google 4.9 (34 opinie)
Cyber security usługa dla Ciebie
Zaplanuj prezentację
Powrót do Centrum zasobów

Wytyczne NIS2 dla firm księgowych: jakie minimalne środki cyberbezpieczeństwa powinieneś podjąć?

8 marca 2023 r. - Ogólne

Udostępnij

Nowa dyrektywa NIS2 wymaga od firm księgowych podjęcia dodatkowych środków w celu zapobiegania naruszeniom cyberbezpieczeństwa. Europejskie prawo cybernetyczne obowiązuje od 16 stycznia 2023 roku. Holandia i inne państwa członkowskie mają czas do października 2024 r. na wdrożenie przepisów na szczeblu krajowym. Oznacza to, że od tego momentu księgowi będą musieli przestrzegać nowych wytycznych dotyczących cyberbezpieczeństwa.

Czym jest nowa dyrektywa NIS2?

Nowa dyrektywa NIS2 zaostrza wymogi dla kluczowych przedsiębiorstw i dodaje obowiązki dla "ważnych przedsiębiorstw", w tym firm księgowych. We wcześniejszym artykule wyjaśniliśmy, co pociąga za sobą nowa dyrektywa i jakie zmiany w porównaniu z NIS1. Główną różnicą jest rozszerzenie na "ważne przedsiębiorstwa" oprócz podstawowych przedsiębiorstw, do których dyrektywa miała już zastosowanie. Firmy księgowe są również uważane za ważne przedsiębiorstwa i muszą przestrzegać bardziej rygorystycznych wytycznych dotyczących cyberbezpieczeństwa od 2024 roku.

Jakie zmiany dla firm księgowych?

Firmy księgowe muszą już przestrzegać wytycznych dotyczących dobrej dokumentacji IT, w szczególności w zakresie bezpieczeństwa informacji, które gwarantuje ciągłość, niezawodność i ryzyko zautomatyzowanego przetwarzania danych (ISA 315 (COS 315) ISAAB). Firmy księgowe są również zobowiązane do sporządzania raportów na temat cyberbezpieczeństwa w oparciu o badanie eksperckie (art. 2:393 ust. 4 BW).

Ponadto dodawane są nowe zasady. Na przykład, zarząd jest teraz odpowiedzialny za cyberbezpieczeństwo firmy księgowej, a nie tylko za partnera IT w firmie. Nowa dyrektywa wprowadza trzy inne zmiany:

  • Lista minimalnych podstawowych środków bezpieczeństwa
    Dyrektywa jest bardziej konkretna dzięki liście minimalnych podstawowych środków bezpieczeństwa, które muszą stosować przedsiębiorstwa. Dyrektywa narzuca podejście do zarządzania ryzykiem.
  • Radzenie sobie z bezpieczeństwem w łańcuchu dostaw
    Firmy muszą zająć się zagrożeniami bezpieczeństwa w swoim łańcuchu dostaw, w tym zagrożeniami wynikającymi z relacji z dostawcami.
  • Ściślejszy nadzór
    Organy krajowe mogą prowadzić bardziej rygorystyczny nadzór i egzekwowanie przepisów. Nowa dyrektywa dostosowuje zasady dotyczące sankcji i wymogi sprawozdawcze w sposób bardziej równomierny we wszystkich państwach członkowskich.

Czy zostaniesz ukarany grzywną, jeśli nie zastosujesz się do przepisów?

Firmy księgowe, które nie zastosują się do nowej dyrektywy, otrzymają ostrzeżenie, a następnie upomnienie. Władze lokalne mogą następnie nałożyć grzywny w maksymalnej wysokości 10 milionów euro lub dwóch procent rocznego obrotu.

Na jakie ryzyko narażone są firmy księgowe?

Unia Europejska uznaje firmy księgowe za ważne przedsiębiorstwa. Ryzyko cybernetyczne ma wpływ zarówno na same firmy, jak i na szersze społeczeństwo. Oczywiście księgowi od dawna są świadomi ryzyka związanego z cyberprzestępczością. Na przykład badania Skopos pokazują, że większość księgowych uważa, że bezpieczeństwu informacji należy poświęcić więcej uwagi.

Firma księgowa Grant Thornton wskazuje na przejście od zarabiania pieniędzy do złych intencji i rosnącego ryzyka, które się z tym wiąże. Co więcej, pojawiły się już don iesienia, że holenderskie firmy są hakowane przez rosyjskie służby wywiadowcze.

SRA, która reprezentuje 375 niezależnych księgowych z 900 oddziałami w Holandii jako organizacja sieciowa, informuje, że firmy księgowe coraz częściej spotykają się na przykład z oprogramowaniem ransomware, złośliwym oprogramowaniem i cryptojackingiem.

Zapobieganie cyberprzestępczości: co możesz zrobić jako firma księgowa?

