sicherheitsupdates und Backups. Die Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Autorisierung bildet das Fundament für ein verlässliches und robustes System.
  4. Leistungsfähigkeit
    KI-Systeme müssen ihre definierten Zwecke zuverlässig erfüllen und über einen längeren Zeitraum stabile, nützliche und valide Ergebnisse liefern. Dazu gehört, dass Unternehmen regelmäßig die Qualität der Daten und Modelle überprüfen, Test- und Validierungsverfahren durchführen und Anpassungen vornehmen, wenn die Ergebnisse nicht mehr den Anforderungen entsprechen. Die Leistungsfähigkeit schließt auch die Skalierbarkeit und die Eignung für den praktischen Einsatz ein.

Ein weiteres zentrales Element ist die klare Trennung von Angemessenheitsprüfung (ob Maßnahmen geeignet und implementiert sind) und Wirksamkeitsprüfung (ob Maßnahmen über einen Zeitraum hinweg tatsächlich wirksam waren). Beide Prüfungsarten führen zu unterschiedlichen Prüfungsurteilen.

Wie können wir unterstützen?

Wir bei der GRC Factory unterstützen Unternehmen umfassend dabei, den verantwortungsvollen und regulatorisch konformen Einsatz von KI-Systemen sicherzustellen. Unsere Leistungen sind eng an den Inhalten des PS 861 ausgerichtet und helfen, Ihr Unternehmen prüfungssicher aufzustellen:

  • Erstellung und Pflege der KI-Systembeschreibung: Unterstützung bei der vollständigen und prüfungsgerechten Beschreibung des KI-Systems inklusive Zweck, Datenbasis, Modell, Algorithmen, IT-Infrastruktur und Governance-Strukturen.
  • Definition und Auswahl geeigneter Kriterien: Entwicklung und Verankerung der anzuwendenden Kriterien (ethische Grundsätze, Nachvollziehbarkeit, IT-Sicherheit, Leistungsfähigkeit) in Ihren Richtlinien.
  • Governance- und Richtlinienentwicklung: Entwurf von AI-/KI-Richtlinien und Prozessen, die Verantwortlichkeiten, Genehmigungswege und Kontrollmechanismen klar festlegen.
  • Risikobewertung und Kontrollmaßnahmen: Identifizierung wesentlicher Risiken (Bias, IT-Sicherheitsrisiken, rechtliche Risiken) und Unterstützung bei der Implementierung geeigneter Kontrollen.
  • Vorbereitung auf Angemessenheits- und Wirksamkeitsprüfungen: Interne Überprüfung Ihrer Prozesse und Systeme, um eine positive Prüfung sicherzustellen.
  • Dokumentations- und Nachweissysteme: Entwicklung von Strukturen für eine lückenlose Dokumentation und Nachweisführung.
  • Test- und Validierungsmethoden: Einführung technischer Tests (z. B. Robustheit, Fairness, Performance), die zur späteren Wirksamkeitsprüfung erforderlich sind.
  • Schulung und Sensibilisierung: Training für Verantwortliche, damit Rollen und Aufgaben klar verstanden und dauerhaft eingehalten werden.

IDW EPS 528 (08.2025): Aufsichtliche DORA-Prüfung im Rahmen der Abschlussprüfung

Der nachfolgende Artikel gibt Ihnen einen kurzen Überblick zum aktuellen Stand, Inhalt und der Zeitlinie.

Hier finden Sie den Entwurf zum Download auf der Seite des IDW: Link

Mit dem Entwurf des IDW EPS 528 legt das Institut der Wirtschaftsprüfer erstmals einen umfassenden Prüfungsstandard für die sogenannte „aufsichtliche DORA-Prüfung“ vor. Hintergrund ist die Verordnung (EU) 2022/2554, der Digital Operational Resilience Act (DORA), die den Finanzsektor europaweit verpflichtet, digitale Resilienz, Cybersecurity und IKT-Risikomanagement auf ein einheitliches regulatorisches Fundament zu stellen.

Zeitliche Entwicklung

Die DORA trat bereits im Januar 2023 in Kraft, ihre Anwendungspflichten beginnen jedoch ab dem 17. Januar 2025. Damit sind sämtliche Finanzunternehmen verpflichtet, die Vorgaben zur digitalen operationellen Resilienz einzuhalten. In Deutschland wurde dies durch das Finanzmarktdigitalisierungsgesetz (FinmadiG) umgesetzt, das die Prüfung bestimmter DORA-Anforderungen als Erweiterung der Jahresabschlussprüfung vorsieht.

Der Entwurf des IDW EPS 528 wurde am 21. Juli 2025 von den zuständigen Fachausschüssen des IDW verabschiedet und am 7. August 2025 vom Hauptfachausschuss gebilligt. Stellungnahmen dazu können bis zum 31. Oktober 2025 eingereicht werden. Ab dem Geschäftsjahr 2025 – also für alle Berichtszeiträume, die nach dem 31. Dezember 2024 beginnen – ist die Anwendung vorgesehen, wobei eine vorzeitige Umsetzung ausdrücklich möglich ist. Die endgültige Verabschiedung des Standards wird für Ende 2025 oder Anfang 2026 erwartet.

Zielsetzung des EPS 528

Das Ziel des Prüfungsstandards besteht darin, einheitliche Leitlinien für Abschlussprüfer zu schaffen, die im Rahmen der Jahresabschlussprüfung auch die Einhaltung zentraler DORA-Vorgaben zu beurteilen haben. Während die klassische Abschlussprüfung auf historische Finanzinformationen fokussiert ist, verlangt die DORA-Prüfung eine Bewertung organisatorischer, technischer und prozessualer Maßnahmen rund um IT- und Cyberresilienz.

Damit sollen drei Ziele erreicht werden: Erstens soll für die Aufsichtsbehörden eine verlässliche Informationsgrundlage geschaffen werden. Zweitens unterstützt die Prüfung die gesetzlichen Vertreter und Aufsichtsgremien der Finanzunternehmen in ihrer Verantwortung für digitale Resilienz. Drittens sorgt die Standardisierung dafür, dass die Prüfungen trotz großer Bandbreite an Institutsgrößen und Geschäftsmodellen vergleichbar und verhältnismäßig bleiben.

Überblick über die Inhalte

Der Standard ist in mehrere Abschnitte gegliedert. Nach den Vorbemerkungen mit Definitionen und Zielsetzungen folgt die Darstellung der Prüfungsdurchführung. Dort wird zunächst auf allgemeine Berufspflichten, Auftragsannahme und Qualitätssicherung eingegangen. Besonders ausführlich beschreibt der Standard den Ablauf der sogenannten „Organisationsprüfungen“.

Diese gliedern sich in drei zentrale Schritte: Zunächst würdigt der Prüfer das sogenannte „Soll-Objekt“, also die vom Unternehmen abgeleiteten organisatorischen Vorgaben aus den gesetzlichen Anforderungen. Darauf aufbauend erfolgt eine Angemessenheitsprüfung, bei der beurteilt wird, ob diese Vorgaben sachgerecht in Prozesse, Regeln und Verfahren umgesetzt wurden. Schließlich schließt sich die Wirksamkeitsprüfung an, mit der die tatsächliche Einhaltung der Vorgaben im Berichtszeitraum überprüft wird.

Darüber hinaus beschreibt der Standard die Anforderungen an Prüfungsnachweise, Dokumentation und die Berichterstattung. Hierbei wird Wert auf Transparenz gelegt: Der Prüfer muss nicht nur Mängel feststellen, sondern auch die Maßnahmen zur Behebung in den Folgejahren nachverfolgen. Zudem ist eine enge Kommunikation mit den beaufsichtigten Unternehmen und der Aufsicht vorgesehen.

Wichtigste Punkte

Besonders hervorzuheben ist, dass die Prüfungspflichten inhaltlich sehr konkret auf die DORA-Artikel zugeschnitten sind. Dazu gehören das IKT-Risikomanagement (Artikel 5–14 DORA), das IKT-Vorfallsmeldewesen (Artikel 17–19, 23), das Testen der digitalen Resilienz (Artikel 24–25), das Management von IKT-Drittparteienrisiken (Artikel 28–30) sowie der Informationsaustausch über Cyberbedrohungen (Artikel 45 Abs. 3). Nicht umfasst sind dagegen die Vorgaben zu Threat-Led Penetration Tests (TLPT) nach Artikel 26 und 27.

Ein weiterer wichtiger Punkt ist das Prinzip der Proportionalität: Die Prüfung soll sich immer an Größe, Komplexität und Risikoprofil des jeweiligen Instituts orientieren. Das verhindert eine Überlastung kleinerer Institute und erlaubt gleichzeitig eine tiefgehende Prüfung bei systemrelevanten Unternehmen.

Weitere Zeitplanung

Bis Ende Oktober 2025 läuft die Konsultationsfrist, innerhalb derer Fachkreise, Unternehmen und Prüfer Feedback zum Entwurf einreichen können. Im Anschluss wird das IDW die Stellungnahmen auswerten und den Standard endgültig verabschieden. Für die Praxis bedeutet dies, dass bereits für die Abschlussprüfungen des Geschäftsjahres 2025 – mit Stichtag 31. Dezember 2025 – die neuen Anforderungen greifen können.

Finanzunternehmen sollten sich daher frühzeitig auf die Prüfungen vorbereiten. Dazu gehört eine Überprüfung des IKT-Risikomanagements, die Einrichtung klarer Prozesse zur Meldung von IT-Vorfällen, die regelmäßige Durchführung von Resilienz-Tests sowie ein stringentes Management der Risiken aus Auslagerungen und Drittparteien. Auch Prüfer müssen ihre Prüfungsansätze, Teams und Dokumentationssysteme rechtzeitig an die neuen Anforderungen anpassen.

BSI C5-Testierung wird Pflicht: Neue Anforderungen ab 1. Juli 2025 für Cloud-Dienste

Ab dem 1. Juli 2025 gilt in Deutschland eine neue verbindliche Anforderung für Cloud-Dienstleister: Die Testierung nach dem Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird für viele Anbieter zur Pflicht. Die Grundlage dafür bildet die am 10. April 2024 veröffentlichte novellierte BSI-Kritisverordnung (BSI-KritisV 2024), in der der Einsatz geprüfter Cloud-Dienste in sicherheitsrelevanten Bereichen ausdrücklich vorgeschrieben wird.

