Archiv

Sie geben die Richtung an, wir sind der Steuermann.

2025

Die NIS-2-Richtlinie der EU - Was jetzt zu tun ist!

24.03.2025

Eine Richtlinie der EU, nämlich die NIS-2-Richtlinie (The Network and Information Security (NIS) Directive) (NIS") schreibt weitreichende IT-Sicherheitsanforderungen an IT-Systeme vor. Die Umsetzung in Deutschland erfolgt mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG), liegt aber wie so vieles derzeit auf Eis. Trotzdem besteht die Notwendigkeit, dass sich Unternehmen schon jetzt mit NIS2 zu beschäftigen. Das deutsche NIS-2UmsuCG sieht keine Übergangsfrist vor: Ab dem Inkrafttreten, also kurz nach der Verabschiedung, wird vollständige Konformität von NIS2-betroffenen Unternehmen gefordert.

Ist Ihr Unternehmen von NIS2 betroffen? Auch wenn Sie davon ausgehen (können), dass dem nicht so ist, weil bei Weitem nicht alle Unternehmen einbezogen sind, reicht das leider nicht aus. Bei der Beurteilung zählen beispielsweise alle Geschäftstätigkeiten mit, sogar die Solaranlage auf dem Dach. Das Bundesamt für Sicherheit in der Informationstechnik hat eine Online-Hilfe zur Betroffenheitsprüfung erstellt: https://betroffenheitspruefung-nis-2.bsi.de/. Diese kann erste Hinweise geben. Bei Unklarheiten kommen Sie gerne auf uns zu.

Betroffene Unternehmen müssen "geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen […] ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit [ihrer] informationstechnischen Systeme, Komponenten und Prozesse […] zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten." Die Begriffe "geeignet" und "verhältnismäßig" weisen schon auf eine Grauzone in der Umsetzung hin. Ein Blick auf die aufgelisteten Mindestmaßnahmen zeigt jedoch, dass die Grauzone letztendlich doch relativ konkret ist:

Notfall-/Krisenmanagement
Schwachstellenmanagement
Multi-Faktor-Authentifizierung
gesicherte Sprach-, Video- und Textkommunikationssysteme
aktiver Cyberschutz (z. B. Systemen zur Angriffserkennung, Netzwerksegmentierung)
Cyberhygiene (z. B. Zero-Trust, Sensibilisierung)

Unternehmen müssen mit ihren IT-Abteilung und/oder ihren IT-Dienstleistern ins Gespräch gehen, um sicherzustellen, dass die NIS2-Anforderungen gegebenenfalls erfüllt werden.

Ihr Ansprechpartner:

Dirk Jagemann
Diplom-Kaufmann, Steuerberater
+49 (0)40 734 420 600 | E-Mail

Die Herausforderungen des Nachhaltigkeitsberichts

29.01.2025

Nach der Corporate Sustainability Reporting Directive (CSRD) haben große Unternehmen über die Berücksichtigung und den Umgang mit sozialen und ökologischen Herausforderungen zu berichten. Ziel der Berichterstattung ist es, eine höhere Transparenz zu schaffen und den Stakeholdern der Unternehmen verlässliche und vergleichbare Nachhaltigkeitsinformationen bereitzustellen, die zur Bewertung der nicht finanziellen Unternehmensleistung beitragen.

Die Anzahl der deutschen Unternehmen, die künftig den europäischen Anforderungen an die Nachhaltigkeitsberichterstattung Rechnung tragen müssen, steigt deutlich an. Die betroffenen Unternehmen müssen durch die neuen Berichtspflichten viele Daten erheben und sie auf Basis der von der Europäischen Kommission erlassenen Standards für die Nachhaltigkeitsberichterstattung offen legen.

Die neue Nachhaltigkeitsberichterstattung, welche verpflichtend Teil des Lageberichts ist und von einem externen Prüfer geprüft werden muss, tritt gestaffelt – abhängig von der Größe beziehungsweise von den Eigenschaften der Unternehmen – in Kraft. Nach der EU-Richtlinie müssen alle großen Kapitalgesellschaften, oder ihnen gleichgestellte Gesellschaften, für die Geschäftsjahre, die am oder nach dem 01.01.2025 beginnen, erstmalig einen Nachhaltigkeitsbericht erstellen. Als groß gelten Unternehmen und Konzerne, die mindestens zwei der folgenden Kriterien erfüllen: Bilanzsumme > EUR 25 Mio / Umsatz > EUR 50 Mio / Mitarbeitende > 250.

In Deutschland liegt derzeit ein Regierungsentwurf zur Umsetzung der CSRD vor, der eine 1:1 Umsetzung der Richtlinie in nationales Recht vorsieht. Nach dem Scheitern der Regierungskoalition ist die Umsetzung jedoch bisher nicht erfolgt. In dem aktuell rechtlich sehr unsicheren Umfeld müssen große Unternehmen dennoch damit rechnen, bereits im Jahr 2026 einen CSRD-Nachhaltigkeitsbericht rückwirkend für das Geschäftsjahr 2025 zu erstellen, sofern das Umsetzungsgesetz nichts Abweichendes regelt. Es empfiehlt sich also, die rechtlichen Entwicklungen im Blick zu behalten und sich als potenziell betroffenes Unternehmen fit für die Nachhaltigkeitsberichterstattung zu machen.