Zgodnie z nową dyrektywą NIS2 od 2024 r. firmy księgowe muszą podejmować odpowiednie środki, aby zapobiegać naruszeniom cyberbezpieczeństwa lub ograniczać ich skutki. Już teraz możesz podjąć działania w okresie poprzedzającym wejście w życie nowej dyrektywy. SRA zaleca na przykład:

  • Mapowanie ryzyka
    Możesz podjąć odpowiednie działania tylko wtedy, gdy wiesz, na jakie ryzyko narażona jest Twoja firma księgowa. Upewnij się, że mapujesz ryzyko lub angażujesz do tego zewnętrznych specjalistów. W ramach ryzyka rozróżnij te dotyczące bezpośredniego świadczenia usług i ciągłości działania. Sklasyfikuj ryzyka, aby stworzyć listę priorytetów i podjąć odpowiednie działania.
  • Ramy polityki cyberbezpieczeństwa
    Opracuj ramy polityki cyberbezpieczeństwa, aby myśleć w całej organizacji o zagrożeniach cybernetycznych i ważnych środkach. Zacznij od prostej kartki A4 przedstawiającej zasady, ramy i różne obowiązki. Później rozszerz to do bardziej kompleksowej polityki, takiej jak te skoncentrowane na konkretnych zagrożeniach cybernetycznych, przed którymi stoi Twoja firma księgowa.
  • Przygotuj się na naruszenia danych i włamania
    Przygotuj się na naruszenia danych i włamania, ponieważ każda organizacja może ich doświadczyć. Stwórz plan określający, kto powinien zareagować i w jaki sposób oraz jakie środki odzyskiwania danych są konieczne. Śledź wszystkie incydenty i analizuj, co się stało. Wyeliminuj luki w zabezpieczeniach i sprawdź, czy zastosowane środki przynoszą zamierzone rezultaty.
  • Podejmij konkretne działania
    Podejmij konkretne działania, gdy nadal istnieją luki w zabezpieczeniach. Lub zastosuj się do środków określonych w nowej dyrektywie NIS2, aby przygotować się na zmiany w 2024 roku. Zwiększ cyberbezpieczeństwo, zarówno w swojej firmie księgowej, jak i w relacjach z dostawcami. Nowa dyrektywa wymaga od firm uwzględnienia cyberbezpieczeństwa w całym łańcuchu dostaw.
  • Outsourcing IT do specjalistów
    Outsourcing IT i cyberbezpieczeństwa zleć specjalistom, którzy zajmują się tymi kwestiami na co dzień. Zatrudnij również specjalistów do migracji aplikacji do chmury lub dodania, ulepszenia lub zmiany innych usług IT. Rozwijają się w oparciu o Security by Design, myśląc o (cyber)bezpieczeństwie na każdym kroku.

Ponadto niektóre podstawowe środki mogą bezpośrednio poprawić cyberodporność Twojej firmy księgowej, takie jak:

  • Uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont cyfrowych
  • Regularne (automatyczne) kopie zapasowe
  • Korzystanie z menedżera haseł ze złożonym hasłem głównym
  • Skonfiguruj powiadomienia dla wiadomości e-mail od zewnętrznych nadawców
  • Udostępnij listy kontaktów w trybie offline

Ułatw sobie pracę z Guardey

Jako firma księgowa możesz czuć się tym wszystkim przytłoczony. W końcu wolisz skupić się na swojej pracy księgowej. Pozwól więc Guardey zadbać o cyberbezpieczeństwo. Oferujemy kompletne rozwiązanie zapewniające bezpieczną łączność, ochronę przed szkodliwym oprogramowaniem i profesjonalne (ale zabawne!) szkolenia dla pracowników.

Z Guardey wybierasz kompletne rozwiązanie cyberbezpieczeństwa za jednym zamachem. Jesteśmy całkowicie plug & play, więc jest to proste, dostępne i niedrogie.

Poznaj nasze rozwiązanie lub zadaj nam pytania. Chętnie wyjaśnimy, w jaki sposób Guardey może chronić Twoją firmę księgową przed wszystkimi zagrożeniami cyfrowymi i jak zachować zgodność z dyrektywą NIS2 od 2024 roku!

Zasoby, które mogą Cię zainteresować

Ogólne
Szkolenie ISO27001 Security Awareness : Kompletny przewodnik
guardey-sprint-spotkanie
Cyber security
Dlaczego większość symulacji phishing przynosi więcej szkody niż pożytku (i jak to naprawiamy)?
Ogólne
95% włamań i wycieków danych jest spowodowanych błędem ludzkim. Oto dlaczego gry są rozwiązaniem.
Centrum zasobów
Strona internetowa Anouk CTA Guardey
BEZPŁATNY 14-DNIOWY OKRES PRÓBNY

Poznaj Guardey już dziś.

  • Wypróbuj całkowicie bez ryzyka
  • Wsparcie 24/7
Rozpocznij 14-dniowy bezpłatny okres próbny