Seit seiner Einführung im Jahr 2016 gilt der C5-Katalog des BSI als etabliertes Prüf- und Nachweismittel für IT-Sicherheit im Cloud-Umfeld. Bisher war die Anwendung freiwillig – viele Unternehmen nutzten C5-Testate als vertrauensbildendes Signal gegenüber Kunden, insbesondere im industriellen und behördlichen Kontext. Mit dem Schritt zur verpflichtenden Testierung markiert das BSI nun eine klare Richtungsänderung: Cloud-Sicherheit ist nicht länger Kür, sondern Pflicht. Ziel ist eine flächendeckend höhere IT-Sicherheit – insbesondere in kritischen Infrastrukturen und im öffentlichen Sektor.

Die neue Pflicht ist auch eine Chance: Anbieter, die frühzeitig ein Testat vorweisen können, sichern sich Zugang zu öffentlichen und KRITIS-bezogenen Projekten und stärken das Vertrauen bei sicherheitsbewussten Kunden. Zudem etabliert sich C5 immer stärker als Marktstandard, auch außerhalb gesetzlicher Anforderungen. Die Investition in Sicherheit zahlt sich somit doppelt aus: in Compliance – und in Wettbewerbsvorteile.

Was ist die C5-Testierung eigentlich?

Die C5-Testierung basiert auf dem „Cloud Computing Compliance Criteria Catalogue“ (C5), den das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals 2016 veröffentlicht und zuletzt 2023 umfassend überarbeitet hat. C5 definiert einheitliche Prüfanforderungen für Anbieter von Cloud-Diensten – von technischen Sicherheitsmaßnahmen über organisatorische Kontrollen bis hin zur Transparenz gegenüber Kunden.

Ziel des Kriterienkatalogs ist es, Sicherheit und Nachvollziehbarkeit bei der Nutzung von Cloud-Services systematisch zu verbessern. Dies gilt besonders in Bereichen, in denen sensible oder besonders schützenswerte Daten verarbeitet werden – etwa Gesundheits-, Sozial- oder Personaldaten, aber auch Betriebs- und Geschäftsgeheimnisse.

C5 macht Sicherheitsvorkehrungen prüfbar und dokumentierbar – und liefert Unternehmen eine objektive Entscheidungsgrundlage bei der Auswahl von Cloud-Diensten. Gleichzeitig schafft es Vertrauen und Rechtssicherheit für Anbieter, Anwender und Aufsichtsbehörden gleichermaßen.

Die C5-Testierung wird von unabhängigen, qualifizierten Auditoren durchgeführt und beinhaltet die Prüfung aller im Katalog enthaltenen Kriterien – darunter u. a.:

  • Informationssicherheitsmanagement (ISMS)
  • Zugriffskontrolle und Berechtigungsmanagement
  • Verschlüsselung und Datenlokalität
  • Betriebssicherheit, Incident Response, Logging
  • Auslagerung und Drittanbietersteuerung
  • Transparenzpflichten gegenüber Kunden

Mit der gesetzlichen Verankerung der C5-Testierungspflicht ab 2025 wird aus einem freiwilligen Prüfstandard nun ein zentrales Element der Cloud-Governance in Deutschland.

Was konkret ändert sich? – Die C5-Testierung wird zur regulatorischen Pflicht

Mit Inkrafttreten der BSI-Kritisverordnung 2024 wird der Nachweis einer gültigen C5-Testierung ab dem 1. Juli 2025 zur verbindlichen Voraussetzung für Cloud-Dienste, die in kritischen oder besonders schützenswerten Anwendungsbereichen eingesetzt werden. Die wichtigsten Veränderungen:

1. Verpflichtung zur C5-Testierung bei bestimmten Einsatzkontexten

Die C5-Testierung ist künftig verpflichtend für Cloud-Service-Provider, wenn deren Dienste:

  • von KRITIS-Betreibern gemäß BSI-Gesetz (§ 8a BSIG) genutzt werden,
  • von öffentlichen Stellen und Behörden für besonders schützenswerte Informationen eingesetzt werden,
  • im Kontext sicherheitsrelevanter Lieferketten verwendet werden (z. B. in der Energie- oder Gesundheitsversorgung),
  • Teil von Geschäftsprozessen mit erhöhtem Schutzbedarf nach dem IT-Grundschutz-Kompendium sind.

Die Pflicht gilt unabhängig davon, ob der Anbieter aus Deutschland stammt – entscheidend ist, ob der Dienst in der deutschen KRITIS-Landschaft oder Verwaltung eingesetzt wird.

2. Anerkennung ausschließlich geprüfter Nachweise

Die C5-Testierung muss:

  • auf dem aktuellen Kriterienkatalog C5:2023 basieren,
  • jährlich von einer unabhängigen, qualifizierten Prüfgesellschaft durchgeführt werden,
  • in Form eines prüfbaren Berichts mit vollständigem Kontrollrahmen gemäß IDW PS 880 oder ISAE 3000 vorliegen,
  • vollständig dokumentiert und nachweispflichtig gegenüber Kunden und Aufsichtsbehörden sein.

Selbstauskünfte oder interne Bewertungen werden nicht mehr anerkannt.

3. Erweiterung der Prüfpflicht auf Unterauftragnehmer

Die Verpflichtung zur C5-Testierung erstreckt sich künftig auch auf:

  • Unterauftragnehmer, sofern deren Leistungen sicherheitsrelevant sind (z. B. IaaS-Betreiber für PaaS- oder SaaS-Dienste),
  • technische Betreiber oder Managed Service Provider, die Cloud-Plattformen im Auftrag anderer Unternehmen bereitstellen,
  • nicht-europäische Anbieter, sofern deren Dienste für deutsche KRITIS-Betreiber oder Behörden verarbeitet werden.

Damit müssen auch global agierende Hyperscaler sicherstellen, dass ihre Plattformdienste über ein gültiges C5-Testat verfügen oder alternative gleichwertige Nachweise nach deutschem Recht erbringen.

4. Verpflichtung zur Bereitstellung von Nachweisen gegenüber Kunden und Behörden

Anbieter müssen den Prüfbericht (mindestens in einer Kurzfassung) bereitstellen:

  • auf Anforderung von Kunden oder Behörden,
  • im Rahmen von Vertragsverhandlungen oder Sicherheitsprüfungen,
  • teilweise sogar öffentlich zugänglich auf ihrer Website (Transparenzpflicht nach § 8a BSIG i.V.m. KritisV).

Das erhöht den Prüfaufwand – aber auch die Sichtbarkeit gut aufgestellter Anbieter.

5. Integration in Ausschreibungen und IT-Beschaffungsrichtlinien

Viele öffentliche Auftraggeber und KRITIS-Betreiber sind laut BSI verpflichtet, in neuen IT-Ausschreibungen ab 1. Juli 2025 die C5-Testierung als zwingendes Kriterium aufzunehmen. Wer kein gültiges Testat vorweisen kann, wird von solchen Ausschreibungen künftig ausgeschlossen.

Dies betrifft insbesondere:

  • Cloud-Angebote in der Verwaltung (z. B. OZG-Umsetzung),
  • kommunale IT-Dienstleister und Rechenzentren,
  • IT-Systemhäuser mit Integrationsverantwortung,
  • Anbieter von Sicherheits-, Überwachungs- oder Verwaltungsplattformen in der Cloud.

6. Auswirkungen auf Vertragsgestaltung, Haftung und Governance

  • Vertraglich müssen C5-Anforderungen explizit geregelt werden, z. B. in Auftragsverarbeitungsverträgen oder Rahmenvereinbarungen.
  • Haftungsfragen ändern sich: Fehlende Testate oder Mängel im Sicherheitsnachweis können zu Vertragsstrafen, Ausschluss oder Rücktritt führen.
  • Unternehmen müssen interne Prozesse anpassen, z. B. durch ein zentrales Nachweis- und Kontrollmanagement, das regelmäßig aktualisiert wird.

7. Übergangsfristen und Sanktionen

  • Es gilt eine Übergangsfrist bis zum 30. Juni 2025 – danach darf der produktive Einsatz nicht getesteter Cloud-Dienste in sicherheitskritischen Bereichen nicht mehr erfolgen.
  • Bei Nichteinhaltung drohen Bußgelder, Vertragsausschlüsse oder Maßnahmen durch Aufsichtsbehörden (z. B. BNetzA, BSI, Landesdatenschutzbehörden).

Wer ist betroffen – und wie sollten Unternehmen reagieren?

Betroffen sind:

  • Rechenzentrums- und Cloud-Anbieter mit Kunden im KRITIS- oder Behördenumfeld,
  • IT-Dienstleister mit sicherheitskritischer Verantwortung (z. B. Hosting, SaaS, IaaS),
  • Unternehmen, die Plattformen oder Applikationen für öffentliche Stellen bereitstellen.

Empfohlen wird eine frühzeitige Gap-Analyse durchzuführen, um den Reifegrad des eigenen Systems zu bewerten: Welche Anforderungen sind bereits erfüllt, und wo bestehen noch Lücken? Abhängig von der Ausgangslage sollte für die Vorbereitung und Umsetzung einer C5-Testierung ein Zeitraum von etwa drei bis neun Monaten eingeplant werden.

Mit der verpflichtenden Einführung des C5-Standards geht Deutschland einen weiteren wichtigen Schritt in Richtung einer sicheren digitalen Infrastruktur. Auch wenn der Umstellungsaufwand nicht zu unterschätzen ist, bietet die neue Regelung sowohl mehr Schutz vor Cyberbedrohungen als auch neue Chancen im Markt. Wer jetzt vorbereitet ist, kann profitieren.

Unser Beratungsangebot: GRC Factory unterstützt bei der C5-Testierung

Die Umsetzung der neuen C5-Pflicht stellt viele Unternehmen vor organisatorische und technische Herausforderungen. Als erfahrene Beratungspartner im Bereich Governance, Risk & Compliance (GRC) begleiten wir von der GRC Factory Sie auf dem Weg zur erfolgreichen C5-Testierung.

