Ez az útmutató számviteli irodák, adótanácsadók és szakszemélyek részére készült, akik ügyfél pénzügyi adatokat és adóbevallási nyilvántartásokat kezelnek. Megtudhatja, hogyan kell megfelelni az NIS2-hez az adatbiztonsággal, hozzáférés-ellenőrzéssel és incidensbeszámolással kapcsolatos konkrét követelményeknek.
Azon számviteli irodák, adótanácsadók és könyvvizsgálók tartoznak az NIS2 hatálya alá, akik Magyarországon legalább 50 alkalmazottal rendelkeznek vagy éves nettó árbevételük meghaladja a 10 millió eurót, és akik rendszeres alapon ügyfél pénzügyi adatokat, adónyilvántartásokat vagy könyvvizsgálati dokumentumokat tárolnak vagy feldolgoznak. Az Annex II. szerinti fontos szervezeteknek szigorú kiberbiztonsági intézkedéseket kell alkalmazniuk az ügyfél bizalmas adatainak védelme érdekében.
Minden ügyfél adóbevallás, számviteli nyilvántartás és pénzügyi dokumentum számára kötelezően titkosítást kell alkalmazni mind a helyi tárolás, mind a felhőalapú platformok esetén. A titkosítást eszközszinten (végponti titkosítás) vagy adatbázis-szinten kell megvalósítani, és a titkosítási kulcsok szigorú szeparációban kell, hogy legyenek az adatoktól.
A számviteli szoftverekhez, adónyilvántartásokhoz és ügyfél-adatbázisokhoz való hozzáférést szerepalapú hozzáférés-ellenőrzéssel (RBAC) kell szabályozni. Minden felhasználónak csak az adott munkakörhöz szükséges legkisebb jogosultságot kell kapnia. Az erős hitelesítést (legalább kétfaktoros hitelesítést) kötelezően alkalmazni kell az összes gépszámlához és felhasználói fiókhoz.
Az Unsecured Remote Desktop (RDP) vagy egyéb titkosítatlan távelérési protokollok nem használhatók ügyfél-adatok eléréséhez. Minden távelérési kapcsolatot VPN-en keresztül kell létesíteni, és többfaktoros hitelesítéssel kell védeni. A szoftver szállítók vagy külső szakértők által a szervezeten belüli rendszerekhez történő hozzáférés véleményezéshez kötött és naplózott egyedi munkamenetekre korlátozódhat.
Bármely biztonsági incidens, amely az ügyfél pénzügyi adatait, adónyilvántartásait vagy titkos üzleti információit érinti, 72 óra alatt jelentendő az SZTFH-nak. Az ügyfél-titkosságot sértő incidenst előzetes értesítés nélkül az érintett ügyféleknek is közölni kell. A szervezeteknek dokumentálnia és nyomon kell követniük az összes incidenst.
Az összes számviteli szoftvert, könyvvizsgálati eszközt és felhő-platformot szállító szervezet biztonsági és kiberbiztonsági ellenőrzésének alá kell vetni. A szállítók szerződésében ki kell kötni, hogy biztosítják az NIS2 szerinti minimális biztonsági szinteket, és hogy naponta vagy szükség szerint közlik az incidenséket. Évente legalább egy alkalommal újra kell értékelni a szállítók biztonsági helyzete.
Igen, az Annex II. szerinti fontos szervezetek közé tartoznak az olyan számviteli irodák, amelyek rendszeres alapon nagy mennyiségű ügyfél-adatot tárolnak és feldolgoznak. A saját ingatlan-cégekre működő irodákat is az NIS2 hatálya alá lehet sorolni, ha a szokásos méret- és forgalmi küszöbeket elérték (50+ alkalmazott vagy 10+ millió eurós éves bevétel). Az ügyfél-adatok kezelésének szintje és szenzitivitása, valamint a szervezet mérete határozza meg a végső besorolást.
Az NIS2 nem ír elő konkrét titkosítási algoritmusokat, de ajánlatos az olyan korszerű szabványokat használni, mint az AES-256 szimmetrikus titkosításhoz, az RSA-2048 vagy az elliptikus görbét (ECC) aszimmetrikus titkosításhoz. Az ügyfél-adatok hálózaton történő szállítása során a TLS 1.2 vagy újabb verziót kell alkalmazni. A szervezetnek szakértői tanácsot kell kérnie, és a titkosítási kulcsok kezeléseit az NIST vagy a CIS keretrendszer alapján kell kezelnie.
Az NIS2 szerinti fontos szervezetekre az SZTFH által adagolt büntetések elérik a 10 millió euró vagy az éves érdeklődés 2%-a közül a nagyobbikat az alapvető biztonsági követelmények megsértése esetén. Súlyos incidensbeszámolási mulasztás vagy szállítóbiztonsági hiányosságok esetén az SZTFH szankcionálhatja az irodákat. A szervezeteknek a megfelelés iránti demonstrációt 2026. március 31. előtt be kell nyújtaniuk az SZTFH felé.