Cyberbezpieczeństwo biur rachunkowych a Dyrektywa NIS2 – wymagania i praktyczne wskazówki

Dodano: 5 maja 2025
  Cyberbezpieczeństwo biur rachunkowych a Dyrektywa NIS2 – wymagania i praktyczne wskazówki

Czy Twoje biuro rachunkowe jest gotowe na nowe wyzwania w zakresie cyberbezpieczeństwa? Dyrektywa NIS2 wprowadza wiele zmian, które – choć formalnie mogą Cię nie obejmować – realnie wpłyną na sposób świadczenia usług i ochrony danych klientów. Nie czekaj, aż nowe przepisy Cię zaskoczą – poznaj praktyczne wskazówki i sprawdź, jak dzięki odpowiednim działaniom zbudować przewagę konkurencyjną na rynku usług księgowych!

Korzyści 

Po przeczytaniu tekstu dowiesz się:

  • jakie obowiązki mogą dotyczyć Twojego biura,
  • jakie zabezpieczenia warto wdrożyć już teraz,
  • jak przygotować się na wymagania klientów objętych NIS2.

Pobierz e-book:

Cyberbezpieczeństwo i Dyrektywa NIS-2 w działach finansowych – wskazówki dla pracodawców

Czym jest dyrektywa NIS 2 i kogo obejmuje

Dyrektywa NIS2[1] to unijna regulacja dotycząca cyberbezpieczeństwa, której celem jest podniesienie odporności sieci i systemów informatycznych w całej Wspólnocie. Zastępuje ona poprzednią dyrektywę NIS z 2016 r. NIS2 rozszerza r zakres podmiotów objętych obowiązkami m.in. o te zajmujące się gospodarowaniem odpadami i ściekami, administracją publiczną, przestrzenią kosmiczną, usługami pocztowymi i kurierskimi, produkcją, wytwarzaniem i dystrybucją chemikaliów oraz żywności, a także niektóre gałęzie gospodarki z sektora produkcji np. wytwarzanie wyrobów medycznych oraz elektronicznych.

W Polsce podstawy prawne dla regulacji kwestii cyberbezpieczeństwa tworzy ustawa o krajowym systemie cyberbezpieczeństwa (KSC)[2], która wdrożyła wymagania pierwszej dyrektywy NIS. Obecnie trwają prace nad nowelizacją tej ustawy, aby dostosować polskie prawo do wymogów NIS 2. Polska miała czas na implementację dyrektywy do 17 października 2024 roku. Oznacza to konieczność wdrożenia dodatkowych zabezpieczeń, aby zapobiegać incydentom cybernetycznym i zapewnić zgodność w zakresie ochrony danych i systemów informatycznych

Wymagania NIS2 a rola księgowego

Dyrektywa NIS2 kładzie szczególny nacisk na standardy ochrony sieci i informacji w działalności przedsiębiorstw. Biura rachunkowe nie są, co do zasady, klasyfikowane jako „podmioty kluczowe” ani „podmioty ważne” w Dyrektywie NIS2 oraz projektowanej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa [6(implementującej dyrektywę NIS2 do polskiego prawa).

W większości przypadków nie będą zatem podlegać wprost nowym obowiązkom regulacyjnym. W praktyce jednak obsługują one wielu klientów, którzy – ze względu na branżę, wielkość lub świadczone usługi – należą do katalogu podmiotów objętych NIS2. Oznacza to konieczność wdrożenia dodatkowych zabezpieczeń, aby zapobiegać incydentom cybernetycznym i zapewnić zgodność w zakresie ochrony danych i systemów informatycznych

Cyberbezpieczeństwo w łańcuchu dostaw – nowe wyzwania dla księgowych

Zgodnie z projektem ustawy podmiot kluczowy i podmiot ważny odpowiada za cyberbezpieczeństwo całego łańcucha – w tym podwykonawców. Jeżeli więc biuro rachunkowe przetwarza dla niego dane lub utrzymuje dostęp do systemów, musi rozważyć konieczność prowadzenia analizy ryzyka [7] dla świadczonych usług, wdrożenia procedur ciągłości działania (BCP/DRP) [8] oraz udziału w okresowych audytach lub testach penetracyjnych prowadzonych z inicjatywy klienta.

W konsekwencji księgowy może stać się częścią łańcucha dostaw usług IT oraz danych.

Oznacza to, że:

  • klient może wymagać od biura rachunkowego stosowania równoważnych środków bezpieczeństwa,  na przykład żąda, aby biuro rachunkowe stosowało te same lub porównywalnie surowe zabezpieczenia techniczne i organizacyjne, które sam musi spełniać (np. szyfrowanie danych, weryfikacja wieloetapowa, kopie zapasowe w kilku lokalizacjach);
  • standardem mogą stać się ustalenia umowne nakładające obowiązek na dostawców w zakresie zgłaszania incydentów, minimalnych wymagań technicznych i możliwości prowadzenia audytu.