Unser Angebot reicht von initialen Gap-Analysen über die Begleitung bei der Einführung fehlender Sicherheitsmaßnahmen bis hin zur Vorbereitung und Unterstützung von Audits durch unabhängige Prüfer. Dabei setzen wir auf pragmatische, zielgerichtete Lösungen – zugeschnitten auf Ihre IT-Struktur und Ihr Geschäftsmodell.

Wir legen großen Wert darauf, bereits frühzeitig Kontakt mit dem zertifizierenden Wirtschaftsprüfungsunternehmen in Kontakt zu treten. Bei Bedarf können wir auch ausgewählte, in der Zusammenarbeit bewährte Wirtschaftsprüfungsunternehmen empfehlen und den Kontakt herstellen.

Profitieren Sie von unserer Expertise in der Umsetzung regulatorischer Anforderungen und unserer Erfahrung aus zahlreichen Projekten in regulierten Branchen, insbesondere im KRITIS- und Public-Sector-Umfeld. Gemeinsam schaffen wir die Grundlage für Ihre C5-Konformität – effizient, transparent und nachhaltig.

Nehmen Sie Kontakt mit unseren Experten auf!

Wann kommt NIS2? (Update 9/2025)

Einleitung: Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (Network and Information Security Directive) ist ein zentrales Regelwerk der Europäischen Union, das darauf abzielt, die Cybersicherheit auf EU-Ebene zu stärken und zu harmonisieren. Sie ersetzt die erste NIS-Richtlinie von 2016 und erweitert den Anwendungsbereich sowie die Anforderungen an Unternehmen und öffentliche Einrichtungen deutlich. Ziel ist es, die Widerstandsfähigkeit gegen Cyberbedrohungen zu erhöhen und die Zusammenarbeit zwischen den Mitgliedsstaaten zu verbessern.

Die Richtlinie legt dabei insbesondere Wert auf die Sicherheit kritischer Infrastrukturen, definiert neue Branchen, die unter die Regelungen fallen, und erhöht die Anforderungen an die Berichterstattung von Sicherheitsvorfällen.

NIS2: Aktueller Stand in Deutschland – was Unternehmen jetzt wissen müssen

Die EU-Richtlinie NIS2 trat bereits am 16. Januar 2023 in Kraft und hätte bis spätestens 18. Oktober 2024 in nationales Recht überführt werden müssen. Deutschland hat diese Frist jedoch verpasst – aktuell (Herbst 2025) gibt es noch kein gültiges Umsetzungsgesetz.

Der deutsche Gesetzgeber arbeitet derzeit am NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Nach jetzigem Stand ist damit zu rechnen, dass das Gesetz Ende 2025 oder Anfang 2026 verabschiedet und wirksam wird. Vorgesehen ist, dass es unmittelbar am Tag nach der Verkündung in Kraft tritt.

Welche Fristen sind geplant?

  • Registrierungspflicht: Einrichtungen, die als „wichtig“ oder „besonders wichtig“ gelten, müssen sich innerhalb von drei Monaten nach Identifizierung registrieren.
  • Melde- und Nachweispflichten: Viele Pflichten gelten sofort mit Inkrafttreten.
  • Nachweise für Betreiber kritischer Anlagen: Der erste Nachweis über die Umsetzung von Sicherheitsmaßnahmen wird frühestens drei Jahre nach Inkrafttreten fällig, danach alle drei Jahre erneut.

Fazit: Auch wenn das deutsche Umsetzungsgesetz noch nicht gilt, sollten betroffene Unternehmen bereits jetzt mit der Vorbereitung beginnen. Erfahrungsgemäß bleibt nach Inkrafttreten kaum Zeit für Anpassungen, da die meisten Pflichten sofort wirksam werden.

Deutschland und das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG)

In Deutschland wird die NIS2-Richtlinie durch das sogenannte Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) in nationales Recht integriert. Dieses Gesetz baut auf den bestehenden Regelungen des IT-Sicherheitsgesetzes (IT-SiG) auf und erweitert diese um die verschärften Anforderungen der EU. Obwohl das Gesetz wichtige Fortschritte verspricht, wurde es nicht fristgerecht verabschiedet. Das verzögerte Vorgehen hat verschiedene Ursachen:

  1. Regulatorische Komplexität: Die Verschmelzung der NIS2-Vorgaben mit dem IT-SiG erfordert eine umfassende Abstimmung, um Überschneidungen und Lücken zu vermeiden.
  2. Ressourcenprobleme: Sowohl auf staatlicher Seite als auch in den betroffenen Branchen fehlen personelle und finanzielle Kapazitäten für eine schnelle Implementierung.
  3. Neue Branchenanforderungen: Mit der NIS2-Richtlinie werden erstmals Sektoren wie Lebensmittelproduktion und Abfallwirtschaft reguliert, was zusätzliche Anpassungen erforderlich macht.

Die Verzögerung Deutschlands wird zu Druck seitens der EU führen, insbesondere da andere Mitgliedsstaaten bereits Fortschritte erzielt haben. Aktuell läuft ein Vertragsverletzungsverfahren der EU gegen Deutschland aufgrund der nicht fristgerechten Umsetzung der NIS2 in nationales Recht, dass mit hohen Bußgeldern belegt ist. Eine schnelle Nachbesserung ist daher dringend notwendig.

Für die betroffenen Unternehmen ist damit zu rechnen, dass die Umsetzungsfrist aufgrund des Vertragsverletzungsverfahren der EU relativ kurz sein wird. Daher sollten betroffene Unternehmen die Zeit nutzen und bereits eine Standortbestimmung der Informationssicherheit und zur NIS2 Umsetzung durchführen und wichtige Maßnahmen bereits angehen.

Inhalte und Anforderungen der NIS2-Richtlinie

Die NIS2-Richtlinie erweitert den Anwendungsbereich und verschärft die Anforderungen im Vergleich zur ursprünglichen NIS-Richtlinie. Die wichtigsten Inhalte sind:

  1. Erweiterter Anwendungsbereich: Die NIS2-Richtlinie gilt nun für mehr Branchen, darunter:
    • Energieversorgung
    • Gesundheitswesen
    • Lebensmittelproduktion und -versorgung
    • Abfallwirtschaft
    • Öffentliche Verwaltung
  2. Erhöhte Sicherheitsanforderungen: Unternehmen müssen:
    • Umfassende Risikobewertungen durchführen
    • Sicherheitsmaßnahmen wie Netzsegmentierung, Backup-Systeme und regelmäßige Sicherheitsupdates implementieren
    • Mitarbeitende regelmäßig schulen und sensibilisieren
  3. Strengere Meldepflichten:
    • Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, gefolgt von einem detaillierten Bericht binnen 72 Stunden.
  4. Verstärkte Durchsetzungsmechanismen:
    • Nationale Behörden erhalten mehr Kompetenzen zur Überprüfung und Durchsetzung der Vorschriften.
    • Bei Verstößen drohen hohe Bußgelder (bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes).
  5. Förderung der internationalen Zusammenarbeit:
    • Der Informationsaustausch zwischen den Mitgliedsstaaten wird durch Plattformen wie das EU-Cybersicherheitsnetzwerk intensiviert.

Zusammenhang zwischen NIS2, IT-Sicherheitsgesetz und NIS2-Umsetzungsgesetz

Das deutsche IT-Sicherheitsgesetz (IT-SiG) bildet die Grundlage für die nationalen Cybersicherheitsstandards, während das NIS2-Umsetzungsgesetz diese um die Anforderungen der EU-Richtlinie ergänzt. Ziel ist es, ein einheitliches und gleichzeitig strengeres Sicherheitsniveau zu gewährleisten.

Neue Elemente durch das NIS2-UmsG

  1. Breiterer Fokus: Im Gegensatz zum IT-SiG reguliert das NIS2-UmsG eine größere Zahl von Branchen, darunter auch solche, die bislang nicht im Fokus standen.
  2. Erweiterte Meldepflichten: Sicherheitsvorfälle müssen schneller und detaillierter gemeldet werden, was neue Prozesse in Unternehmen erfordert.
  3. Sanktionsmechanismen: Die Einführung von EU-weit harmonisierten Bußgeldern erhöht den Druck auf Unternehmen, die Vorgaben einzuhalten.

Das Zusammenspiel zwischen IT-SiG und NIS2-UmsG sorgt für eine umfassendere Abdeckung und stärkt die internationale Koordination im Bereich Cybersicherheit.

Der BSI NIS2-Check: Unterstützung für Unternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unternehmen ein spezielles Tool, die NIS2-Betroffenheitsprüfung, um zu klären, ob sie unter die Regelungen der NIS2-Richtlinie fallen. Diese Analyse hilft Organisationen, die eigene Betroffenheit anhand der Kriterien der Richtlinie zu bewerten und entsprechende Maßnahmen einzuleiten.

Funktionsweise der NIS2-Betroffenheitsprüfung:

  1. Analyse der Unternehmensdaten: Überprüfen, ob das Unternehmen in einem der relevanten Sektoren tätig ist und welche Rolle es dort einnimmt.
  2. Abgleich mit den NIS2-Kriterien: Bewertung, ob die Unternehmensgröße und die Relevanz der Dienstleistungen für die Gesellschaft die Anwendung der Richtlinie auslösen.
  3. Empfehlungen zur weiteren Umsetzung: Ermittlung konkreter Handlungsschritte, falls das Unternehmen betroffen ist.

Das Tool des BSI unterstützt Unternehmen dabei, frühzeitig ihre Verpflichtungen zu erkennen und sich auf die Einhaltung der Richtlinie vorzubereiten. Weitere Informationen und Zugang zum Tool finden Sie auf der offiziellen Website des BSI: BSI NIS2-Betroffenheitsprüfung.

