powered by Powered by nwb

Top Themen

Teilen:
NIS-2 als Fundament steuerlicher Compliance

Warum die EU-Richtlinie zur Cybersicherheit für Steuerabteilungen so wichtig ist

07.08.25
|
|
|
Lesedauer: 3 Minuten 9 Sekunden
Grauer Hintergrund mit Schriftzug Blog und Portraitbild des Autors. Bild: @tax&bytes

Mit der fortschreitenden Digitalisierung sämtlicher steuerlicher Prozesse – von der Belegverarbeitung bis hin zur elektronischen Meldung an die Finanzverwaltung – sind die Verfügbarkeit, Integrität und Sicherheit steuerrelevanter Daten zu einer Grundvoraussetzung für rechtskonformes Handeln geworden. Vor diesem Hintergrund gewinnt die EU-Richtlinie NIS-2 (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) erheblich an Relevanz für die Steuer-Compliance von Unternehmen.

NIS-2 wurde zwar in erster Linie als Instrument zur Verbesserung der Cybersicherheit konzipiert, wirkt jedoch auch faktisch als infrastrukturelle Voraussetzung für die Erfüllung steuerlicher Pflichten. Denn steuerliche Compliance – sei es im Sinne der GoBD, im Rahmen eines Tax-Compliance-Management-Systems (Tax-CMS) oder bei spezifischen Meldeverpflichtungen wie DAC7, OSS oder zukünftig der E-Rechnungspflicht – ist in der heutigen Unternehmenspraxis vollständig IT-gestützt. Ohne stabile, sichere und belastbare IT-Strukturen können diese Pflichten nicht fristgerecht oder formell ordnungsgemäß erfüllt werden.

📑 Die Pflichten aus NIS-2

Die seit Januar 2023 in Kraft getretene NIS-2-Richtlinie verpflichtet eine breite Gruppe von Unternehmen zur Einführung risikobasierter Maßnahmen zur Sicherung ihrer Netz- und Informationssysteme. Bestandteile der Richtlinie sind insbesondere:

  • die Implementierung technischer und organisatorischer Sicherheitsmaßnahmen (z. B. Zugriffsmanagement, Notfallvorsorge, Systemüberwachung),
  • die Einführung eines strukturierten Vorfallmanagements inklusive Meldepflichten binnen 24 Stunden bei sicherheitsrelevanten Störungen sowie
  • eine verstärkte Haftung der Geschäftsleitung für die Einhaltung dieser Pflichten.

Mit dem deutschen Umsetzungsgesetz, dem NIS2UmsuCG, wird diese Verpflichtung voraussichtlich Anfang 2026 national in Kraft treten. Spätestens jetzt sollten betroffene Unternehmen die erforderlichen Vorbereitungen treffen.

🔐 Steuer-Compliance ist auf funktionsfähige IT-Systeme angewiesen

Die Einhaltung steuerlicher Vorschriften basiert auf digitalen Prozessen, deren Ausfallsicherheit und Integrität durch die NIS-2-Regelungen gestärkt werden. So verlangen beispielsweise die Abgabenordnung und die GoBD explizit die Verfügbarkeit, Vollständigkeit und Nachvollziehbarkeit elektronisch gespeicherter steuerrelevanter Daten über einen Zeitraum von bis zu zehn Jahren. Kommt es zu einem IT-Sicherheitsvorfall – etwa durch Schadsoftware oder unberechtigte Zugriffe –, kann diese Anforderung schnell verletzt sein.

Gleiches gilt für steuerliche Meldepflichten, bei denen Fristen zwingend einzuhalten sind. Ein Ausfall der Buchhaltungssysteme kurz vor Abgabefristen für Umsatzsteuervoranmeldungen, Zusammenfassende Meldungen oder DAC7-Datensätze kann nicht ohne Weiteres kompensiert werden, wenn keine funktionierenden Notfallprozesse etabliert wurden. Daraus ergeben sich nicht nur finanzielle Risiken in Form von Säumnis- oder Verspätungszuschlägen, sondern auch potenzielle Haftungsfolgen bei Pflichtverstößen, insbesondere wenn kein funktionierendes Tax-CMS mit wirksamen Kontrollmaßnahmen nachgewiesen werden kann.

