google 4.9 (34 recensioni)
Cyber security servizio per voi
Programmare una dimostrazione
Torna al Centro risorse

Linea guida NIS2 per gli studi contabili: quali misure minime di cybersecurity adottare?

8 marzo 2023 - Generale

Condividi

La nuova direttiva NIS2 impone alle società di revisione contabile di adottare maggiori misure per prevenire le violazioni della sicurezza informatica. La legge europea sul cyber è in vigore dal 16 gennaio 2023. I Paesi Bassi e gli altri Stati membri hanno tempo fino a ottobre 2024 per implementare la legislazione a livello nazionale. Ciò significa che da quel momento in poi i commercialisti dovranno conformarsi alle nuove linee guida sulla cybersecurity.

Che cos'è la nuova direttiva NIS2?

La nuova direttiva NIS2 inasprisce i requisiti per le imprese essenziali e aggiunge obblighi per le "imprese importanti", tra cui le società di revisione. In un precedente articolo abbiamo spiegato cosa comporta la nuova direttiva e cosa cambia rispetto alla NIS1. La differenza principale è l'estensione alle "imprese importanti" oltre alle imprese essenziali, a cui la direttiva si applicava già. Anche le società di contabilità sono considerate imprese importanti e dovranno attenersi a linee guida più severe in materia di cybersecurity a partire dal 2024.

Cosa cambia per le società di revisione?

Le società di revisione contabile devono già rispettare le linee guida per una buona documentazione informatica, in particolare per quanto riguarda la sicurezza delle informazioni che garantisce la continuità, l'affidabilità e i rischi del trattamento automatizzato dei dati (ISA 315 (COS 315) dell'ISAAB). Le società di revisione contabile sono inoltre tenute a presentare una relazione sulla cybersecurity basata su un esame da parte di un esperto (articolo 2:393, paragrafo 4 del BW).

Inoltre, sono state aggiunte nuove regole. Ad esempio, il consiglio di amministrazione è ora responsabile della cybersecurity dello studio contabile, e non più solo di un partner IT all'interno dello studio. La nuova direttiva aggiunge altri tre cambiamenti:

  • Elenco delle misure minime di sicurezza di base
    La direttiva è più concreta, grazie a un elenco di misure minime di sicurezza di base che le imprese devono applicare. La direttiva impone un approccio alla gestione del rischio.
  • Gestire la sicurezza nella catena di fornitura
    Le aziende devono affrontare i rischi per la sicurezza nella loro catena di fornitura, compresi quelli derivanti dalle relazioni con i fornitori.
  • Supervisione più rigorosa
    Le autorità nazionali possono condurre una sorveglianza e un'applicazione più rigorose. La nuova direttiva allinea le norme sanzionatorie e gli obblighi di segnalazione in modo più equo in tutti gli Stati membri.

Sarete multati se non vi adeguerete?

Le società di revisione contabile che non si adeguano alla nuova direttiva riceveranno un avvertimento e poi un richiamo. L'autorità locale potrà poi imporre multe, fino a un massimo di 10 milioni di euro o al due per cento del fatturato annuo.

Quali rischi corrono le società di revisione?

L'Unione Europea considera le imprese contabili come imprese importanti. I rischi informatici hanno un impatto sulle aziende stesse e sulla società in generale. Naturalmente, i commercialisti sono da tempo consapevoli del rischio rappresentato dalla criminalità informatica. Per esempio, una ricerca di Skopos mostra che la maggioranza dei commercialisti ritiene che la sicurezza delle informazioni debba ricevere maggiore attenzione.

La società di contabilità Grant Thornton sottolinea il passaggio dal guadagno all'intento malevolo e i rischi crescenti che ne derivano. Inoltre, è già stato riferito che le aziende olandesi sono state violate dai servizi segreti russi.

La SRA, che rappresenta 375 commercialisti indipendenti con 900 filiali nei Paesi Bassi come organizzazione di rete, riferisce che gli studi di commercialisti sono sempre più esposti, ad esempio, a ransomware, malware e cryptojacking.

Prevenzione del crimine informatico: cosa può fare uno studio contabile?