Die zuständige Aufsichtsbehörden und ihre Befugnisse

Die Überwachung und Durchsetzung der NIS2-Richtlinie in Deutschland erfolgt durch die zuständigen Aufsichtsbehörden, darunter insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Behörden haben erweiterte Kompetenzen, um die Einhaltung der Vorgaben sicherzustellen:

  1. Überprüfung der Compliance: Die Behörden können Audits und Inspektionen bei betroffenen Unternehmen durchführen, um die Einhaltung der Richtlinie zu prüfen.
  2. Anordnung von Maßnahmen: Bei festgestellten Mängeln haben die Behörden das Recht, verbindliche Maßnahmen zur Verbesserung der Cybersicherheit anzuordnen.
  3. Zwangsmaßnahmen: Im Falle von Nichtbefolgung können Unternehmen zur Umsetzung der Maßnahmen gezwungen werden, etwa durch Bußgelder oder gerichtliche Anordnungen.
  4. Koordination auf EU-Ebene: Die nationalen Behörden arbeiten eng mit anderen Mitgliedsstaaten und der EU-Kommission zusammen, um grenzüberschreitende Cyberbedrohungen effektiv zu bekämpfen.

Die Aufsichtsbehörden spielen somit eine Schlüsselrolle bei der Durchsetzung der NIS2-Richtlinie und der Sicherstellung eines einheitlichen Sicherheitsniveaus.

Strafen bei Verstößen gegen die NIS2-Richtlinie

Die NIS2-Richtlinie sieht erhebliche Sanktionen für Unternehmen vor, die ihre Verpflichtungen nicht erfüllen. Diese Sanktionen sind so gestaltet, dass sie Unternehmen zur Einhaltung der Vorgaben motivieren und gleichzeitig abschreckend wirken:

  1. Hohe Bußgelder:
    • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist.
  2. Reputationsschäden:
    • Verstöße können öffentlich gemacht werden, was zu einem erheblichen Verlust des Vertrauens von Kunden und Geschäftspartnern führen kann.
  3. Haftung der Geschäftsführung:
    • In schweren Fällen können auch Mitglieder der Geschäftsführung persönlich zur Verantwortung gezogen werden.
  4. Betriebsunterbrechungen:
    • Bei wiederholten oder schweren Verstößen können Behörden den Betrieb eines Unternehmens teilweise oder vollständig einschränken.

Die strengen Sanktionsmöglichkeiten unterstreichen die Bedeutung der NIS2-Richtlinie und machen deutlich, dass Cybersicherheit ein zentraler Bestandteil der Unternehmensführung sein muss.

Umsetzung der NIS2-Richtlinie mit einem ISMS nach ISO 27001 oder BSI IT-Grundschutz

Ein effektiver Weg, die Anforderungen der NIS2-Richtlinie zu erfüllen, ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder dem BSI IT-Grundschutz. Beide Standards bieten bewährte Methoden und Werkzeuge, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu minimieren.

Vorteile eines ISMS nach ISO 27001 oder BSI IT-Grundschutz:

  1. Systematische Risikobewertung: Ein ISMS ermöglicht eine strukturierte Analyse und Bewertung von Sicherheitsrisiken, die Unternehmen helfen, geeignete Maßnahmen zu priorisieren.
  2. Flexibilität: Die Standards können individuell an die Größe und Branche des Unternehmens angepasst werden.
  3. Compliance: Durch die Umsetzung eines ISMS erfüllen Unternehmen automatisch viele der von der NIS2-Richtlinie geforderten Sicherheitsmaßnahmen.
  4. Kontinuierliche Verbesserung: Beide Standards setzen auf einen kontinuierlichen Verbesserungsprozess (Plan-Do-Check-Act), der sicherstellt, dass Sicherheitsmaßnahmen regelmäßig überprüft und aktualisiert werden.
  5. Nachweisbare Sicherheit: Die Zertifizierung nach ISO 27001 oder die Umsetzung des BSI IT-Grundschutzes bietet Behörden und Geschäftspartnern eine transparente Bestätigung der Sicherheitsmaßnahmen.

Praxisbeispiel: Integration in die NIS2-Compliance

Die ISO/IEC 27002:2022 umfasst 93 Controls, die nahezu alle Anforderungen der NIS2-Richtlinie abdecken. Diese Controls bieten eine systematische Basis, um Cybersicherheitsmaßnahmen umzusetzen, müssen jedoch an die spezifischen Vorgaben der NIS2 angepasst werden. Ein zentrales Beispiel ist der Security Incident Prozess, der so ausgestaltet sein muss, dass die Meldefristen der NIS2 eingehalten werden:

  • 24-Stunden-Regel: Erste Meldung eines Sicherheitsvorfalls.
  • 72-Stunden-Regel: Detaillierter Bericht mit Maßnahmen und Auswirkungen.

Die ISO-Controls helfen dabei, diese Prozesse zu standardisieren und effizient zu gestalten. Beispielsweise fordern die Controls Richtlinien für das Management von Vorfällen, die klare Zuständigkeiten und Eskalationswege definieren.

Unternehmen können so nicht nur die NIS2-Vorgaben erfüllen, sondern auch ihre Cybersicherheitsmaßnahmen strategisch verbessern und langfristig optimieren.

Fazit und Ausblick

Die NIS2-Richtlinie ist ein entscheidender Schritt, um die Cybersicherheitslandschaft in Europa zu stärken und widerstandsfähiger gegen Bedrohungen zu machen. Mit der Frist im Oktober 2024 stehen die Mitgliedsstaaten unter Druck, die Vorgaben schnell und umfassend umzusetzen. Deutschland muss in den kommenden Monaten erheblich nachbessern, um nicht nur den Anforderungen der EU zu genügen, sondern auch die eigene Cybersicherheitsstrategie zu stärken.

Unternehmen sollten die Zeit nutzen, um ihre eigenen Sicherheitsmaßnahmen zu evaluieren und anzupassen. Der Fokus sollte auf der Erfüllung der Meldepflichten, der Umsetzung technischer Sicherheitsmaßnahmen und der Mitarbeiterschulung liegen. Nur durch eine konsequente Umsetzung können die Ziele der NIS2-Richtlinie erreicht und Sanktionen vermieden werden.

Die kommenden Monate werden entscheidend sein, um die Cybersicherheitsinfrastruktur in Deutschland und Europa nachhaltig zu stärken.

Wichtige Änderungen der GoBD und deren Auswirkungen auf Unternehmen

Am 1. April 2024 treten wesentliche Änderungen der Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) in Kraft. Diese Aktualisierungen sind das Ergebnis neuer gesetzlicher Anforderungen, einschließlich der Umsetzung der EU-Richtlinie 2021/514 und der Modernisierung des Steuerverfahrensrechts. In diesem Beitrag erhalten Sie eine Übersicht über die Neuerungen, deren Zweck und die Konsequenzen für Unternehmen.

Was sind die GoBD und warum sind sie wichtig?

Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) stellen einen zentralen Standard für die digitale Buchführung und Aufbewahrung steuerrelevanter Unterlagen dar. Sie geben vor, wie Unternehmen steuerlich relevante Daten ordnungsgemäß erstellen, speichern und der Finanzbehörde bereitstellen müssen. Ziel ist es, die Transparenz und Nachvollziehbarkeit der Buchführung zu gewährleisten und eine einheitliche Grundlage für Steuerprüfungen zu schaffen.

Die Inhalte der GoBD sind im Überblick

  1. Ordnungsmäßigkeit der Buchführung: Die Buchführung muss klar, nachvollziehbar und manipulationssicher sein.
  2. Aufbewahrungspflichten: Alle steuerlich relevanten Unterlagen sind für eine vorgeschriebene Dauer aufzubewahren.
  3. Elektronische Archivierung: Digitale Unterlagen müssen in einem unveränderbaren Format archiviert werden.
  4. Datenzugriffsrechte der Finanzbehörde: Unternehmen müssen der Finanzbehörde im Rahmen von Steuerprüfungen Zugriff auf steuerlich relevante Daten gewähren.
  5. Technische Anforderungen: Buchführungssysteme müssen die maschinelle Auswertbarkeit der Daten sicherstellen.
  6. Verfahrensdokumentation: Unternehmen müssen eine vollständige und nachvollziehbare Verfahrensdokumentation vorlegen können, die den gesamten Prozess der Datenerstellung, -verarbeitung und -archivierung beschreibt.

Die GoBD gelten für alle Unternehmen, die steuerlich relevante Daten elektronisch verarbeiten, und bilden die Grundlage für den rechtssicheren Umgang mit digitalen Aufzeichnungen.

Folgen bei Nichtbeachtung der GoBD

Die Nichtbeachtung der GoBD kann schwerwiegende Konsequenzen für Unternehmen haben:

  1. Schätzung der Besteuerungsgrundlagen: Fehlen ordnungsgemäße Aufzeichnungen, kann die Finanzbehörde die Steuergrundlagen schätzen, was oft zu höheren Steuerlasten führt.
  2. Rechtliche Sanktionen: Verstöße gegen die GoBD können Bußgelder oder andere rechtliche Konsequenzen nach sich ziehen.
  3. Vertrauensverlust: Eine mangelhafte Buchführung kann das Vertrauen von Geschäftspartnern und Investoren beeinträchtigen.
  4. Erschwerte Steuerprüfungen: Ohne korrekte und strukturierte Daten kann eine Steuerprüfung erheblich komplizierter und zeitaufwändiger werden.

Änderungen in den GoBD 2024

Die Änderungen umfassen sowohl inhaltliche als auch technische Anpassungen:

  1. Neue Begrifflichkeiten: Der Begriff „Finanzverwaltung“ wurde durch „Finanzbehörde“ ersetzt, um die Terminologie zu vereinheitlichen.
  2. Erweiterte Anforderungen an die Datenüberlassung:
    • Steuerpflichtige müssen steuerlich relevante Daten maschinell auswertbar bereitstellen.
    • Die Bereitstellung erfolgt über digitale Schnittstellen oder Plattformen.
    • Technische Vorgaben, wie XML-basierte Standards, müssen eingehalten werden.
  3. Berücksichtigung von Kleinunternehmen:
    • Kleinunternehmen mit geringem Jahresumsatz (unter der Grenze des § 19 Absatz 1 UStG) profitieren von vereinfachten Anforderungen.
  4. Neue Datenstrukturen:
    • Zusätzliche Felder wie „Kontoart“ und „Kontotyp“ wurden eingeführt, um Buchhaltungsdaten detaillierter zu klassifizieren.
  5. Technische Neuerungen:
    • Veraltete Formate wie EBCDIC und Lotus 123 werden ab 2025 nicht mehr unterstützt.
    • Moderne Formate wie Excel (xlsx) und Access (accdb) rücken in den Fokus.
  6. Präzisierte Datenzugriffsrechte:
    • Der Zugriff der Finanzbehörde auf Daten ist auf den Rahmen der Außenprüfung beschränkt.
  7. Regeln für die Verlagerung ins Ausland:
    • Papierbelege dürfen an den Standort der elektronischen Buchhaltung verlagert werden, sofern sie digital erfasst werden.

