Tato stránka je určena účetním firmám, daňovým poradcům a finančním auditorům, kteří spravují důvěrná data klientů a musí do 30. září 2026 splnit povinnosti vyplývající z NIS2. Naučíte se konkrétní technické a organizační opatření pro ochranu finanční dokumentace a přístupu k účetnímu softwaru.
Povinnost se týká účetních a daňových poradenských služeb s více než 50 zaměstnanci nebo ročním obratem přesahujícím 10 milionů eur, které spravují finanční data a daňové záznamy klientů. Včetně samostatných auditorských firem poskytujících služby finančního auditu pro klienty z kritických sektorů. Mezi povinné subjekty patří také větší účetní agentury, které poskytují služby bankovnímu, energetickému nebo zdravotnickému sektoru.
Veškerá citlivá data klientů — účetnictví, daňové přiznání, mzdové listy, smlouvy — musí být šifrována jak při uložení (na serverech a lokálních discích), tak při přenosu. Zakažte ukládání finančních dat v nešifrované podobě na pracovní stanice bez aktivního šifrovacího protokolu. Definujte v bezpečnostní politice minimální standard (AES-256) a zajistěte centrální správu šifrovacích klíčů odděleně od samotných dat.
Implementujte vícefaktorovou autentizaci (MFA) pro přístup k účetnímu softwaru, vzdálenému přístupovému řešení a cloudovým platfmám. Nastavte rolí skupiny přístupu tak, aby účetní a auditorský personál měl přístup pouze k datům svých klientů.每měsíčně auditujte seznam aktivních uživatelů a odstraňte přístup pracovníků, kteří odešli nebo změnili pozici.
Vzdálený přístup k účetnímu softwaru musí být realizován pouze přes zabezpečené sítě VPN s silnou šifrací, nikoli přes klasný Remote Desktop bez ochrany. Vedení seznamu všech vzdálených připojení, včetně času přístupu a přístupného uživatele. Minimálně čtvrtletně proveďte bezpečnostní audit log-souborů a detekujte neobvyklé přístupové vzory.
V případě podezření na únik klientských finančních dat nebo hacknutí účetního systému musíte informovat NÚKIB do 24 hodin. Společně s hlášením poskytnete seznam klientů, jejichž data mohla být ohrožena (jména, podnikatelská čísla, rozsah odcizeného materiálu). Stanovte vnitřní postup pro dokumentaci incidentu a komunikaci s dotčenými klienty bez zbytečné prodlevy.
Před uzavřením smlouvy se správcem účetního softwaru (SaaS) nebo cloud-poskytovatelem proveďte bezpečnostní audit jejich infrastruktury a certifikací (ISO 27001, SOC 2). V smluvě požadujte záruku šifrování, pravidelných záloh, právo na audit a jasné podmínky ukončení a návratu dat. Minimálně jedenkrát za 12 měsíců ověřte, že poskytovatel nadále splňuje smluvené bezpečnostní standardy.
Lhůta pro splnění všech povinností je 30. září 2026. Do tohoto data musíte předložit NÚKIB plán implementace a alespoň jedenkrát jej aktualizovat. NÚKIB nevyžaduje průběžné hlášení, ale v případě incidentu musíte podat hlášení do 24 hodin od detekce. Doporučujeme si stanovit interní milníky — například do 30.6.2025 by měla být gotova šifrování dat a MFA, do 31.12.2025 by měly být auditovány všechny cloud-smlouvy.
Nesplnění povinností NIS2 do 30. září 2026 je porušením zákona č. 181/2014 Sb. a NÚKIB může uložit pokutu až 10 milionů korun nebo až 2 % ročního obratu (je-li vyšší). V případě závažného porušení — například pokud dojde k úniku klientských dat a bude zjištěno, že opatření NIS2 vůbec nebyla implementována — hrozí i trestní odpovědnost. Navíc se vystavujete civilním žalobám od klientů za škodu.
NIS2 neukazuje na to, zda data spravujete lokálně nebo v cloudu — důležité je splnit bezpečnostní standardy. Cloud je přípustný, pokud poskytovatel splňuje NIS2 požadavky (šifrování, backupy, incident reporting) a máte s ním podepsanou smlouvu s jasnými bezpečnostními podmínkami. Pro řadu účetních firem je cloud praktičtější — snižuje náklady na údržbu infrastruktury a zajišťuje pravidelné zálohování. Zkontrolujte si ale, kde jsou data fyzicky uložena (v rámci EU či mimo ni) a zda poskytovatel má certifikaci ISO 27001.