[ NIS2-Cluster, Steuerberater ]

NIS2 für Steuerberater: Klar erklärt.

Sind Steuerberater von NIS2 betroffen? Wann genau? Was kostet die Umsetzung? Hier finden Sie die ehrliche Antwort ohne Bürokratie-Sprech. Speziell für Kanzleien zwischen 10 und 500 Mitarbeitern.

NIS2-Check für Kanzlei Allgemeine NIS2-Beratung
[ 01 / Warum betroffen ]

Lieferketten- Druck ist real.

NIS2 Art. 21(2)(d): Lieferanten-Sicherheit

NIS2-pflichtige Mandanten müssen ihre Lieferanten bewerten und auswählen. Steuerberater sind kritischer Lieferant.

DSGVO Art. 28 AVV

Auftragsverarbeiter müssen technische und organisatorische Maßnahmen nachweisen. Bei NIS2-Mandanten verschärft.

BStBK berufsrechtliche Anforderungen

Datenschutz und IT-Sicherheit sind berufsrechtliche Pflicht. Verletzungen können zu Berufsaufsichts-Maßnahmen führen.

Reputations-Risiko

Ein Datenleck mit Mandanten-Steuerakten ist existenz-bedrohend. NDR-, Buzzfeed- oder Süddeutsche-Anrufe wollen Sie vermeiden.

Cybersecurity-Versicherer

Versicherer prüfen Sicherheits-Maßnahmen vor Vertrags-Abschluss. Ohne dokumentiertes ISMS wird die Police teurer oder verweigert.

Mitbewerber-Differenzierung

Kanzleien mit dokumentiertem Cybersecurity-Programm gewinnen NIS2-pflichtige Mandanten gegen Kanzleien ohne.

[ 02 / Was Sie umsetzen sollten ]

ISMS-light-Checkliste für Steuerberater

Wir empfehlen eine ISMS-light-Implementierung, die NIS2-anschlussfähig ist, aber für Kanzleien praktikabel bleibt.

  • >_Sicherheitsleitlinie (1 bis 2 Seiten), freigegeben durch Kanzlei-Inhaber
  • >_Asset-Inventar: welche Systeme, welche Daten, welche Mitarbeiter haben Zugriff
  • >_Rollen- und Berechtigungs-Konzept (RBAC) mit Least-Privilege
  • >_Multi-Faktor-Authentisierung für DATEV, M365, Dokumenten-Management
  • >_Backup-Konzept mit Offline-Komponente (gegen Ransomware)
  • >_Patch-Management für Endgeräte und Server
  • >_Vorfall-Reaktionsplan: wer ruft wen an, wenn was passiert
  • >_Mitarbeiter-Awareness-Schulung jährlich (oder bei Eintritt)
  • >_Cybersecurity-Versicherung (Cyber-Police mit Notfall-Hotline)
  • >_Verfahrensverzeichnis nach Art. 30 DSGVO inkl. TOM-Katalog
[ 03 / Häufige Lücken ]

Wo Kanzleien schwach sind.

Geteilte Logins fürs DATEV

Mitarbeiter teilen Zugänge. Dokumenten-Zugriffe sind nicht zurechenbar. Audit-untauglich.

Keine Offsite-Backups

Backup auf USB-Stick im Büro nebenan. Ransomware oder Brand löscht beide.

E-Mail-Anhänge unverschlüsselt

Steuerakten als PDF unverschlüsselt per Outlook. DSGVO-Verstoß bei jeder Sendung.

Keine Trennung Privat / Beruflich

Inhaber arbeitet mit Privat-Laptop ohne MDM. Mandanten-Daten auf nicht-gehärtetem Gerät.

Veraltete Workstation-Software

Windows 10 ohne Patches, Office 2016, Java-Runtime von 2018. Bekannte CVEs offen.

Mitarbeiter-Abgang ohne Account-Lock

Ehemalige Mitarbeiter haben noch Zugang zu DATEV-Online. Kein Offboarding-Prozess.

[ Häufige Fragen ]

Was Mandanten typischerweise vorher wissen wollen.

Sind Steuerberater grundsätzlich von NIS2 betroffen?

Nicht direkt als Sektor. Steuerberater fallen NICHT in die 18 NIS2-Sektoren. Aber: Über die Lieferkette werden sie zunehmend einbezogen. Mandanten aus NIS2-Sektoren werden Compliance-Nachweise verlangen. Faktisch wird NIS2 zur indirekten Pflicht.

Was sollten Steuerberater trotzdem umsetzen?

Mindestens: ISMS-light-Ansatz mit Risiko-Analyse, Zugangs-Management, Backup-Konzept, Vorfall-Plan. DSGVO-konformes Verfahrensverzeichnis ist Pflicht. BStBK-Empfehlungen zur Cybersecurity beachten. Faktisch ähnlich wie NIS2 light.

Was kostet das für eine 20-Mann-Kanzlei?

Drei Festpreis-Stufen: Kanzlei-Audit 3.590 bis 6.790 EUR (einmalig, 4 bis 7 Werktage), ISMS-light-Implementation ab 18.900 bis 31.900 EUR als Festpreis-Projekt, Retainer ab 990 EUR pro Monat. Transparent, ohne Tagessätze, ohne Nachträge.

Was passiert, wenn ein Mandant uns nach NIS2-Compliance fragt?

Sie brauchen einen TOM-Katalog (technische und organisatorische Maßnahmen) gemäß DSGVO Art. 32, einen Vorfall-Reaktionsplan, ein Verfahrensverzeichnis und idealerweise eine Cybersecurity-Versicherung. Wenn Sie ISO 27001 light oder TISAX-light umgesetzt haben, sind Sie reaktiv stark aufgestellt.

Gibt es Kammer-Empfehlungen für Steuerberater?

Die Bundessteuerberaterkammer (BStBK) hat Cybersecurity-Leitfäden veröffentlicht. Wir orientieren uns daran und ergänzen mit BSI-Grundschutz-Modulen, wo sinnvoll. Audits sind für Kammer-Compliance hilfreich.

[ Erstgespräch ]

30 Minuten Erstberatung, kostenfrei.

Wir besprechen Ihr konkretes Anliegen, schätzen Aufwand und Preisrahmen ein und klären, ob wir der richtige Partner sind. Unverbindlich.

admin@dc-infosec.de