Maßnahmen für Unternehmen

Um die neuen Anforderungen zu erfüllen, sollten Unternehmen folgende Schritte unternehmen:

  1. Systemüberprüfung:
    • Stellen Sie sicher, dass Ihre Buchhaltungs- und IT-Systeme die geänderten Vorgaben erfüllen.
    • Prüfen Sie, ob alle relevanten Datenformate maschinell lesbar sind.
  2. Softwareaktualisierung:
    • Kontaktieren Sie Ihre Softwareanbieter, um notwendige Updates durchzuführen.
    • Lassen Sie Schnittstellen für die Datenübertragung einrichten.
  3. Mitarbeiterschulungen
    • Schulen Sie Ihr Team zu den neuen Anforderungen.
    • Stellen Sie sicher, dass alle Mitarbeitenden die Bedeutung einer ordnungsgemäßen Dokumentation verstehen.
  4. Dokumentationsänderungen
    • Überarbeiten Sie bestehende Prozesse und Standards.
    • Achten Sie auf revisionssichere Aufbewahrung aller steuerlich relevanten Unterlagen.
  5. Beratung durch Experten
    • Ziehen Sie Steuerberater oder IT-Experten hinzu, um die Umstellung professionell zu begleiten.

Fazit

Die neuen Regelungen der GoBD bieten die Gelegenheit, Ihre Buchhaltungsprozesse zu optimieren und zukunftssicher aufzustellen. Nutzen Sie die Zeit bis zum Inkrafttreten, um sich auf die Änderungen vorzubereiten. Eine frühzeitige Umsetzung schützt vor Problemen bei Steuerprüfungen und sichert die Ordnungsmäßigkeit Ihrer Buchführung.

Haben Sie noch Fragen? Unser Team unterstützt Sie gerne bei der Umsetzung der neuen Vorgaben.

Novellierung der MaRisk: Rundschreiben 06/2024 (BA) Mindestanforderungen an das Risikomanagement – MaRisk

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind ein wesentlicher Bestandteil der regulatorischen Rahmenbedingungen für Banken und Finanzdienstleister in Deutschland. Das Rundschreiben 06/2024 (BA) stellt die jüngste Novellierung dieser Anforderungen dar, die darauf abzielt, die Stabilität und Integrität des Finanzsystems zu stärken. Diese Aktualisierung berücksichtigt die sich wandelnden Risiken und Herausforderungen im Finanzsektor, einschließlich technologischer Fortschritte und veränderter Marktdynamiken. In diesem Artikel werden die wichtigsten Änderungen und ihre Auswirkungen auf die Praxis des Risikomanagements beleuchtet.

Hintergrund und Notwendigkeit der Novellierung

Die Finanzkrise von 2008 und die nachfolgenden wirtschaftlichen Turbulenzen haben die Bedeutung eines robusten Risikomanagements hervorgehoben. Die MaRisk, die erstmals 2005 veröffentlicht wurden, bieten einen umfassenden Rahmen für das Risikomanagement in Banken und Finanzinstituten. Sie wurden mehrfach angepasst, um den sich ändernden Bedingungen gerecht zu werden. Die jüngste Novellierung im Jahr 2024 ist eine Reaktion auf die zunehmende Komplexität der Finanzmärkte, die Digitalisierung und die neuen Risiken, die sich daraus ergeben.

Wichtige Änderungen im Rundschreiben 06/2024 (BA) im Überblick

  1. Erweiterte Anforderungen an die IT-Sicherheit und das Cyber-Risikomanagement
    Die Digitalisierung des Finanzsektors bringt erhebliche Chancen, aber auch Risiken mit sich. Das Rundschreiben 06/2024 betont die Notwendigkeit eines umfassenden Cyber-Risikomanagements. Banken müssen nun verstärkte Maßnahmen zur Abwehr von Cyberangriffen implementieren und sicherstellen, dass ihre IT-Infrastrukturen gegen Bedrohungen geschützt sind. Dies umfasst regelmäßige Sicherheitsüberprüfungen, die Schulung des Personals im Umgang mit Cyberrisiken und die Implementierung von Notfallplänen für den Fall eines Cyberangriffs.
  2. Stärkung des Nachhaltigkeitsmanagements
    Nachhaltigkeit und Umwelt, Soziales und Governance (ESG) gewinnen in der Finanzbranche zunehmend an Bedeutung. Die MaRisk-Novellierung integriert nun explizite Anforderungen an das Nachhaltigkeitsmanagement. Banken müssen Nachhaltigkeitsrisiken in ihre Risikobewertungen einbeziehen und sicherstellen, dass ihre Geschäftsstrategien mit den ESG-Zielen übereinstimmen. Dies umfasst die Berücksichtigung von Klimarisiken und deren potenziellen Auswirkungen auf das Kreditportfolio und die Geschäftstätigkeit insgesamt.
  3. Verbesserte Governance und interne Kontrollsysteme
    Ein weiterer Schwerpunkt der Novellierung liegt auf der Stärkung der Governance-Strukturen und internen Kontrollsysteme. Banken müssen sicherstellen, dass ihre internen Prozesse und Strukturen den erhöhten regulatorischen Anforderungen entsprechen. Dazu gehören verbesserte Mechanismen zur Überwachung und Kontrolle von Risiken, die Etablierung unabhängiger Risikokontrollfunktionen und die regelmäßige Überprüfung der Effektivität dieser Systeme.
  4. Erhöhung der Transparenz und Berichterstattungspflichten
    Transparenz ist ein zentrales Element eines effektiven Risikomanagements. Das Rundschreiben 06/2024 fordert von den Banken eine erhöhte Transparenz hinsichtlich ihrer Risikopositionen und -strategien. Dies beinhaltet erweiterte Berichterstattungspflichten gegenüber Aufsichtsbehörden und der Öffentlichkeit. Banken müssen detaillierte Berichte über ihre Risikomanagementpraktiken, die Identifizierung und Bewertung von Risiken sowie die Maßnahmen zur Risikominderung vorlegen.
  5. Förderung der Risikokultur
    Eine starke Risikokultur ist entscheidend für die Wirksamkeit des Risikomanagements. Die Novellierung betont die Notwendigkeit, eine Kultur des Risikobewusstseins innerhalb der Organisation zu fördern. Dies umfasst die Verantwortung des Managements, ein Umfeld zu schaffen, in dem Risiken offen kommuniziert und angemessen gehandhabt werden. Mitarbeiterschulungen und regelmäßige Sensibilisierungsmaßnahmen sind hierbei von großer Bedeutung.

Änderungen im Detail

Hier ist eine vollständige Übersicht aller Änderungen in der MaRisk-Version 06/2024 im Vergleich zur Version 05/2023, sortiert nach den jeweiligen Kapiteln:

AT 1 Vorbemerkung
  • Neuer Absatz: Ergänzung präziser Vorgaben zur Einhaltung des Risikomanagements nach § 25a und § 25b KWG.
AT 2 Anwendungsbereich
  • Erweiterung des Anwenderkreises: Präzisierte und erweiterte Definition des Anwenderkreises, um eine breitere Gruppe von Instituten und deren spezifische Risiken und Geschäfte zu erfassen.
AT 3 Gesamtverantwortung der Geschäftsleitung
  • Erweiterung der Verantwortlichkeiten: Spezifische Verantwortlichkeiten und Verpflichtungen der Geschäftsleitung wurden erweitert, insbesondere hinsichtlich der Überwachung und Steuerung von Risikomanagementprozessen.
AT 4 Allgemeine Anforderungen an das Risikomanagement
  • AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten: Zusätzliche Anforderungen an die Datenqualität und das Datenmanagement, um eine verbesserte Aggregation von Risikodaten zu gewährleisten.
  • AT 4.3.5 Verwendung von Modellen: Einführung neuer Anforderungen zur Validierung und Dokumentation von Modellen.
  • AT 4.4 Besondere Funktionen: Erweiterte und präzisierte Definition der Aufgaben und Verantwortlichkeiten der Risikocontrolling-Funktion, Compliance-Funktion und Internen Revision.
AT 5 Organisationsrichtlinien
  • Klarstellungen und Erweiterungen: Zusätzliche Anforderungen an die Dokumentation und Umsetzung von Organisationsrichtlinien.
AT 6 Dokumentation
  • Erweiterung der Dokumentationspflichten: Erhöhte Anforderungen an die Dokumentation, um eine konsistentere und umfassendere Erfassung und Nachverfolgbarkeit von Entscheidungen und Prozessen sicherzustellen.
AT 7 Ressourcen
  • AT 7.1 Personal: Einführung neuer Anforderungen an die Qualifikation und Schulung des Personals.
  • AT 7.2 Technisch-organisatorische Ausstattung: Neue Bestimmungen zur Nutzung von IT-Systemen und deren Sicherung sowie zur technischen Ausstattung für das Risikomanagement.
  • AT 7.3 Notfallmanagement: Präzisierungen und Erweiterungen zur Notfallplanung und -bewältigung.
AT 8 Anpassungsprozesse
  • AT 8.1 Neu-Produkt-Prozess: Zusätzliche Vorgaben zur Risikobewertung neuer Produkte und zur Einbindung der Compliance-Funktion in den Prozess.
  • AT 8.3 Übernahmen und Fusionen: Erweiterung um detailliertere Anforderungen an die Risikoanalyse und Integration von übernommenen Einheiten.
AT 9 Auslagerung
  • Erweiterte Anforderungen: Verschärfte Anforderungen an die Auslagerung von Prozessen und Dienstleistungen, um sicherzustellen, dass ausgelagerte Aktivitäten den hohen Standards des Risikomanagements entsprechen.
BTR 3 Liquiditätsrisiken
  • Zusätzliche Anforderungen für kapitalmarktorientierte Institute: Einführung neuer Berichterstattungspflichten und spezifischer Anforderungen an die Liquiditätsrisiken kapitalmarktorientierter Institute.
BT 1 Besondere Anforderungen an das interne Kontrollsystem
  • BT 1.2.3 Kreditbearbeitungskontrolle: Ergänzungen zu den Kontrollen bei der Kreditbearbeitung und deren Dokumentation.
BT 2 Besondere Anforderungen an die Ausgestaltung der Internen Revision
  • BT 2.4 Berichtspflicht: Neue Anforderungen an die Frequenz und den Umfang der Berichterstattung der Internen Revision.
BT 3 Anforderungen an die Risikoberichterstattung
  • BT 3.1 Allgemeine Anforderungen an die Risikoberichte: Präzisierungen zu den Inhalten und der Struktur der Risikoberichte.
  • BT 3.2 Berichte der Risikocontrolling-Funktion: Erweiterte Anforderungen zur regelmäßigen Berichterstattung und Einbindung der Ergebnisse in die strategische Planung.

