Wie die NIS2 die Wirtschaftsprüfung ändert
Mit der Einführung der NIS2 Richtlinie ergibt sich eine Reihe von Anforderungen und Besonderheiten bei der Wirtschaftsprüfung, die vielleicht auch für Ihr Unternehmen von hoher Relevanz sind. Insbesondere verschärft die NIS2 Richtlinie der Europäischen Union nicht nur grundsätzlich die Auflagen unter anderem im Bereich der IT Sicherheit, sondern erweitert auch den Kreis der betroffenen Unternehmen. Sie erfahren daher in diesem Blogartikel, worauf Sie bei der Kombination von NIS2 und Wirtschaftsprüfung achten sollten und welche Anforderungen sich daraus für Ihr Unternehmen ergeben.
In welcher Beziehung stehen Wirtschaftsprüfer und Unternehmen?
Jedes Unternehmen muss sich an die entsprechend geltenden Gesetze halten. Genauso muss sich jeder Wirtschaftsprüfer an die für ihn geltenden Gesetze halten. Darüber hinaus ist es jedoch die primäre Aufgabe eines Wirtschaftsprüfers, zu prüfen, ob sich das betroffene Unternehmen an die geltenden Gesetze hält. Dies schließt natürlich typische Bereiche der Wirtschaftsprüfung ein, wie zum Beispiel das Aktiengesetz, GmbH-Gesetz oder die ordnungsgemäße Buchführung. Das heißt, wenn ein Unternehmen gemäß den geltenden Kriterien dazu verpflichtet ist, einen Wirtschaftsprüfer zu beauftragen, wird dieser die genannten Bereiche prüfen und attestieren. Doch wie spielt die NIS2 Richtlinie und vor allem die IT Sicherheit hier mit rein?
Folgen der NIS2 Richtlinie für die Wirtschaftsprüfung
Die NIS2 Richtlinie nennt zuerst einmal, unabhängig von den Kriterien für die Pflicht zur Wirtschaftsprüfung, eigene Kriterien wann ein Unternehmen bzw. eine Organisation von der NIS2 Richtlinie betroffen ist. Sie möchten nähere Informationen, ob Sie von der NIS2 Richtlinie betroffen sind? Das erfahren Sie in diesem Artikel: Sind Sie betroffen? So können schon Unternehmen mit 50 Mitarbeitern oder auch 10 Mio. EUR Jahresumsatz von den Vorgaben der NIS2-Richtlinie betroffen sein.
Es gilt dabei der Grundsatz der Beweislastumkehr. Das heißt, die Unternehmen bzw. Sie als Geschäftsführer selbst sind dazu verpflichtet, nachzuweisen, dass geeignete Maßnahmen ergriffen wurden. Demnach sollte hier ein Wirtschaftsprüfer attestieren, dass passende Maßnahmen im Bereich der IT und IT Sicherheit getroffen wurden. Das wirft jedoch die Frage auf, inwiefern ein Wirtschaftsprüfer, dessen Fachgebiet nun mal die Wirtschaftsprüfung und nicht die IT Sicherheit ist, diese Prüfung vornehmen kann?
Beweislastumkehr im Bereich der IT Sicherheit
Die NIS2 Richtlinie dient im Grundsatz dazu, die kritische Infrastruktur in der Europäischen Union besser zu schützen. Dies ist auf jeden Fall zu befürworten. In der Umsetzung führt das allerdings unweigerlich dazu, dass bessere Maßnahmen von den Unternehmen getroffen werden müssen. Der Gedanke, dass die kritische Infrastruktur mit möglichst geringen Investitionen und möglichst einfachen Mitteln gegen die heutigen extremen Bedrohungen durch Cyberkriminalität geschützt werden kann, ist schlicht nicht mehr zeitgemäß. Daraus ergibt sich aber auch, dass eine simple Prüfung der IT Sicherheit anhand von beispielsweise ein paar Fragen im Rahmen der Wirtschaftsprüfung geprüft werden kann. Dabei spielt es letztlich keine Rolle, ob es sich um eine Prüfung im Rahmen einer standardmäßigen Wirtschaftsprüfung oder einer Wirtschaftsprüfung im Zuge der NIS-2 Richtlinie handelt.
Fazit
Egal ob Risikobewertung in der normalen Wirtschaftsprüfung oder Wirtschaftsprüfung für die NIS-2 Richtlinie: Die Prüfung muss der Komplexität der heutigen Bedrohungslage und damit der Komplexität der IT Sicherheit bzw. der allgemeinen IT Risiken entsprechen. Wir von BRANDMAUER IT empfehlen, daher klar, das Thema IT Sicherheit als Unternehmen mit der gebotenen Ernsthaftigkeit anzugehen. Der Grundsatz der Beweislastumkehr bedeutet dann aber auch, dass Sie einen Wirtschaftsprüfer wählen sollten, der Ihre Bemühungen um die IT Sicherheit auch sachgemäß prüfen und attestieren kann. Aus dem Blickwinkel eines Wirtschaftsprüfers heißt das wiederum, dass Sie sich darum kümmern müssen, diese Expertise eigenständig oder extern zu erwerben, um in der Lage zu sein, die Anforderungen der NIS2 Richtlinie zu attestieren.
BRANDMAUER IT steht hierbei als Ansprechpartner für beide Seiten, sowohl für die Unternehmen als auch für die Wirtschaftsprüfer gerne zur Verfügung, um im gemeinsamen Interesse unsere kritische Infrastruktur und die Unternehmen zu schützen.
Sie möchten kontrollieren, ob ihr Unternehmen die Kriterien der NIS2 Richtlinie erfüllt?
Dann laden Sie sich kostenlos unsere Checkliste hier herunter: Kostenloser Download der NIS2 Checkliste