🛡️ NIS-2 als Schutzschild für steuerliche Kernprozesse

Die Anforderungen von NIS-2 decken sich in vielerlei Hinsicht mit den infrastrukturellen Voraussetzungen für steuerliche Compliance. Insbesondere folgende Elemente tragen zur Absicherung steuerlich relevanter Prozesse bei:

  • Business Continuity- und Wiederanlaufpläne, wie sie von NIS-2 verlangt werden, schützen die Fristenwahrung und Datenverfügbarkeit im steuerlichen Bereich.
  • Technische Integritätskontrollen und Protokollierungspflichten ermöglichen den Nachweis der Nachvollziehbarkeit und Unveränderbarkeit steuerrelevanter Vorgänge gemäß den GoBD.
  • Zugriffs- und Berechtigungskonzepte stellen sicher, dass die Prinzipien der Funktionstrennung und des Vier-Augen-Prinzips – zentrale Elemente jedes Tax CMS – auch auf Systemebene verlässlich umgesetzt werden.
  • Strukturiertes Incident Management unterstützt die Fähigkeit, bei sicherheitsrelevanten Vorfällen umgehend zu reagieren, insbesondere wenn steuerlich relevante Daten betroffen sind.

Ein NIS-2-konformes IT-Sicherheitskonzept kann somit als integraler Bestandteil der steuerlichen Compliance-Architektur verstanden werden.

PRAXISBEISPIEL

Cybersecurity als Prüfstein der steuerlichen Leistungsfähigkeit

Ein typisches Szenario verdeutlicht die Wechselwirkungen: Ein mittelständisches Unternehmen wird kurz vor dem Monatswechsel Opfer eines gezielten Cyberangriffs. Die Buchhaltungssysteme sind über mehrere Wochen nicht erreichbar. Dadurch ist die fristgerechte Abgabe der Umsatzsteuervoranmeldung gefährdet, ebenso wie die Aufbereitung von Daten für eine laufende Betriebsprüfung. Ohne klar definierte Notfallprozesse, eine gesicherte Datenreplikation und ein NIS-2-konformes Sicherheitsmanagementsystem besteht nicht nur das Risiko steuerlicher Fristverletzungen, sondern es entsteht auch eine potenzielle Reputations- und Haftungslage gegenüber Behörden und der Geschäftsleitung.

✅ Handlungsempfehlungen für Steuerabteilungen und Berater

Vor diesem Hintergrund ist es ratsam, dass Steuerabteilungen und steuerliche Berater die Umsetzung der NIS 2 nicht allein der IT überlassen, sondern sich aktiv an der Gestaltung und Bewertung beteiligen. Folgende Maßnahmen sind besonders empfehlenswert:

1   Durchführung einer NIS-2-Betroffenheitsanalyse

Zunächst ist zu prüfen, ob das Unternehmen unter die NIS-2-Richtlinie fällt und welche Pflichten sich daraus für steuerrelevante IT-Systeme und -Prozesse ergeben. Insbesondere im Hinblick auf die Geschäftsführerhaftung ist eine adäquate Prüfungsdokumentation zu empfehlen.

2   Identifikation steuerkritischer IT-Systeme und Prozesse

Es ist zu klären, welche Systeme aus steuerlicher Sicht geschäftskritisch sind (z. B. ERP, DMS, Reporting-Tools).

3   Abgleich von GoBD-, Tax-CMS- und NIS-2-Anforderungen

Wo bestehen Überschneidungen? Wo können Synergien genutzt werden?

4   Dokumentation NIS-2-relevanter Ergebnisse in der steuerlichen Verfahrensdokumentation

Erkenntnisse aus der NIS-2-Umsetzung, die steuerlich relevante Systeme und Prozesse betreffen, sollten auch in der Verfahrensdokumentation berücksichtigt werden.