Fazit

Die Novellierung der MaRisk durch das Rundschreiben 06/2024 (BA) stellt einen wichtigen Schritt zur Anpassung des regulatorischen Rahmens an die aktuellen Herausforderungen und Entwicklungen im Finanzsektor dar. Durch die verstärkte Fokussierung auf IT-Sicherheit, Nachhaltigkeit, Governance und Transparenz sollen die Stabilität und Integrität des Finanzsystems gestärkt werden. Banken und Finanzdienstleister sind nun gefordert, diese Anforderungen in ihre Risikomanagementpraktiken zu integrieren und dadurch nicht nur den regulatorischen Vorgaben gerecht zu werden, sondern auch ihre langfristige Widerstandsfähigkeit zu erhöhen.

DORA – EU Digital Operational Resilience Act – ein Überblick

Entstehung und Ziele des DORA – EU Digital Operational Resilience Act

Der EU Digital Operational Resilience Act, kurz DORA, wurde als Antwort auf die wachsenden Herausforderungen im Bereich der Cybersecurity und digitalen Resilienz entwickelt. In einer Zeit, in der die Finanzbranche immer stärker von digitalen Technologien abhängig ist, wurde es notwendig, ein umfassendes Regelwerk zu schaffen, um die Stabilität und Sicherheit des europäischen Finanzsystems zu gewährleisten.

Die Ziele von DORA sind vielfältig:

  • Verbesserung der Cybersecurity: DORA hat zum Ziel, die digitale Resilienz von Finanzinstituten und kritischen Dienstleistern zu stärken, indem es strengere Sicherheitsstandards einführt. Dies soll dazu beitragen, Cyberangriffe zu verhindern oder besser darauf reagieren zu können.
  • Erhöhung der Transparenz: Das Gesetz fördert die Zusammenarbeit zwischen Finanzinstituten und Aufsichtsbehörden und erhöht die Transparenz in Bezug auf Cybersecurity-Vorfälle. Dies ermöglicht eine schnellere Reaktion auf Bedrohungen.
  • Gewährleistung der Kontinuität: DORA zielt darauf ab, die Kontinuität von kritischen Dienstleistungen im Finanzsektor sicherzustellen, selbst bei schwerwiegenden digitalen Störungen.

Anwendungsbereich des DORA

DORA erstreckt sich auf eine breite Palette von Unternehmen im Finanzsektor. Dazu gehören:

  • Finanzinstitute: Dies umfasst Banken, Versicherungsgesellschaften, Kreditinstitute und andere Finanzdienstleister.
  • Kritische Dienstleister: Unternehmen, die als entscheidend für das Funktionieren des Finanzsystems gelten, wie z. B. Clearingstellen, Wertpapierverwahrstellen und Zentralverwahrer.
  • Digitale Dienstleister: Dazu gehören Unternehmen, die digitale Dienstleistungen für Finanzinstitute oder kritische Dienstleister erbringen.

Der Anwendungsbereich von DORA ist breit gefasst, um sicherzustellen, dass die gesamte Branche die erforderlichen Maßnahmen zur Stärkung der digitalen Resilienz ergreift.

Inhalte im Überblick

Der EU Digital Operational Resilience Act (DORA) legt eine umfassende Reihe von Anforderungen und Vorschriften fest, die darauf abzielen, die digitale Resilienz im Finanzsektor zu stärken und die Risiken von Cyberangriffen und digitalen Störungen zu minimieren. Hier sind die Hauptpunkte des DORA im Überblick:

  • Cybersecurity-Anforderungen: Finanzinstitute, kritische Dienstleister und digitale Dienstleister müssen robuste Cybersecurity-Maßnahmen implementieren. Dies umfasst die Notwendigkeit, effektive Schutzmaßnahmen zu entwickeln, Schwachstellen zu identifizieren und Gegenmaßnahmen zu ergreifen, um Cyberangriffe zu verhindern oder zu begrenzen.
  • Meldung von Vorfällen: DORA legt klare Richtlinien für die Meldung von Cybersecurity-Vorfällen fest. Unternehmen sind verpflichtet, Vorfälle den zuständigen Behörden zu melden und alle relevanten Informationen bereitzustellen. Dies ermöglicht eine schnellere Reaktion und koordinierte Maßnahmen.
  • Mindeststandards für IT-Sicherheit: Der Akt definiert Mindeststandards für die IT-Sicherheit, die von Finanzinstituten und kritischen Dienstleistern erfüllt werden müssen. Dazu gehören regelmäßige Sicherheitsprüfungen, Risikobewertungen und die Implementierung von Notfallplänen zur Wiederherstellung der Dienstleistungen nach digitalen Störungen.
  • Prüfungen und Sanktionen: DORA führt Mechanismen zur Überprüfung der Einhaltung dieser Vorschriften ein. Aufsichtsbehörden sind berechtigt, Prüfungen durchzuführen, um sicherzustellen, dass Unternehmen die erforderlichen Standards erfüllen. Bei Verstößen gegen die Bestimmungen des DORA-Gesetzes können erhebliche Geldstrafen verhängt werden.

Handlungsbedarf für Unternehmen

Die Einführung des DORA-Gesetzes erfordert von Unternehmen im Finanzsektor einen aktiven Handlungsbedarf, um die neuen Anforderungen zu erfüllen und die digitale Resilienz zu stärken. Hier sind einige wichtige Schritte, die Unternehmen unternehmen müssen:

  • Cybersecurity-Maßnahmen verbessern: Unternehmen müssen ihre Cybersecurity-Strategien und -Maßnahmen überprüfen und gegebenenfalls aktualisieren. Dies kann die Implementierung fortschrittlicher Sicherheitstechnologien, die Schulung des Personals in Bezug auf Sicherheitsbewusstsein und die Entwicklung eines umfassenden Sicherheitskonzepts umfassen.
  • Meldung und Reaktionsfähigkeit stärken: Es ist entscheidend, klare Verfahren zur Meldung von Cybersecurity-Vorfällen und zur schnellen Reaktion auf Bedrohungen zu entwickeln. Dies beinhaltet die Schulung von Mitarbeitern, um verdächtige Aktivitäten zu erkennen und die Meldung von Vorfällen zu erleichtern.
  • Compliance-Programme etablieren: Unternehmen müssen Compliance-Programme einführen, die sicherstellen, dass sie den gesetzlichen Anforderungen des DORA entsprechen. Dies umfasst die regelmäßige Überprüfung der Sicherheitsmaßnahmen und die Dokumentation von Maßnahmen zur Einhaltung der Vorschriften.
  • Sensibilisierung und Schulung: Die Sensibilisierung der Mitarbeiter für Cybersecurity ist von entscheidender Bedeutung. Schulungen und Schulungsprogramme sollten entwickelt werden, um das Bewusstsein für Sicherheitsrisiken zu stärken und die Mitarbeiter in die Lage zu versetzen, sicherheitsrelevante Aufgaben effektiv auszuführen.

Die Umsetzung dieser Maßnahmen erfordert eine umfassende Anstrengung von Unternehmen, um die digitale Resilienz im Finanzsektor zu stärken und die Sicherheit und Stabilität des europäischen Finanzsystems zu gewährleisten. Die Zusammenarbeit mit Aufsichtsbehörden und die kontinuierliche Überwachung der sich entwickelnden Bedrohungslandschaft sind ebenfalls entscheidend, um den Anforderungen des DORA gerecht zu werden.

Der ISA [DE] 315 (2019 revised) ist für den Prüfungszeitraum 2023 anzuwenden – was ändert sich?

Die Finanzberichterstattungsrahmen und die Governance-Strukturen werden immer komplexer, und die Technologie spielt eine zunehmend wichtige Rolle in der Kontrollumgebung von Unternehmen. Diese Veränderungen erfordern einen umfassenderen und konsequenten Prozess zur Identifikation und Bewertung von Risiken.

Wirtschaftsprüfer/innen spielen bei der Sicherstellung von Qualität und Vertrauen in die Finanzberichterstattung von Unternehmen eine entscheidende Rolle. Ein zentraler Aspekt der Jahresabschlussprüfung besteht darin, ausreichende Prüfungshandlungen durchzuführen, um geeignete Prüfnachweise und Prüfungssicherheit zu erhalten und die Risiken wesentlicher Fehlern und Falschdarstellungen in der Rechnungslegung einschätzen bzw. ausschließen zu können.

Das International Auditing and Assurance Standards Board (“IAASB”) hat eine überarbeitete, internationale Version des Prüfungsstandards ISA 315 im Dezember 2019 herausgegeben. Der deutsche Standard ISA [DE] 315 (2019 revised) wurde durch das Institut der Wirtschaftsprüfer (IDW) überarbeitet und in Heft 6/2022 der IDW Life veröffentlicht.

Was ist das Ziel des neuen Standards?

