Cyberbezpieczeństwo w biurach rachunkowych - jak się zabezpieczyć
Księgowi i biura rachunkowe powinni zabezpieczać się przed ryzykami cyberbezpieczeństwa nie tylko poprzez rozwiązania techniczne, ale również poprzez odpowiednio skonstruowane umowy z klientami oraz dostawcami usług IT. W praktyce to właśnie właściwe zapisy kontraktowe pozwalają precyzyjnie określić zasady ochrony danych, zakres obowiązków stron oraz podział odpowiedzialności w razie incydentu – mówi Ani Sokołowska, prawnik w JCJK Kancelaria Prawna w Krakowie, Inspektor Ochrony Danych osobowych.
Dlaczego księgowi i biura rachunkowe narażeni są na cyberataki?
Księgowi i biura rachunkowe są szczególnie atrakcyjnym celem cyberataków, ponieważ przetwarzają dane o najwyższej wartości: informacje finansowe, dane osobowe, dokumentację podatkową i sprawozdawczą oraz inne poufne informacje biznesowe. To właśnie koncentracja tak wrażliwych zasobów sprawia, że sektor księgowy znajduje się w obszarze szczególnego zainteresowania cyberprzestępców. Skala ryzyka rośnie wraz z postępującą cyfryzacją procesów księgowych. Wcześniej zwiększyło ją wdrożenie JPK, a obecnie dodatkowo wzmacnia ją KSeF, który jeszcze mocniej osadza obsługę finansowo-księgową w środowisku teleinformatycznym.
Jakie regulacje prawne normują cyberbezpieczeństwo, które dotyczą księgowych?
Cyberbezpieczeństwo w pracy księgowych nie jest regulowane przez jeden akt prawny, lecz przez cały zespół przepisów dotyczących ochrony danych, bezpieczeństwa systemów teleinformatycznych oraz prawidłowego obiegu dokumentów finansowych. Kluczowe znaczenie mają tu przede wszystkim: RODO, ustawa o świadczeniu usług drogą elektroniczną, Prawo komunikacji elektronicznej, a także ustawa o krajowym systemie cyberbezpieczeństwa, pozostająca w ścisłym związku z unijnymi regulacjami NIS i NIS2. Z perspektywy praktyki księgowej istotne są również przepisy sektorowe, w szczególności ustawa o rachunkowości, Ordynacja podatkowa, przepisy dotyczące CIT i PIT, regulacje odnoszące się do JPK, KPiR oraz KSeF w ramach ustawy o VAT. To właśnie one wyznaczają standardy bezpiecznego przetwarzania, przechowywania i przekazywania danych finansowych i podatkowych.
Jakie obowiązki nakładają te przepisy, zwłaszcza dotyczące cyberbepieczeństwa, na polskie służby finansowo- księgowe?
Przepisy dotyczące cyberbezpieczeństwa nakładają na służby finansowo-księgowe przede wszystkim obowiązek zapewnienia odpowiedniego poziomu ochrony danych oraz bezpieczeństwa wykorzystywanych kanałów komunikacji i systemów teleinformatycznych. W praktyce oznacza to konieczność wdrożenia adekwatnych zabezpieczeń technicznych i organizacyjnych, takich jak szyfrowanie, stosowanie certyfikatów SSL, kontrola dostępu, uwierzytelnianie wieloskładnikowe, tworzenie kopii zapasowych czy procedury reagowania na incydenty. Na gruncie Prawa komunikacji elektronicznej szczególne znaczenie ma obowiązek zachowania tajemnicy komunikacji, zwłaszcza gdy kontakt z klientem odbywa się z wykorzystaniem narzędzi takich jak czat, wideorozmowy czy telekonferencje. Przepisy te wymagają również ograniczenia przetwarzania danych do zakresu niezbędnego oraz ochrony ich przed przechwyceniem lub nieuprawnionym dostępem. Naruszenie tych obowiązków może skutkować sankcjami administracyjnymi, a także roszczeniami cywilnymi ze strony klientów. Z kolei w kontekście NIS2 i ustawy o krajowym systemie cyberbezpieczeństwa obowiązki te mogą dotyczyć księgowych bezpośrednio lub pośrednio, zwłaszcza gdy świadczą usługi na rzecz podmiotów z sektorów ważnych lub kluczowych. W takim przypadku służby finansowo-księgowe stają się elementem łańcucha dostaw i muszą wykazać, że stosują środki bezpieczeństwa odpowiadające wymaganiom stawianym ich klientom, w tym procedury zarządzania ryzykiem i obsługi incydentów.
