IDW unterstützt mit neuem Knowledge Paper

Schon bis zum 6.3.2026 (!) müssen bzw. mussten sich betroffene Unternehmen nach dem NIS-2-Umsetzungsgesetz beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Das Institut der Wirtschaftsprüfer e.V. (IDW) hat wenige Tage zuvor ein neues Knowledge Paper veröffentlicht, um Unternehmen bei der Stärkung ihrer Cybersicherheit zu unterstützen.

Praxis-Info!

Problemstellung

Das seit dem 6.12.2025 geltende NIS-2-Umsetzungsgesetz erweitert den Anwendungsbereich des BSI-Gesetzes (BSIG) erheblich: Die Zahl der betroffenen Organisationen steigt von bisher rund 4.500 auf etwa 29.500. Damit geraten erstmals auch zahlreiche mittelständische Unternehmen aus unterschiedlichsten Sektoren in den Geltungsbereich.

Lösung

1. Handlungsbedarf im Mittelstand

Umgesetzt wird die Richtlinie vor allem mittels einer Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG). Das BSIG ist Bestandteil des NIS-2-Umsetzungsgesetzes. Mit dem Inkrafttreten des neuen BSIG wird dessen Anwendungsbereich erheblich erweitert. Insbesondere Organisationen, die für die Grundversorgung der Bevölkerung wichtig sind, müssen künftig strengere Regeln zur IT-Sicherheit einhalten. Dazu zählen u.a. entsprechende Meldefristen bei Sicherheitsvorfällen und Maßnahmen zum Schutz der Systeme.

Unternehmen müssen nun zügig klären, ob sie betroffen sind, welche Pflichten gelten und wo sie tätig werden müssen. Dabei unterstützt das IDW Knowledge Paper. Es bietet Unternehmen praxisorientierte Hilfestellungen: von der ersten Betroffenheitsprüfung über die Analyse zentraler Pflichten bis hin zu operativen Handlungsempfehlungen, wie Gap-Analysen, Prozessanpassungen und Mitarbeiterschulungen.

2. Empfehlungen für betroffene Einrichtungen

Unternehmen wird seitens des IDW empfohlen, die NIS2-Betroffenheitsprüfung des BSI zu nutzen. Schritte zur Einhaltung der Anforderungen aus dem NIS-2-Umsetzungsgesetz können u.a. sein:

• Identifizierung und Analyse relevanter Anforderungen und Pflichten sowie die Berücksichtigung branchenspezifischer Besonderheiten;

• Festlegung von Verantwortlichkeiten;

• Analyse und Berücksichtigung von Lieferketten;

• Erhebung des Ist-Zustands im Hinblick auf Cybersicherheitsmaßnahmen;

• individuelle Risikobewertung und Ableitung von Handlungsbedarfen im Sinne einer Gap-Analyse;

• Umsetzung von Risikomanagementmaßnahmen;

• Einrichtung von Meldeprozessen sowie

• Schulung der Mitarbeiter.

Insgesamt gesehen müssen besonders wichtige und wichtige Einrichtungen (zur Abgrenzung siehe im Knowledge Paper, Kapitel 1 „Betroffene Sektoren und Organisationen“, S. 5) zentralen Risikomanagement-, Melde-, Registrierungs-, Überwachungs- und Schulungspflichten sowie Nachweispflichten nachkommen.

3. Maßnahmen im Risikomanagement

Die Pflichten im für Bilanzbuchhalter und Controller besonders wichtigen Risikomanagement sind in § 30 BSIG und § 31 BSIG geregelt. Demnach müssen besonders wichtige und wichtige Einrichtungen Maßnahmen ergreifen, um Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten (§ 30 Abs. 1 BSIG). Hierbei beziehen sich Störungen auf die Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die die Einrichtungen für die Erbringung ihrer Dienste nutzen.

Die Maßnahmen müssen geeignet, verhältnismäßig und wirksam sein und den Stand der Technik einhalten. Sie sind zu dokumentieren. Der Mindestumfang dieser Maßnahmen ist in § 30 Abs. 2 BSIG geregelt und umfasst u.a.:

• Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik;

• Bewältigung von Sicherheitsvorfällen;

• Aufrechterhaltung des Betriebs, wie Backup- Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;

• Sicherheit der Lieferkette;

• Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen;

• Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen;

• grundlegende Schulungen und Sensibilisierungsmaßnahmen;

• Konzepte und Prozesse für den Einsatz von kryptografischen Verfahren;

• Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen (IKT = Informations- und Kommunikationstechnologie);

• Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung.

Hinweis: Zusätzlich gilt für Betreiber kritischer Anlagen die Verpflichtung, Systeme zur Angriffserkennung einzusetzen (§ 31 Abs. 2 BSIG).

Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld

BC 4/2026

BC20260403