Die Überarbeitung der ISA 315 zielte darauf ab, einen systematischeren Prozess der Identifikation und Bewertung von Risiken zu fördern, was wiederum zu besseren Reaktionen auf die identifizierten Risiken führt und die Prüfungshandlungen des Wirtschaftsprüfers auf die Behandlung und Bewertung dieser Risiken fokussiert. Der bisherige Standard berücksichtigte zudem nicht den Einsatz von automatisierten Tools und Techniken und führt spezifische Leitlinien zur Verwendung automatisierter Tools und Techniken durch Wirtschaftsprüfer ein.

Der neue Standard zielt darauf ab:

  • Die Herangehensweise der Wirtschaftsprüfer an das Verständnis des Unternehmens, des Geschäftsmodells, der Branche und des Umfeld sowie der Aktivitäten zum internen Risikomanagement und Überwachung des IKS zu schärfen und bei der Risikoidentifikation und -bewertung zu berücksichtigen.
  • Den Standard flexibler zu gestalten, indem prinzipienbasierte Anforderungen überarbeitet und spezifische Überlegungen sowie Beispiele in den Anwendungshinweisen für weniger komplexe und komplexere Unternehmen aufgenommen werden und diesen auch für KMUs anwendbar zu machen.
  • Die Anwendung des Standards durch Wirtschaftsprüfer zu unterstützen, indem die Anwendungshinweise verbessert werden.

Der überarbeitete Standard gilt für Perioden, die am oder nach dem 15. Dezember 2021 beginnen.

Hauptänderungen

  • Zahlreiche Begriff werden neu eingeführt bzw. im Vergleich zum IDW PS 330 synonym neu definiert. Dazu gehören beispielsweise “bedeutende Arten von Geschäftsvorfällen, Kontensalden sowie Abschlussangaben (EN: “SCOTABD – Significant classes of transactions, account balances or disclosures”), “Risiken, die aus dem Einsatz von IT resultieren” (EN: “RAIT – Risks arising from the use of IT”) oder auch “Kontrollaktivitäten über Journalbuchungen” (EN: “JEC – Journal Entry Controls”), um nur einige zu nennen.
  • Eine verstärkte Betonung der professionellen Skepsis. Insbesondere wird verlangt, alle aus den Risikobewertungsverfahren gewonnenen Beweise, ob bestätigend oder widersprüchlich, zu berücksichtigen und zu bewerten, ob diese eine angemessene Grundlage für die Risikobewertung bieten. Die Dokumentation kann dabei auch die Art und Weise enthalten, wie der Wirtschaftsprüfer die Beweise bewertet hat.
  • Einführung eines neuen Spektrums von Risiken, bei denen sich am oberen Ende erhebliche Risiken befinden. Dies soll dazu führen, dass gezielter auf identifizierte Risiken reagiert wird.
  • Die separate Bewertung des inhärenten Risikos und des Kontrollrisikos sowie die Einführung von fünf neuen Faktoren des inhärenten Risikos zur Unterstützung der Risikobewertung: Subjektivität, Komplexität, Unsicherheit, Veränderung und Anfälligkeit für Fehler aufgrund von Management-Bias oder Betrug.
  • Die Erweiterung des Standards um Überlegungen der Wirtschaftsprüfer in Bezug auf IT, einschließlich neuer und aktualisierter Anhänge zur Verständnis der IT und der IT-allgemeinen Kontrollen. Wirtschaftsprüfer müssen ein Verständnis für Informationsverarbeitungsaktivitäten gewinnen und Risiken identifizieren, die aus der Nutzung von IT resultieren. Der Standard ermöglicht es Wirtschaftsprüfern, automatisierte Tools zur direkten Informationsbeschaffung oder zum digitalen Download aus den Informationssystemen des Unternehmens zu verwenden.
  • Es wird konkretisiert, welche IT-Systeme (neu: Informationssysteme) und allgemeinen IT-Kontrollen (GITC) und indirekte Kontrollen zu prüfen sind, um die Wirksamkeit von direkten Kontrollen, die auf ein Prüfungsrisiko wirken, zu bewerten.
  • Die Überarbeitung des Begriffs “Interne Kontrolle” zu “System der internen Kontrollen des Unternehmens”. Darunter fallen Kontrollen, die ein erhebliches Risiko ansprechen, Kontrollen über Buchungssätze, Kontrollen, die der Wirtschaftsprüfer auf Wirksamkeit testen möchte sowie andere Kontrollen, die der Wirtschaftsprüfer für angemessen hält. Eine wichtige Aufgabe des Managements besteht darin, ein System der internen Kontrollen zu etablieren und aufrechtzuerhalten. Der Wirtschaftsprüfer muss das Design jeder für die Prüfung relevanten Kontrolle prüfen und sicherstellen, dass sie ordnungsgemäß umgesetzt wurde.

Dieser Standard wird damit zu einer Erhöhung der Qualität der Prüfung durch die Prüfungsteams führen, erhöht jedoch den Anspruch an das Verständnis des Unternehmensumfelds und der Informationsverarbeitungsprozesse und deren Abbildung in den IT-Systemen und des eingerichteten Kontrollsystems.

Kleinere und mittelgroße Kanzleien müssen ihr Vorgehen, insbesondere zu Risikoerfassung, der Reaktion auf diese und die Dokumentation der Prüfungsstrategie anpassen und ihre Prüfungsteams auf die Anwendung der Vorgehensweise nach dem ISA [DE] 315 (2019 revised) schulen.

NIS 2 – Die neue EU-Richtlinie zur Erhöhung der Cybersicherheit

Die Digitalisierung schreitet unaufhaltsam voran und damit auch die Bedrohungen für die Cybersicherheit. Um diesen Herausforderungen zu begegnen, hat die Europäische Union (EU) im Jahr 2016 die erste Richtlinie zur Erhöhung der Cybersicherheit (NIS 1) verabschiedet. Nun steht mit NIS 2 eine neue Richtlinie in den Startlöchern, die noch umfassender und strenger ist.

Entstehung von NIS 2

Die Entstehung von NIS 2 geht auf die Erfahrungen und Erkenntnisse aus der Umsetzung von NIS 1 zurück. Die erste Richtlinie hatte zum Ziel, die Cybersicherheit in kritischen Infrastrukturen wie Energieversorgung, Verkehr oder Gesundheitswesen zu erhöhen. Doch es zeigte sich, dass die Umsetzung in den Mitgliedsstaaten sehr unterschiedlich erfolgte und es an einheitlichen Standards und klaren Zuständigkeiten mangelte.

Daher hat die EU-Kommission im Dezember 2020 den Entwurf für NIS 2 vorgelegt, der nun von den Mitgliedsstaaten diskutiert und umgesetzt werden soll. Die neue Richtlinie soll die Cybersicherheit in allen Bereichen stärken und einheitliche Standards und Zuständigkeiten schaffen.

Inhalte von NIS 2

NIS 2 umfasst eine Vielzahl von Maßnahmen und Regelungen, die auf die Erhöhung der Cybersicherheit abzielen. Dazu gehören unter anderem:

  • Erweiterung des Anwendungsbereichs: NIS 2 soll nicht nur für kritische Infrastrukturen gelten, sondern für alle Unternehmen und Organisationen, die digitale Dienste anbieten oder von ihnen abhängig sind.
  • Verpflichtende Meldung von Sicherheitsvorfällen: Unternehmen und Organisationen müssen Sicherheitsvorfälle, die Auswirkungen auf die Verfügbarkeit, Integrität oder Vertraulichkeit von digitalen Diensten haben, innerhalb von 24 Stunden melden.
  • Erhöhung der Anforderungen an Sicherheitsmaßnahmen: Unternehmen und Organisationen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Cybersicherheit zu gewährleisten. Dazu gehören unter anderem regelmäßige Risikoanalysen, Schulungen der Mitarbeiterinnen und Mitarbeiter und die Umsetzung von Sicherheitsstandards.
  • Schaffung eines EU-weiten Zertifizierungssystems: Unternehmen und Organisationen können sich freiwillig zertifizieren lassen, um ihre Cybersicherheit nachzuweisen. Das Zertifizierungssystem soll EU-weit einheitlich sein und auf internationalen Standards basieren.

Handlungsbedarfe und konkrete Maßnahmen

Die Umsetzung von NIS 2 erfordert von Unternehmen und Organisationen ein hohes Maß an Engagement und Investitionen in die Cybersicherheit. Insbesondere kleine und mittelständische Unternehmen (KMU) stehen vor großen Herausforderungen, da sie oft nicht über die Ressourcen und das Know-how verfügen, um die Anforderungen von NIS 2 umzusetzen.

Um die Anforderungen der NIS-Richtlinie zu erfüllen, sollten KMUs (kleine und mittlere Unternehmen) in der Europäischen Union folgende Maßnahmen ergreifen:

