Ova stranica je namijenjena računovodstvenim tvrtkama, poreznim savjetnicima i neovisnim revizorima koji upravljaju povjerljivim financijskim podacima klijenata. Naučit ćete konkretne zahtjeve NIS2 Direktive, obveze sigurnosti i kako se prilagoditi do kraja 2026. godine.
NIS2 obveze se primjenjuju na računovodstvene tvrtke, porezne savjetnika i financijske revizore sa najmanje 50 zaposlenih ili godišnjim prihodom većim od 10 milijuna eura koji čuvaju i obrađuju povjerljive financijske podatke više od tri klijenta. Ako ste dio grupe ili manjeg subjekta koji obavlja reviziju, procjenu rizika i strategiju upravljanja kontinuitetom poslovanja postaju zakonski obvezujući.
Svi financijski podaci, knjige, evidencije i porezne informacije klijenata moraju biti šifrirani tijekom pohrane i prijenosa. Morate uvesti klasifikaciju podataka prema razini osjetljivosti, kontrolirati pristup samo autoriziranim zaposlenicima i implementirati revizijske zapise koji prate svaki pristup ili izmjenu. Redovito provjerite je li šifriranje aktivirano na svim serverima, bazama podataka i cloud platformama gdje se čuvaju financijski podaci.
Svi zaposlenici koji koriste računovodstveni softver, alate za reviziju ili sustave za upravljanje klijentima moraju imati jaku autentifikaciju s dvofaktorskom provjerom. Ako dozvoljavate udaljeni pristup putem Remote Desktop-a ili VPN-a, implementirajte obavezne PIN kodove, biometrijske podatke ili hardverske ključeve. Redovito pregledavajte i oduzimajte pristup zaposlenicima koji su napustili tvrtku u roku od 24 sata.
Ako dođe do curenja, neovlaštenog pristupa ili bilo kojeg sigurnosnog incidenta koji ugrožava podatke tri ili više klijenta, morate obavijestiti Agenciju za sigurnost mreža i informacija (ASMIN) u roku od 72 sata. Trebate čuvati dokumentaciju o svakom incidentu, uključujući vremenske žigove, vrste podataka koje su pogođene i mjere koje ste poduzeli. Klijente trebate obavijestiti čim je moguće ako je njihova povjerljiva financijska ili porezna informacija ozbiljno ugrožena.
Svi vanjski dobavljači softvera,云 platforme (npr. za pohrane podataka), poslužitelji i SaaS rješenja za računovodstvo trebaju biti procijenjeni s obzirom na sigurnosne standarde prije uključivanja u tvrtku. Trebate pisane ugovore sa svim dobavljačima koji definiraju obveze zaštite podataka, vremenske okvire oporavka nakon incidenta i vašu pravo da izvodite neovisne sigurnosne provjere. Godišnje pratite je li dobavljač prešao sigurnosni audit ili održao ISO 27001 certifikaciju.
Trebate formalnu strategiju za oporavak od incidenta, uključujući redovne backupe financijskih podataka klijenata na sigurnim, šifriranim lokacijama koje su odvojene od glavne mreže. Morate barem dvije godine arhivirati sve povjerljive dokumente klijenata na nedostižan medij i redovito testirati mogućnost oporavka podataka. Definirajte vrijeme oporavka (RTO) od maksimalno 24 sata i maksimum gubitka podataka (RPO) ne duže od 4 sata za kritične klijentske podatke.
Trebate podijeliti podatke u tri kategorije: redoviti (godišnje financijske izvještaje dostupne javnosti), povjerljivi (izvještaji o reviziji, porezne prijave s identifikatorima) i kritični (bankovni računi, PIN-ovi, lozinke). Za svaku kategoriju trebate različite razine šifriranja, pristupa i arhiviranja — redoviti podaci se čuvaju 1 godinu, povjerljivi 5 godina, a kritični bez vremenske godine ali u zasebnom sustavu.
Trebate barem jednom godišnje provesti vanjsku sigurnosnu provjeru (penetracijski test) ili auditu od neovisnog certifikatora. Backup oporavak trebate testirati najmanje tromjesečno i dokumentirati rezultate. Dvofaktorsku autentifikaciju trebate audirati redovito — najmanje svakih šest mjeseci proverite je li aktivirana za sve korisnike.
Prema NIS2 Direktivi, ASMIN može odmah izdati napomenu ako su potrebne mjere sigurnosti nedosledne. Ako ne poduzmete korektivne mjere u roku od 30 dana, računovodstvene tvrtke i revizori mogu biti suspenzije u registru s novčanom kaznom do 10% godišnjeg prihoda ili uklonjene s popisa ovlaštenih revizora. Premještanje klijentskih podataka drugom revizoru trebalo bi nekoliko mjeseci — brže je biti usklađen.