5   Integration in Notfall- und Wiederanlaufpläne

Steuerliche Mindestfunktionen müssen in Business Continuity-Szenarien berücksichtigt werden.

6   Schulung und Sensibilisierung

Auch steuerliches Fachpersonal sollte Grundkenntnisse im IT-Risikomanagement und in der Erstellung von Vorfallmeldungen erhalten.

7   Einbindung in das Reporting

Steuerliche Risiken durch IT-Ausfälle sollten Eingang in unternehmensweite Risikoberichte und die Compliance-Berichterstattung finden.

FAZIT

 👉 NIS-2 betrifft auch die Steuerfunktion – nicht nur die IT

Die NIS-2-Richtlinie wird die Cybersicherheitsarchitektur für zahlreiche mittelständische Unternehmen in Europa neu definieren. Ihre Bedeutung reicht jedoch weit über die IT-Abteilungen der unmittelbar betroffenen Unternehmen hinaus. Insbesondere für die Steuerfunktion ist sie eine notwendige Voraussetzung, um steuerliche Pflichten sowohl in materieller als auch in formeller Hinsicht einzuhalten.

In einer Unternehmenswelt, in der Steuer-Compliance ohne digitale Systeme nicht mehr denkbar ist, wird IT-Sicherheit zur Grundlage regelkonformen steuerlichen Handelns. Steuerberater und Wirtschaftsprüfer sollten daher nicht nur mit den Anforderungen der NIS-2 vertraut sein, sondern ihre Mandanten auch aktiv dabei unterstützen, steuerlich relevante Prozesse in die Cyber-Sicherheitsstrategie zu integrieren.

______________________


✍️ Selbst Lust darauf, Erfahrungen & Wissen zu teilen? Dann gerne hier eintragen:

→ BLOGGER WERDEN

 

 
IM BEITRAG ERWÄHNTE TOOL-KATEGORIEN  
TAX CMS

TAX CMS-Software unterstützt Steuerberater bei der Einhaltung steuerlicher Vorschriften und minimiert Compliance-Risiken.

→ ZUR KATEGORIE

VERFAHRENSDOKUMENTATION

Mit Verfahrensdokumentation-Software erstellen & pflegen Steuerberater gesetzeskonforme GoBD-Dokumentationen effizient & revisionssicher.

→ ZUR KATEGORIE

Weitere Themen

CHANGE & WANDEL STEUERKANZLEI SNEAK
Juvesteuermarkt18.2 Beiträge 1920X1080px
Digitalteam setzt auf Triple-A-Modell

„Wir können einfach nicht mehr auf Papierprozesse setzen“

12.08.25
JUVE Steuermarkt

Die Kanzlei HLB Stückmann hat ihre Prozesse umfassend digitalisiert und verfolgt eine klare Strategie: das Triple-A-Modell. Im Interview berichten Mitglieder des Digitalteams, wie sie E-Signaturen, KI-Tools und interne Schulungen in der Praxis einsetzen.

KI & CHATGPT BEST PRACTISES STEUERKANZLEI BLOG
Bach BLOG 1920X1080px
Von ersten Tests bis zur Akzeptanz

ChatGPT als neuer Co-Worker – wie KI meinen Kanzleialltag verändert hat

11.08.25
Andreas Bach

Ein Steuerberater berichtet, wie er ChatGPT zunächst spielerisch nutzte und dann gezielt in den Kanzleialltag integrierte. Der Beitrag zeigt konkrete Anwendungsfelder, Effizienzgewinne, Strategien zur Mitarbeitereinbindung und datenschutzkonforme Umsetzung.

KI & CHATGPT STEUERABTEILUNG NEWS
Dstv Beiträge2 1920X1080px
Stellungnahme "KI-Strategie anwenden"

DStV zur KI-Strategie der EU-Kommission

08.08.25
Deutscher Steuerberaterverband e.V.

Der DStV hat eine Stellungnahme zur KI-Strategie der EU-Kommission veröffentlicht. Er begrüßt praxisnahe Förderung, mahnt aber Risiken bei Risikobewertungen an und fordert klare Regeln zu Datenschutz und Transparenz.