Jak zatem księgowi i biura rachunkowe powinny bronić się przed atakami hakerskimi? Jakie metody stosować? Czy wystarczą zabezpieczenia techniczne?
Ochrona przed cyberatakami wymaga dziś od księgowych i biur rachunkowych podejścia systemowego, a nie wyłącznie doraźnych działań technicznych. Podstawą powinno być wdrożenie standardów bezpieczeństwa obejmujących m.in. szyfrowanie danych, regularne tworzenie kopii zapasowych, wieloskładnikowe uwierzytelnianie, kontrolę dostępu do systemów oraz procedury reagowania na incydenty. Szczególne znaczenie ma także bezpieczeństwo organizacyjne: szkolenie personelu, weryfikacja uprawnień, zarządzanie ryzykiem oraz stałe monitorowanie zgodności z obowiązującymi przepisami i wymaganiami klientów. W praktyce coraz częściej to właśnie klienci, zwłaszcza więksi przedsiębiorcy wymagają od biur rachunkowych wykazania, że stosują określone standardy cyberbezpieczeństwa jako uczestnicy łańcucha dostaw. W konsekwencji biuro rachunkowe powinno traktować cyberbezpieczeństwo nie tylko jako kwestię techniczną, lecz również jako element odpowiedzialności prawnej, zawodowej i reputacyjnej. Brak odpowiednich zabezpieczeń może bowiem prowadzić nie tylko do wycieku danych, ale również do odpowiedzialności cywilnej, administracyjnej, a w określonych przypadkach także karnej.
Czy księgowi i biura rachunkowe mogą zabezpieczyć się przed ryzykami cyberbezpieczeństwa, konstruując odpowiednio umowy z klientami? Powinny one zawierać zapisy dotyczące standardów bezpieczeństwa?
Księgowi i biura rachunkowe powinni zabezpieczać się przed ryzykami cyberbezpieczeństwa nie tylko poprzez rozwiązania techniczne, ale również poprzez odpowiednio skonstruowane umowy z klientami oraz dostawcami usług IT. W praktyce to właśnie właściwe zapisy kontraktowe pozwalają precyzyjnie określić zasady ochrony danych, zakres obowiązków stron oraz podział odpowiedzialności w razie incydentu. W umowach warto przewidywać postanowienia dotyczące standardów bezpieczeństwa, zasad dostępu do danych, obowiązku zachowania poufności, procedur zgłaszania incydentów, czasu reakcji, sposobu współpracy przy usuwaniu skutków naruszenia, a także odpowiedzialności za niewłaściwe zabezpieczenie systemów lub danych. Istotne znaczenie mają również klauzule regulujące korzystanie z rozwiązań chmurowych, wykonywanie kopii zapasowych oraz zasady współpracy z podmiotami przetwarzającymi dane. Dobrze przygotowana umowa pozwala nie tylko ograniczyć ryzyko sporów, ale także wykazać dochowanie należytej staranności w organizacji bezpieczeństwa informacji.
Jaką zatem odpowiedzialność mogą ponosić księgowi?
Odpowiedzialność księgowych za zaniedbania w obszarze cyberbezpieczeństwa może mieć charakter wielopłaszczyznowy. W pierwszej kolejności należy wskazać odpowiedzialność cywilną i zawodową za szkody wyrządzone klientowi lub pracodawcy, w szczególności w razie wycieku danych finansowych, utraty dokumentacji lub naruszenia poufności informacji. Równolegle może powstać odpowiedzialność administracyjna, związana z brakiem wymaganych procedur, niewdrożeniem adekwatnych zabezpieczeń lub nieprawidłową organizacją procesu przetwarzania danych. W określonych sytuacjach w grę może wchodzić także odpowiedzialność karna, zwłaszcza w przypadku nieuprawnionego ujawnienia danych, naruszenia obowiązków ochronnych lub zaniechania zgłoszenia incydentu, gdy taki obowiązek wynika z przepisów. Nie można też pomijać odpowiedzialności reputacyjnej i etycznej, która w praktyce bywa równie dotkliwa jak sankcje prawne.
Ani Sokołowska, prawnik w JCJK Kancelaria Prawna w Krakowie, Inspektor Ochrony Danych osobowych, doktorantka w Katedrze Prawa Ustrojowego i Porównawczego UJ, członek GRAI przy Ministerstwie Cyfryzacji.
