Acest ghid se adresează firmelor de contabilitate, auditorilor financiari și consilierilor fiscali care gestionează date financiare și fiscale ale clienților. Vei afla obligațiile specifice NIS2, standardele de securitate aplicabile și cum să elimini decalajele comune de conformitate.
Firmele de contabilitate, auditorii financiari și consilerii fiscali din România sunt clasificați ca entități importante sub NIS2 dacă gestionează date financiare și fiscale sensibile ale clienților și furnizează servicii esențiale economiei. Această clasificare se aplică indiferent de dimensiune dacă activitatea ta implică procesarea sistematică a informațiilor confidențiale ale clienților și accesul la sisteme de contabilitate și audit critice.
Trebuie să implementezi criptare pe toți vectorii de transmisie și stocare a datelor financiare și fiscale ale clienților. Aceasta include criptarea end-to-end pentru email-urile cu informații sensibile, criptarea discurilor locale unde sunt stocate fisierele clienților și criptarea în tranzit către cloud-urile de backup și arhivă. Certificatele și cheile de criptare trebuie gestionate conform standardelor NIS2 și stocate separat de datele criptate.
Fiecare angajat care accesează software-ul de contabilitate, platforma de audit sau depozitele de documente fiscale trebuie să aibă un cont individual cu autentificare multifactor obligatorie. Nu sunt permise conturi partajate sau accesul prin Remote Desktop fără VPN și autentificare suplimentară. Trebuie să documentezi și să revezi regulat permisiunile de acces și să revoci imediat accesul pentru angajații care pleacă.
În cazul unei breșe de date care expune informații financiare sau fiscale ale clienților, trebuie să raportezi DNSC în termen de 24 ore de la detectare. Raportul trebuie să conțină detalii despre volumul datelor compromise, clienții afectați, cauzele breșei și măsurile corective implementate. De asemenea, trebuie să notifici clienții afectați conform GDPR și legislației române, și să documentezi toți pașii investigației.
Toți furnizorii de software de contabilitate, platforme de audit, servicii cloud și alte soluții critice utilizate în firmă trebuie evaluați din punct de vedere al securității înainte de implementare. Trebuie să includezi clauze de securitate NIS2 în contracte, să soliciti certificări de conformitate (ISO 27001 sau echivalent), și să efectuezi audituri periodice ale acestor furnizori. Schimbările majore la furnizor trebuie să fie precedate de o evaluare nouă a riscului de securitate.
Trebuie să implementezi un proces standardizat prin care accesul la toate sistemele, software-ul de contabilitate, serverele de stocare, email și orice altă resursă care conține date de client este revocat imediat la data plecării angajatului. Aceasta include resetarea parolelor pentru conturi partajate, stergerea datelor de autentificare din managerii de parole și raportarea formală către administratorii de sistem. Trebuie să ai o listă de verificare scrisă care este urmărită pentru fiecare plecare.
Aceasta constituie o violare critică a NIS2 și a obligațiilor de securitate a datelor clienților. Dacă acel angajat accesează apoi datele clienților (intenționat sau din neglijență), ești responsabil de incidentul de securitate. DNSC poate aplica amenzi de 5% din venituri anuale, iar clienții pot cere despăgubiri. Trebuie să revoci orice acces în maxim 24 de ore de la plecarea angajatului și să verifici regulat și retrospectiv că niciun acces nu a fost efectuat după plecarea sa.
Ambele sunt acceptabile sub NIS2, dar ambele necesită criptare și control acces strict. Serverul local necesită criptare a discului, backupuri criptate și control fizic al accesului. Cloud-ul necesită contracte NIS2 cu furnizorul, criptare end-to-end (în cazul în care furnizorul nu vede datele în clar), și audit regulat al practicilor de securitate ale furnizorului. Cea mai bună practică este criptarea înainte de încărcarea în cloud și administrarea cheilor de criptare intern.
Legea 362/2022 prevede amenzi administrative de până la 5% din cifra de afaceri anuală pentru entitățile importante care nu respectă obligațiile de securitate. Pentru firme de contabilitate de dimensiuni medii, aceasta poate însemna zeci de mii de euro. Sunt posibile și penalități penale pentru neglijență gravă. Termenul de conformitate totală este 31 decembrie 2025, ceea ce înseamnă că trebuie să ai toate sistemele securizate, procesele documentate și testele de incidenți finalizate cu 6 luni înainte de această dată.