  1. Bewertung der kritischen Infrastruktur: Identifizieren Sie die wesentlichen Netzwerke, Systeme und Dienste, die für den Geschäftsbetrieb Ihres Unternehmens von zentraler Bedeutung sind.
  2. Risikobewertung: Führen Sie eine umfassende Risikobewertung durch, um potenzielle Bedrohungen, Schwachstellen und Risiken zu identifizieren, die Ihre Netzwerk- und Informationssicherheit beeinträchtigen könnten.
  3. Sicherheitsmaßnahmen implementieren: Ergreifen Sie geeignete technische und organisatorische Maßnahmen, um die Sicherheit Ihrer Netzwerke und Informationen zu gewährleisten. Dazu gehören z. B. Firewalls, Antivirus-Software, Verschlüsselung und Zugriffskontrollen.
  4. Incident Response Plan: Entwickeln Sie einen Notfallplan für den Umgang mit Sicherheitsvorfällen. Definieren Sie klare Verfahren zur Erkennung, Meldung, Reaktion und Wiederherstellung im Falle eines Sicherheitsvorfalls.
  5. Sicherheitsbewusstsein schaffen: Sensibilisieren Sie Ihre Mitarbeiter für Netzwerk- und Informationssicherheit. Schulen Sie sie regelmäßig über bewährte Sicherheitspraktiken, Phishing-Erkennung und den sicheren Umgang mit sensiblen Informationen.
  6. Externe Dienstleister überprüfen: Stellen Sie sicher, dass externe Dienstleister, die Zugang zu Ihren Netzwerken oder Informationen haben, angemessene Sicherheitsmaßnahmen implementiert haben.
  7. Datenschutz beachten: Stellen Sie sicher, dass Sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen, da diese eng mit den Anforderungen der NIS-Richtlinie verbunden sind.
  8. Regelmäßige Sicherheitsaudits durchführen: Führen Sie regelmäßig interne oder externe Sicherheitsaudits durch, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen und potenzielle Schwachstellen zu identifizieren.
  9. Vorfallberichterstattung: Stellen Sie sicher, dass Sie Sicherheitsvorfälle den zuständigen Behörden melden, wie in der NIS-Richtlinie vorgeschrieben.
  10. Zusammenarbeit mit CERTs: Arbeiten Sie mit Computer Emergency Response Teams (CERTs) zusammen, um Informationen über Bedrohungen auszutauschen und Unterstützung bei der Bewältigung von Sicherheitsvorfällen zu erhalten.
  11. Aktuelle Software und Patches: Halten Sie Ihre Systeme und Software auf dem neuesten Stand und stellen Sie sicher, dass alle relevanten Sicherheitspatches eingespielt sind.
  12. Backup- und Wiederherstellungsplan: Implementieren Sie regelmäßige Backups Ihrer wichtigen Daten und entwickeln Sie einen Plan zur Wiederherstellung im Falle eines Datenverlusts oder einer Systembeschädigung.
  13. Physische Sicherheit: Berücksichtigen Sie auch physische Sicherheitsmaßnahmen, wie z. B. den Zugang zu Serverräumen, Büros, Technikräumen

Warum ist eine Business Impact Analyse (BIA) unverzichtbar für eine konsistente Notfallplanung?

Eine Business Impact Analyse (BIA) ist ein Prozess, der durchgeführt wird, um die Auswirkungen potenzieller Bedrohungen und Störungen auf den Geschäftsbetrieb eines Unternehmens zu bewerten. Es handelt sich um eine Methode zur Identifizierung kritischer Geschäftsprozesse und Ressourcen sowie zur Bewertung der möglichen finanziellen, operativen und rechtlichen Auswirkungen eines Ausfalls oder einer Unterbrechung. Sie hilft dabei, Risiken zu mindern, die Resilienz des Unternehmens zu stärken und die Geschäftskontinuität sicherzustellen.

Warum sollte eine Business Impact Analyse als durchgeführt werden?

Es gibt mehrere Gründe, warum eine BIA durchgeführt wird:

  1. Risikominderung: Eine BIA ermöglicht es Ihnen, die potenziellen Risiken und Bedrohungen für Ihr Unternehmen zu identifizieren und zu bewerten. Durch die Identifizierung der kritischen Prozesse und Ressourcen können Sie gezielte Maßnahmen ergreifen, um Risiken zu mindern und die Geschäftskontinuität sicherzustellen.
  2. Geschäftskontinuität: Eine BIA hilft Ihnen, sich auf mögliche Störungen oder Ausfälle vorzubereiten, indem Sie die Auswirkungen auf Ihr Unternehmen verstehen. Sie können Maßnahmen ergreifen, um Ihre kritischen Funktionen und Ressourcen zu schützen und einen Notfallplan zu erstellen, der sicherstellt, dass Ihr Unternehmen auch während einer Krise weiterhin funktioniert.
  3. Ressourcenpriorisierung: Eine BIA ermöglicht es Ihnen, Ihre Ressourcen effizienter einzusetzen, indem Sie Prioritäten setzen. Sie können erkennen, welche Geschäftsprozesse und Ressourcen am wichtigsten sind und welche weniger kritisch sind. Dadurch können Sie Ihre Investitionen und Ressourcen auf die Bereiche konzentrieren, die den größten Einfluss auf Ihr Unternehmen haben.

Wie führt man eine Business Impact Analyse durch?

Hier sind die Schritte, die Sie bei der Durchführung einer Business Impact Analyse befolgen können:

  1. Identifizieren Sie Ihre Geschäftsprozesse: Erstellen Sie eine Liste aller wichtigen Geschäftsprozesse und identifizieren Sie diejenigen, die für den Betrieb Ihres Unternehmens am kritischsten sind.
  2. Identifizieren Sie die Auswirkungen: Analysieren Sie, welche Auswirkungen ein Ausfall oder eine Unterbrechung dieser Geschäftsprozesse auf Ihr Unternehmen hätte. Berücksichtigen Sie finanzielle, operative, rechtliche und reputationsbezogene Auswirkungen.
  3. Bestimmen Sie die Wiederherstellungszeiten: Schätzen Sie die Zeit, die benötigt wird, um die einzelnen Geschäftsprozesse wiederherzustellen, falls sie ausfallen. Dies hilft Ihnen, den potenziellen Zeitverlust und die Auswirkungen auf den Geschäftsbetrieb zu verstehen.
  4. Bewerten Sie die Abhängigkeiten: Identifizieren Sie Abhängigkeiten zwischen den Geschäftsprozessen und Ressourcen. Stellen Sie fest, welche Prozesse und Ressourcen voneinander abhängen und wie sich ein Ausfall auf andere Bereiche auswirken könnte.
  5. Priorisieren Sie Ihre Maßnahmen: Basierend auf den Ergebnissen der BIA können Sie Prioritäten setzen und entscheiden, welche Maßnahmen ergriffen werden sollten, um Risiken zu mindern und die Geschäftskontinuität sicherzustellen. Dies kann die Implementierung von Notfallplänen, Sicherheitsmaßnahmen oder Redundanzen beinhalten.
  6. Aktualisieren Sie regelmäßig: Eine BIA ist keine einmalige Aufgabe. Überprüfen Sie Ihre Analysen regelmäßig und aktualisieren Sie sie, um sich ändernden Geschäftsanforderungen und Bedrohungen anzupassen.

Eine Business Impact Analyse erfordert oft die Zusammenarbeit von verschiedenen Abteilungen und Stakeholdern innerhalb des Unternehmens. Es kann auch sinnvoll sein, externe Fachleute einzubeziehen, um eine umfassende und objektive Bewertung zu gewährleisten.

Welche Hilfsmittel und Vorlagen gibt es?

Es gibt verschiedene Vorlagen und Frameworks, die als Leitfaden für die Durchführung einer Business Impact Analyse (BIA) dienen können. Hier sind einige gängige Vorlagen und Frameworks:

  1. Business Impact Analysis Template von der Disaster Recovery Journal (DRJ): Das DRJ bietet ein umfassendes BIA-Template an, das die erforderlichen Schritte und Informationen für die Durchführung einer BIA enthält. Es umfasst Abschnitte zur Identifizierung von Geschäftsprozessen, zur Bewertung von Auswirkungen, zur Priorisierung von Ressourcen und zur Entwicklung von Notfallplänen.
  2. ISO 22301: Die ISO 22301 ist ein internationaler Standard für Business Continuity Management. Der Standard enthält Anforderungen und Leitlinien zur Durchführung einer BIA. Es bietet eine strukturierte Herangehensweise an die Identifizierung von kritischen Geschäftsprozessen, die Bewertung von Auswirkungen und die Entwicklung von Maßnahmen zur Wiederherstellung.
  3. NIST SP 800-34: Das National Institute of Standards and Technology (NIST) hat den Leitfaden SP 800-34 “Contingency Planning Guide for Information Technology Systems” veröffentlicht. Dieser Leitfaden enthält eine Vorlage für eine BIA, die sich speziell auf IT-Systeme konzentriert. Es hilft bei der Identifizierung von kritischen IT-Systemen, der Bewertung von Auswirkungen auf den IT-Betrieb und der Priorisierung von Wiederherstellungsmaßnahmen.
  4. Eigene interne Vorlagen: Viele Unternehmen entwickeln ihre eigenen BIA-Vorlagen, die spezifisch auf ihre Geschäftsprozesse, Branche und Risikoprofile zugeschnitten sind. Diese Vorlagen können Elemente aus verschiedenen Quellen kombinieren und an die spezifischen Anforderungen des Unternehmens angepasst werden.

Es ist wichtig zu beachten, dass eine Vorlage nur ein Ausgangspunkt ist und an die individuellen Anforderungen und Bedürfnisse Ihres Unternehmens angepasst werden sollte. Die Vorlagen dienen als Leitfaden und bieten eine strukturierte Herangehensweise an die BIA, aber die spezifischen Details und Inhalte sollten an Ihre Organisation angepasst werden.

Das BSI IT-Grundschutz Kompendium als Rahmenwerk und Hilfsmittel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Vorlage für die Business Impact Analyse (BIA) im Rahmen des IT-Grundschutz-Kompendiums an. Das IT-Grundschutz-Kompendium ist eine Sammlung von Best Practices und Empfehlungen für die Informationssicherheit, die vom BSI entwickelt wurde.

Die Vorlage für die BIA im IT-Grundschutz-Kompendium enthält verschiedene Abschnitte, die bei der Durchführung einer BIA helfen. Dazu gehören die Identifizierung der kritischen Geschäftsprozesse und Informationen, die Bewertung der Auswirkungen von Störungen oder Ausfällen, die Analyse der Abhängigkeiten zwischen den Prozessen und Informationen sowie die Priorisierung der Wiederherstellungsmaßnahmen.

Die BIA-Vorlage des BSI ist Teil des Moduls “Notfallmanagement” im IT-Grundschutz-Kompendium. Das Kompendium kann kostenlos von der Website des BSI heruntergeladen werden. Es bietet eine umfassende Anleitung zur Durchführung von IT-Grundschutzmaßnahmen, einschließlich der BIA, um die IT-Sicherheit und Geschäftskontinuität zu gewährleisten.

Bitte beachten Sie, dass das IT-Grundschutz-Kompendium hauptsächlich auf die IT-Aspekte fokussiert ist. Wenn Sie eine umfassendere BIA durchführen möchten, die auch nicht-IT-spezifische Aspekte abdeckt, sollten Sie möglicherweise zusätzliche Vorlagen oder Frameworks verwenden oder Ihre eigene Vorlage entwickeln, die auf Ihre spezifischen Anforderungen zugeschnitten ist.