Du er her:

Har DORA og NIS2 noe med regnskapsbransjen å gjøre?

DORA (Digital Operational Resilience Act) og NIS2-direktivet (Network and information security directive) har som formål å redusere risiko for driftsavbrudd og tap av data hos samfunnskritiske funksjoner i EU og i Norge. Regnskapsbransjen er ikke ansett å være en samfunnskritisk funksjon i relasjon til DORA og NIS2. Men deler av bransjen vår kan likevel bli påvirket.

14.11.24
Skrevet av  Hans Ellefsen, direktør teknologi, innovasjon og bærekraft
Del

DORA gjelder primært for finanssektoren, men også for IT-tjenesteleverandører. NIS2 gjelder for virksomheter innen eksempelvis energi, bank, helse og transport. Under pandemien ble det jobbet for at regnskapsbransjen skulle bli sett på som en samfunnskritisk funksjon, noe som ikke ble tatt til følge. Ønsket om å bli klassifisert slik, var fordeler slike virksomheter kunne få under nedstengningen av samfunnet. Kanskje kan vi nå være glade for at det ble slik.

Samfunnskritiske virksomheter vil få et betydelig krav om å styrke sin sikkerhet og beredskap, og derigjennom gjøre virksomhetene mer motstandsdyktige overfor cyberkriminalitet. Bekjempelse av cyberkriminalitet  er selvfølgelig viktig for vår bransje, men omfang, dokumentasjonskrav og testing i DORA og NIS2 går langt utover det som ligger i standarden for god regnskapsføringsskikk - GRFS.

Hvorfor kan regnskapsbransjen likevel bli berørt?

Selv om regnskapsbransjen ikke direkte blir berørt av regelverkene, kan regnskapsvirksomheter få henvendelser fra kunder som er underlagt regelverkene direkte, eller fra kunder som er underleverandører til virksomheter som er underlagt reglene. Cyberangrep og andre IT-trusler kan skje via ulike angrepsvektorer. Det vil si at hackere vil gå minste motstands vei for å nå sitt mål. Dette igjen betyr at underleverandører, herunder regnskapsvirksomheter, kan bli rammet av angrep for at hackerne skal nå de virksomhetene som DORA og NIS2 skal gjelde for. Regnskapsvirksomheter kan derfor bli forespurt om sine sikkerhetstiltak og beredskapsplaner av sine kunder.

Hvordan svare?

De aller fleste regnskapsvirksomheter benytter eksterne skybaserte løsninger i sin leveranse til kunder og myndigheter. Sikkerheten rundt disse løsningene utgjør deler av risikoen, men ikke helt. Regnskapsvirksomhetens egen sikkerhetspolicy og rutiner utgjør resten av risikoen. Dette omfatter blant annet brukeradministrasjon, bruk av tofaktorløsninger, sikkerhetskopiering og beredskapsplaner. Alt dette er en del av GRFS.

Omfanget av svaret til de som krever innsikt i regnskapsvirksomhetens sikkerhetsarbeid må stå i forhold til risikoene som regnskapsvirksomheten selv er påvirket av. Enkle systemløsninger med få brukere krever lite dokumentasjon, mens det på den andre side kreves mer dokumentasjon av komplekse system- og nettverksløsninger.

Først bør du innhente informasjon om sikkerhetstiltak fra dine viktigste systemleverandører. Noe informasjon om dette finnes ofte på deres hjemmesider. Deretter bør du summarisk informere om de viktigste sikkerhetstiltakene du har iverksatt i regnskapsvirksomheten.

Kravene vi har til dokumentasjon om relevante risikoer og tiltak i henhold til GRFS bør være tilstrekkelig for å svare på kundehenvendelsen. Regnskapsvirksomheten kan likevel risikere å få et omfattende spørreskjema fra kunden. Ta da en dialog med kunden om det er muligheter for å gi en summarisk fremstilling i stedet for å svare på spørreskjemaet.

Dokumentasjonen fra regnskapsvirksomheten må stå i forhold til den risikoen regnskapsvirksomheten utgjør for de som er underlagt DORA eller NIS2. Av og til vil det kunne være mulig å argumentere for at regnskapsvirksomheten utgjør en så liten risiko for driftsavbrudd og tap av data hos kunden, at kunden ikke trenger å innhente informasjon fra regnskapsvirksomheten likevel.

Konsekvenser av manglende rapportering

En kunde kan, basert på manglende tilbakemelding fra regnskapsvirksomheten, eller at sikkerheten er vurdert for svak, måtte bli tvunget til å bytte regnskapsfører for å sikre at den totale risikoen for virksomheten kommer ned på et akseptabelt nivå. Det er vanskelig å tro at dette blir et stort problem for vår bransje, men i enkelte tilfelle kan dette bli utfallet av kundens vurderinger.