Ochrona danych i odpowiedzialność księgowych

Biura rachunkowe – mimo braku bezpośredniego obowiązku wynikającego z NIS2 – z uwagi na katalog obsługiwanych podmiotów, powinny zapewniać taki poziom bezpieczeństwa informacji, by ich klienci mogli spełnić swoje wymogi ustawowe. Jako element łańcucha dostaw podmiotów podlegających pod NIS2, biura rachunkowe powinny dostosować poziom bezpieczeństwa do wymagań klientów.

Podstawowe środki cyberbezpieczeństwa dla biur rachunkowych

Kluczowe będzie zatem wdrożenie podstawowych zabezpieczeń (zapory sieciowe, aktualizacje systemów i oprogramowań, antywirusy, VPN), aktualizacja polityki bezpieczeństwa informacji oraz przygotowanie planu reagowania na incydenty – z uwzględnieniem obowiązków raportowych klienta. Równocześnie, jako administratorzy lub podmioty przetwarzające w rozumieniu RODO, księgowi muszą stosować środki techniczne i organizacyjne wskazane w art. 32 RODO. Istotne jest także regularne szkolenie personelu w zakresie zagrożeń (np. phishing) i procedur reagowania. Wszystkie ustalenia warto uregulować umownie, by zapewnić przejrzystość odpowiedzialności.

Reakcja na incydenty – obowiązki i procedury w biurach rachunkowych

Świadczenie usług dla firm objętych reżimem NIS 2 oznacza, że biura rachunkowe powinny prowadzić własne procedury bezpieczeństwa tak, aby płynnie wpasować się w wymagania klientów – i nie być najsłabszym ogniwem ich łańcucha dostaw.

Niezbędne działania w przypadku zaobserwowania incydentu (np. ataku ransomware szyfrujący bazę danych klientów biura):

  1. wprowadzenie procesów umożliwiających szybkie wykrycie i eskalację m.in. natychmiastowe zidentyfikowanie anomalii, poinformowanie osób odpowiedzialnych za bezpieczeństwo oraz – gdy wymagają tego umowy – powiadomienie klienta objętego NIS 2;
  2. przyjęcie procedur przewidujących szybkie działania ograniczające szkody np. odłączenie zainfekowanych stacji od sieci wewnętrznej, uruchomienie środowiska zapasowego i przywrócenie danych z nienaruszonej kopii zapasowej;
  3. ścisła współpraca z klientem w przypadku zaobserwowania incydentu – choć obowiązek zgłoszenia incydentu najczęściej będzie spoczywał na kliencie, to umowy outsourcingowe oraz umowy powierzenia przetwarzania danych mogą wymagać, by biuro dostarczyło dane niezbędne klientowi do dochowania terminów na dokonanie zgłoszenia wynikających z Dyrektywy NIS 2 czy RODO.

Znaczenie zgodności z NIS2

Podsumowując, biura rachunkowe, mimo że formalnie nie są objęte regulacjami dyrektywy NIS2, odczuwają jej wprowadzenie pośrednio poprzez oczekiwania klientów podlegających nowym regulacjom.

Podsumowanie: Jak przygotować biuro rachunkowe na wyzwania związane z NIS2

Aby spełnić te oczekiwania, biura powinny wdrożyć odpowiednie środki bezpieczeństwa informatycznego, prowadzić regularne analizy ryzyka, aktualizować polityki bezpieczeństwa, szkolić personel oraz posiadać jasno określone procedury reagowania na incydenty cybernetyczne. Działania te pozwolą im zwiększyć bezpieczeństwo danych klientów, utrzymać zgodność z obowiązującymi standardami oraz zapewnić ciągłość świadczonych usług, co pozytywnie wpłynie na pozycję konkurencyjną biur stosujących takie standardy.

Przypisy:

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z  14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.

[2] Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2024 r. poz. 1077, 1222.).

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148. – art. 34 ust. 3,4.

[5] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148. – motyw 102 oraz art. 23 ust. 4.

[6] Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw https://legislacja.gov.pl/projekt/12384504

[7] systematyczna identyfikacja zagrożeń, ocena ich prawdopodobieństwa i wpływu na dane klienta oraz wybór adekwatnych środków kontroli

[8] Dokumenty określające sposób utrzymania lub przywrócenia kluczowych procesów oraz systemów IT w określonym czasie po awarii (Business Continuity Plan) i po zdarzeniu katastrofalnym (Disaster Recovery Plan).

Alicja Guzy – Menedżerka w Zespole Własności Intelektualnej, Technologii i Danych Osobowych, Kancelaria EY Law

Mikołaj Brzóstowicz – Młodszy Prawnik w Zespole Własności Intelektualnej, Technologii i Danych Osobowych, Kancelaria EY Law

Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz