Google 4,9 (34 recensioner)
Cyber security service för dig
Boka en demo
Tillbaka till resurscenter

NIS2-riktlinje för revisionsföretag: vilka minimiåtgärder för cybersäkerhet bör ni vidta?

8 mars 2023 Allmänt

Andel

Det nya NIS2-direktivet kräver att revisionsbyråer vidtar fler åtgärder för att förhindra cybersäkerhetsöverträdelser. Den europeiska cyberlagen har varit i kraft sedan den 16 januari 2023. Nederländerna och andra medlemsländer har fram till oktober 2024 på sig att implementera lagstiftningen nationellt. Det innebär att revisorer från och med den tidpunkten måste följa nya riktlinjer för cybersäkerhet.

Vad är det nya NIS2-direktivet?

Det nya NIS2-direktivet skärper kraven för samhällsviktiga företag och lägger till skyldigheter för "viktiga företag", inklusive revisionsbyråer. I en tidigare artikel har vi förklarat vad det nya direktivet innebär och vilka förändringar som skett jämfört med NIS1. Den största skillnaden är utvidgningen till "viktiga företag" utöver väsentliga företag, som direktivet redan gällde för. Revisionsbyråer betraktas också som viktiga företag och måste följa strängare riktlinjer för cybersäkerhet från och med 2024.

Vad förändras för redovisningsbyråerna?

Revisionsbyråer måste redan följa riktlinjerna för god IT-dokumentation, särskilt när det gäller informationssäkerhet som garanterar kontinuitet, tillförlitlighet och risker för automatiserad databehandling (ISA 315 (COS 315) i ISAAB). Revisionsföretag är också skyldiga att rapportera om cybersäkerhet baserat på en expertundersökning (artikel 2:393 punkt 4 BW).

Dessutom tillkommer nya regler. Till exempel är styrelsen nu ansvarig för revisionsföretagets cybersäkerhet, och inte längre bara en IT-partner inom företaget. Det nya direktivet innehåller tre andra förändringar:

  • Förteckning över grundläggande säkerhetsåtgärder
    Direktivet är mer konkret tack vare en förteckning över grundläggande säkerhetsåtgärder som företagen måste tillämpa. I direktivet införs en strategi för riskhantering.
  • Hantering av säkerhet i leveranskedjan
    Företag måste hantera säkerhetsrisker i sin leveranskedja, inklusive risker som uppstår i leverantörsrelationer.
  • Strängare tillsyn
    Nationella myndigheter får bedriva strängare tillsyn och verkställighet. Det nya direktivet anpassar sanktionsregler och rapporteringskrav på ett mer likvärdigt sätt i alla medlemsländer.

Kommer du att få böter om du inte följer reglerna?

Redovisningsbyråer som inte följer det nya direktivet kommer att få en varning och därefter en påminnelse. Den lokala myndigheten kan sedan utdöma böter på upp till 10 miljoner euro eller två procent av den årliga omsättningen.

Vilka risker finns det för revisionsbyråer?

Europeiska unionen betecknar revisionsbyråer som viktiga företag. Cyberrisker påverkar både företagen själva och samhället i stort. Naturligtvis har revisorer länge varit medvetna om den risk som cyberbrottslighet utgör. Skopos undersökningar visar till exempel att majoriteten av revisorerna anser att informationssäkerhet bör få mer uppmärksamhet.

Revisionsbyrån Grant Thornton pekar på en förskjutning från att tjäna pengar till skadliga avsikter och de ökande risker som följer med detta. Dessutom har det redan rapporterats att nederländska företag hackas av ryska underrättelsetjänster.

SRA, som representerar 375 oberoende revisorer med 900 filialer i Nederländerna som en nätverksorganisation, rapporterar att revisionsföretag allt oftare stöter på till exempel ransomware, skadlig kod och cryptojacking.

Förhindra cyberbrott: vad kan du göra som revisionsbyrå?

Enligt det nya NIS2-direktivet måste revisionsbyråer från och med 2024 vidta lämpliga åtgärder för att förhindra brott mot cybersäkerheten eller begränsa deras konsekvenser. Du kan redan nu vidta åtgärder inför det nya direktivet. SRA rekommenderar till exempel följande:

  • Kartläggning av risker
    Du kan bara vidta lämpliga åtgärder om du vet vilka risker din revisionsbyrå står inför. Se till att kartlägga riskerna eller anlita externa specialister för detta. Skilj mellan risker för direkt tillhandahållande av tjänster och risker för kontinuitet i verksamheten. Klassificera riskerna för att skapa en prioriteringslista och vidta lämpliga åtgärder.
  • Ett policyramverk för cybersäkerhet
    Utveckla en policy för cybersäkerhet för att få hela organisationen att tänka på cyberrisker och viktiga åtgärder. Börja med ett enkelt A4-ark som beskriver principerna, ramverken och de olika ansvarsområdena. Senare kan du utöka detta till en mer omfattande policy, t.ex. med fokus på specifika cyberrisker som din revisionsbyrå står inför.
  • Förberedelser för dataintrång och hackning
    Förbered er på dataintrång och hackning eftersom alla organisationer kan råka ut för det. Skapa en plan som beskriver vem som ska reagera och hur samt vilka återhämtningsåtgärder som är nödvändiga. Håll reda på alla incidenter och analysera vad som hände. Täta säkerhetsluckorna och kontrollera att åtgärderna ger avsett resultat.
  • Vidta konkreta åtgärder
    Vidta konkreta åtgärder när säkerhetsluckor kvarstår. Eller följ de åtgärder som anges i det nya NIS2-direktivet för att förbereda dig för förändringarna 2024. Förbättra cybersäkerheten, både inom din revisionsbyrå och i leverantörsrelationer. Det nya direktivet kräver att företagen tar hänsyn till cybersäkerheten i hela leveranskedjan.
  • Outsourca IT till specialister
    Outsourca IT- och cybersäkerhet till specialister som arbetar med dessa frågor dagligen. Anlita också specialister för att migrera applikationer till molnet eller lägga till, förbättra eller ändra andra IT-tjänster. De utvecklar baserat på Security by Design och tänker på (cyber)säkerhet i varje steg.

Dessutom kan vissa grundläggande åtgärder direkt förbättra din redovisningsbyrås cyberresiliens, t.ex:

  • Flerfaktorsautentisering (MFA) för alla digitala konton
  • Regelbundna (automatiserade) säkerhetskopior
  • Användning av en lösenordshanterare med ett komplext huvudlösenord
  • Ställ in en avisering för e-post från externa avsändare
  • Gör kontaktlistor tillgängliga offline

Gör det enkelt med Guardey

Som redovisningsbyrå kan du känna dig överväldigad av allt detta. Du vill ju helst fokusera på ditt redovisningsarbete. Så låt Guardey ta hand om cybersäkerheten åt dig. Vi erbjuder en komplett lösning för säkra anslutningar, skydd mot skadlig programvara och professionell (men rolig!) utbildning av medarbetarna.

Med Guardey väljer du en komplett cybersäkerhetslösning på en gång. Vi är helt plug & play, så det är enkelt, tillgängligt och prisvärt.

Upptäck vår lösning eller ställ frågor till oss. Vi förklarar gärna hur Guardey kan skydda din revisionsbyrå från alla digitala hot och hur du uppfyller NIS2-direktivet från och med 2024!

Resurser som du kanske är intresserad av

Allmänt
ISO27001 Security Awareness Utbildning: En komplett vägledning
guardey-sprint-möte
Cyber security
Varför de flesta phishing simuleringar gör mer skada än nytta (och hur vi åtgärdar det)
Allmänt
95 % av alla hackningar och dataläckor orsakas av mänskliga misstag. Här är varför spel är lösningen.
Resurscentrum
Anouk CTA Guardeys webbplats
GRATIS 14-DAGARS PROVPERIOD

Upplev Guardey redan idag.

  • Prova helt riskfritt
  • Support dygnet runt
Starta 14 dagars kostnadsfri testperiod