Der Stromausfall vom 3. Januar 2026 in Berlin hat vielen Unternehmen und Freiberuflern deutlich vor Augen geführt, wie verwundbar selbst hochentwickelte Infrastrukturen sein können. Hierzu hatte ich neulich den Beitrag „Wenn der Strom ausgeht – was der Berliner Blackout über die Resilienz unseres Berufsstands verrät“ hier veröffentlicht.
Unabhängig von der konkreten Ursache zeigt dieses Ereignis exemplarisch, was unter hybriden Bedrohungen zu verstehen ist: das Zusammenwirken von physischen, digitalen und organisatorischen Risiken.Für Steuerkanzleien, die täglich mit hochsensiblen Mandanten- und Unternehmensdaten arbeiten und deren Arbeitsfähigkeit stark von digitalen Systemen abhängt, gewinnt die Frage nach einer angemessenen Cyber- und Krisenresilienz damit weiter an Bedeutung. Und genau deswegen möchte hierauf nochmal intensiver eingehen.
NIS-2-Richtlinie: Neue Leitplanken für Cybersicherheit
Mit der EU-Richtlinie NIS-2 (Network and Information Security Directive 2) hat der europäische Gesetzgeber den Rechtsrahmen für Cybersicherheit erheblich verschärft. Zwar fallen Steuerkanzleien regelmäßig nicht unmittelbar unter die Kategorie der kritischen oder wichtigen Einrichtungen, dennoch entfaltet die Richtlinie eine erhebliche mittelbare Wirkung.
Die Richtlinie definiert europaweite Mindeststandards für IT-Sicherheitsorganisationen, betont die Verantwortung der Leitungsebene und stärkt Dokumentations-, Melde- und Nachweispflichten. Die nationale Umsetzung wird maßgeblich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet.
Informationsschriften des BSI als praxisnahe Orientierung
Gerade für kleinere und mittlere Kanzleien stellen die Informationsschriften des BSI eine wertvolle Hilfestellung dar. Hervorzuheben sind insbesondere der IT-Grundschutz, branchenübergreifende Empfehlungen zur Cyber-Resilienz, Leitfäden zum Notfallmanagement sowie kompakte Handlungshilfen wie die „10 Tipps zur Cyber-Sicherheit“.
Diese Veröffentlichungen haben keinen Gesetzesrang, gelten jedoch zunehmend als anerkannter Stand der Technik. Im Haftungs- oder Schadensfall kann es daher von Bedeutung sein, ob sich eine Kanzlei nachweisbar an diesen Empfehlungen orientiert hat.
Best Practices für Steuerkanzleien
Aus den Vorgaben der DSGVO, der NIS-2-Richtlinie und den Empfehlungen des BSI lassen sich klare Mindestanforderungen ableiten. Dazu zählen regelmäßige und getestete Datensicherungen, aktuelle Schutzsysteme, Mehrfaktor-Authentifizierung sowie dokumentierte IT-Sicherheits- und Notfallkonzepte.
Daneben kommt dem menschlichen Faktor besondere Bedeutung zu. Schulungen zur Sensibilisierung für Phishing, Social Engineering und hybride Bedrohungsszenarien sind heute unverzichtbar.
Exkurs: Steuerberater im Ernstfall: Systemrelevant, aber auch vorbereitet?
An dieser Stelle möchte ich einen kurzen Exkurs einfügen. Neben meinem Beruf als Steuerberater bin ich auch Reservist und Pressestabsoffizier der Bundeswehr. Ich war Gast der Podiumsdiskussion der #GIDSdebate des German Institut for Defence and Strategic Studies. Bedrohungen sind längst Teil unseres Alltags geworden und haben einen Hauch von „Normalität“ erlangt. Diese Haltung ist menschlich – aber gefährlich. Mit Blick auf kritische Infrastruktur gehören in einer hochdigitalisierten Wirtschaft hierzu Rechenzentren, Cloud-Dienste, Softwareanbieter und Kommunikationsnetze dazu.
Für unseren Berufsstand bedeutet dies, dass unsere Arbeit nahezu vollständig abhängig von funktionierender IT, stabilen Servern und digitalem Datenzugriff. Steuerberater sind keine Einsatzkräfte. Aber wir sind Teil des wirtschaftlichen Nervensystems – und spätestens seit der Pandemie wurde deutlich: Unser Berufsstand ist systemrelevant. Die Frage ist nur: Sind wir auch resilient und auf Ausfälle/Ernstfälle vorbereitet?
Fazit
Cybersicherheit ist kein isoliertes IT-Thema mehr, sondern Bestandteil verantwortungsvoller Kanzleiführung. Auch wenn kleinere Kanzleien derzeit noch nicht als kritische oder wichtige Einrichtungen im Sinne der NIS-2-Richtlinie eingestuft werden, ist die Entwicklung eindeutig: hin zu mehr Dokumentations-, Melde- und Sicherheitsanforderungen sowie einer spürbar stärkeren regulatorischen Kontrolle.
Lesen Sie hierzu auch:
- Steiner, Neue gesetzliche Regeln zur Stärkung der Cybersicherheit, NWB-BB Nr. 12 vom 27.11.2025 Seite 363
- Wenn der Strom ausgeht – was der Berliner Blackout über die Resilienz unseres Berufsstands verrät (mein o.g. Beitrag im NWB Experten-Blog)