In base alla nuova direttiva NIS2, a partire dal 2024 le imprese contabili dovranno adottare misure adeguate per prevenire le violazioni della sicurezza informatica o limitarne le conseguenze. Potete già prendere provvedimenti in vista della nuova direttiva. La SRA raccomanda, ad esempio, di

  • Mappare i rischi
    È possibile adottare misure adeguate solo se si conoscono i rischi a cui è esposto il proprio studio contabile. Assicuratevi di aver tracciato una mappa dei rischi o di affidarvi a specialisti esterni. All'interno dei rischi, distinguete tra quelli che riguardano la fornitura diretta di servizi e la continuità operativa. Classificate i rischi per creare un elenco di priorità e adottare le misure appropriate.
  • Un quadro di riferimento per la cybersecurity
    Sviluppate un quadro di riferimento per la cybersecurity per riflettere a livello di organizzazione sui rischi informatici e sulle misure importanti. Iniziate con un semplice foglio A4 che delinea i principi, i quadri e le diverse responsabilità. In un secondo momento, si può passare a una policy più completa, ad esempio incentrata su rischi informatici specifici per il vostro studio contabile.
  • Prepararsi alle violazioni dei dati e agli hackeraggi
    Preparatevi alle violazioni dei dati e agli hackeraggi, perché ogni organizzazione può subirli. Create un piano che indichi chi deve rispondere e come e quali misure di ripristino sono necessarie. Tenere traccia di tutti gli incidenti e analizzare l'accaduto. Chiudete le lacune nella sicurezza e verificate se le misure adottate producono i risultati previsti.
  • Adottare misure concrete
    Adottare misure concrete quando permangono lacune nella sicurezza. Oppure, rispettate le misure specificate nella nuova direttiva NIS2 per prepararvi ai cambiamenti del 2024. Migliorare la cybersecurity, sia all'interno dello studio contabile che nei rapporti con i fornitori. La nuova direttiva impone alle aziende di considerare la cybersecurity lungo l'intera catena di fornitura.
  • Esternalizzare l'IT a specialisti
    Esternalizzate l'IT e la cybersecurity a specialisti che si occupano quotidianamente di questi temi. Inoltre, assumete specialisti per migrare le applicazioni nel cloud o per aggiungere, migliorare o modificare altri servizi IT. Lo sviluppo si basa sulla Security by Design, pensando alla (cyber)sicurezza in ogni fase.

Inoltre, alcune misure di base possono migliorare direttamente la resilienza informatica del vostro studio contabile, come ad esempio:

  • Autenticazione a più fattori (MFA) per tutti gli account digitali
  • Backup regolari (automatizzati)
  • Utilizzo di un gestore di password con una master password complessa
  • Impostare una notifica per le e-mail provenienti da mittenti esterni
  • Rendere disponibili offline gli elenchi di contatti

Semplificare le cose con Guardey

Come studio contabile, potreste sentirvi sopraffatti da tutto questo. Dopo tutto, preferireste concentrarvi sul vostro lavoro di contabilità. Quindi, lasciate che Guardey si occupi della sicurezza informatica per voi. Offriamo una soluzione completa per la connettività sicura, la protezione contro i software dannosi e la formazione professionale (ma divertente!) dei dipendenti.

Con Guardey, scegliete una soluzione di cybersecurity completa in un'unica soluzione. Siamo completamente plug & play, quindi è semplice, accessibile e conveniente.

Scoprite la nostra soluzione o poneteci qualsiasi domanda. Saremo lieti di spiegarvi come Guardey può proteggere il vostro studio contabile da tutte le minacce digitali e come conformarsi alla direttiva NIS2 dal 2024!

Risorse che potrebbero interessarvi

Generale
Formazione ISO27001 Security Awareness : Una guida completa
riunione guardey-sprint
Cyber security
Perché la maggior parte delle simulazioni di phishing fanno più male che bene (e come si sta facendo per rimediare)
Generale
Il 95% delle violazioni e delle fughe di dati sono causate da errori umani. Ecco perché il gioco è la soluzione.
Centro risorse
Sito web di Anouk CTA Guardey
PROVA GRATUITA DI 14 GIORNI

Provate Guardey oggi stesso.

  • Prova completamente gratuita
  • Assistenza 24/7
Iniziare la prova gratuita di 14 giorni