Cloud-TSE für Kassen: neue Anforderungen des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), weitergehende Anforderungen an die Cloud-TSE zu stellen.

Der DIHK hat sich daher gemeinsam mit anderen Spitzenverbänden der gewerblichen Wirtschaft an BMF, BSI und die Steuerabteilungsleiter der Länder gewendet und darauf hingewiesen, dass weitere Verzögerungen bei der Zertifizierung zu erheblichen Schwierigkeiten bei der Implementierung in den Unternehmen führen. Vor diesem Hintergrund haben die Spitzenverbände zudem Informationen für Unternehmen zusammengestellt, die Sie nachfolgend finden.

Mit dem Gesetz zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen („Kassengesetz“) wurden Unternehmen verpflichtet, ab dem 1. Januar 2020 ihre elektronischen Kassen(systeme) mit einer zertifizierten technischen Sicherheitseinrichtung (TSE) auszurüsten. Damit Unternehmen mit Blick auf ihre spezifischen betrieblichen Bedürfnisse die beste Lösung wählen können, sind sowohl hardware- als auch cloudbasierte TSE-Lösungen zulässig (Technologieoffenheit).

Bereits seit Beginn des Jahres 2020 stehen hardware-basierte TSE-Lösungen zur Verfügung. Ein erstes cloud-basiertes TSE-Modul (Anbieter: Deutsche Fiskal mit Bundesdruckerei-Tochter D-TRUST) wurde am 30. September 2020 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert und ist seitdem erhältlich. Die Laufzeit ist jedoch befristet bis zum 31. Januar 2021, sodass im Anschluss eine Rezertifizierung erforderlich wird. Weitere cloud-basierte Module von anderen Herstellern befinden sich zurzeit im Zertifizierungsverfahren.

Neue Anforderungen an die Zertifizierung von Cloud-TSE-Lösungen

Nunmehr beabsichtigt das BSI für eine Zertifizierung von cloud-basierten TSE-Lösungen weitergehende Anforderungen an die betriebliche Anwenderumgebung zu stellen. Hiervon betroffen ist nicht nur die bereits zertifizierte Cloud-Lösung. Auch alle cloud-basierten TSEs sind betroffen, die sich im Zertifizierungsverfahren befinden bzw. künftig eine Zertifizierung anstreben.

Was bedeutet das für die Praxis?

Aktuell kann nicht eingeschätzt werden, welche konkreten Auswirkungen die neuen Anforderungen des BSI haben werden. Offen ist, ob und wann die Cloud-TSE-Anbieter diese umsetzen können und welche Konsequenzen dies für die Implementierbarkeit in den jeweiligen Kassen haben wird.

Dringende Empfehlung an die Unternehmen

Unternehmen, die bereits eine cloud-basierte TSE verwenden oder dies beabsichtigen, sollten sich unverzüglich an ihre Kassen(system)anbieter oder TSE-Hersteller wenden. Es sollte geklärt werden, ob weitergehende Umstellungsmaßnahmen ergriffen werden müssen und wann eine zertifizierte Cloud-Lösung implementiert werden kann.

Die unterzeichnenden Verbände haben sich bereits an das BMF, das BSI sowie die Länderfinanzverwaltungen gewandt und sich für eine praxistaugliche Lösung ausgesprochen, die die Belange der betroffenen Unternehmen ausreichend berücksichtigt.

(Quelle: Gemeinsames Infoblatt von DIHK, HDE, BDI, BGA und ZDH)