To-faktor autentificering: guide til regnskabsbranchens bogføring

Hvorfor to-faktor autentificering er uundværlig inden for revisionsekspertise

Revisionskonti behandler dagligt højt fortrolige finansielle data: skattepapirer, årsregnskaber, lønningsslips, bankoplysninger fra hundredvis af klientfirmaer. I 2025, ifølge ANSSI's årsrapport, er phishing-angreb rettet mod regulerede erhverv steget med 37 % på et år. Over for denne trussel udgør to-faktor autentificering (2FA) — også kaldet multifaktor autentificering (MFA) — den første anbefalede tekniske forsvarslinje.

To-faktor autentificering bygger på et simpelt princip: for at få adgang til et system skal brugeren bevise sin identitet via to forskellige elementer. Det første er normalt "noget man ved" (et kodeord), det andet er "noget man har" (en smartphone, en fysisk nøgle) eller "noget man er" (biometriske data). Denne mekanisme gør hackforsøg på baggrund af enkel kodeordstyveri praktisk talt umulige, hvilket ifølge Verizon DBIR 2024-rapporten stadig repræsenterer 81 % af datakrænkelser.

For revisor-eksperter er overensstemmelse med eIDAS-forordningen og dens krav om stærk identifikation ikke længere valgfrit: det er et lovmæssigt og etisk krav. Denne artikel forklarer dig trin for trin, hvordan du konfigurerer 2FA i dit kontor, hvilke værktøjer du skal vælge, og hvordan du hjælper dine medarbejdere gennem denne overgang.

---

To-faktor autentificeringsmetoder tilpasset revisionsbranchens behov

Autentificeringsapplikationer (TOTP)

Den mest udbredte metode i revisionskonti er brugen af en app, der genererer tidskoder (TOTP — Time-based One-Time Password). Løsninger som Google Authenticator, Microsoft Authenticator eller Authy genererer en 6-cifret kode, der fornyes hvert 30. sekund. Denne kode associeres med en delt hemmelighed, der gemmes i applikationen under tilmeldingsfasen (scanning af en QR-kode).

Fordele for revisionskonti: implementering uden ekstraomkostninger, fungerer uden internetforbindelse, kompatibel med stort set alle revisionsoftware (Sage, Cegid, ACD, MyUnisoft). Ulempe: hvis medarbejderen mister sin telefon, skal gendannelsesproceduren planlægges på forhånd (sikkerhedskoder gemt på et sikkert sted).

Fysiske sikkerhedsnøgler (FIDO2/WebAuthn)

For revisionskonti, der behandler store mængder følsomme data eller undergår hyppige revisioner, tilbyder fysiske sikkerhedsnøgler (type YubiKey eller Feitian) det højeste beskyttelsesniveau. Baseret på FIDO2- og WebAuthn-standarder er de resistente mod phishing efter design: nøglen verificerer kryptografisk domænet på webstedet før autentificering, hvilket neutraliserer "man-in-the-middle"-angreb.

Flere og flere skattevej og obligatoriske deponeringssystemer (DGFiP, infogreffe) accepterer i stigende grad disse standarder. Et revisionskontor, der administrerer omkring hundrede mandater, kan rentabilisere køb af nøgler (omkring 50-80 € pr. stk.) inden for få uger takket være reduktion i tid til håndtering af sikkerhedsincidenter.

SMS OTP: bør undgås for følsomme data

Selvom koder sendt via SMS stadig er en mulighed i mange systemer, har det amerikanske NIST (National Institute of Standards and Technology) nedgraderet dem i 2016 fra kategorien af stærke autentificeringsmetoder. SIM-swap-angreb (svigagtig overførsel af et telefonnummer til et SIM-kort kontrolleret af en angriber) har ramt flere danske revisionskonti i de seneste år. For adgang til skattebetingende data eller værktøjer til elektronisk signering for juridiske og revisionskonti, bør SMS OTP kun betragtes som sidste udvej.

---

Sådan konfigurerer du to-faktor autentificering: trin-for-trin guide

Trin 1 — Inventar over applikationer og afgrænsning af omfang

Før ethvert teknisk implementering skal du foretage en fuldstændig liste over alle applikationer, der bruges i dit kontor:

• Revisorsoft: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-mail og samarbejdsværktøjer: Microsoft 365, Google Workspace, Slack
• Dokumenthåndtering og signering: deponeringssystemer, arbejdsgangværktøjer
• Fjernadgang: VPN, RDP, virtuelle skriveborde
• Klientportaler: dokumentudvekslingsområder med klienter

For hver applikation skal du kontrollere, om 2FA er tilgængelig (afsnittet "Sikkerhed" i indstillingerne) og hvilken metode der understøttes (TOTP, FIDO2, SMS). Klassificer applikationerne efter kritikalitet baseret på følsomheden af de tilgængelige data.

Trin 2 — Teknisk implementering og medarbejdertilmelding

For Microsoft 365 udføres konfigurationen via Azure Active Directory-portalen (Entra ID). Aktiver "Security Defaults" eller, for konti med mere end 10 medarbejdere, konfigurer betinget adgangspolitikker (tilgængelige fra Business Premium-licens og opefter). Disse politikker gør det muligt at kræve 2FA kun under visse betingelser: adgang udefra kontoret, login fra en ukendt enhed, usædvanlig tidszone.

For revisorsoftware varierer proceduren alt efter udgiver:

• Cegid Loop: sikkerhedsindstillinger > aktiver dobbelt autentificering > generer QR-koder for hver bruger
• MyUnisoft: administration > sikkerhed > stærk autentificering > gennemtving 2FA for alle profiler
• Sage 100 Cloud: kontakt Sage-administrator eller din forhandler for at aktivere MFA-modulet

Planlæg en tilmeldingssession med hver medarbejder (15-20 minutter pr. person). Distribuer til hver bruger en resumékort med deres gendannelseskoder, der skal opbevares på et sikkert og fysisk sted (f.eks. kontorkontoret).

Trin 3 — Administrationspolitik og nødprocedurer

Den tekniske implementering er kun halvdelen af arbejdet. En dokumenteret sikkerhedspolitik skal præcisere:

• Hvem der kan midlertidigt deaktivere 2FA (kun systemadministratoren, aldrig medarbejderen selv)
• Procedure ved tab af enhed: øjeblikkelig kontobehandling, regenerering af gendannelseskoder, overvåget gentilmelding
• Revisionshyppighed: halvårlig revision af adgange og autentificeringsmetoder
• Håndtering af afgange: øjeblikkelig tilbagetrækning af adgang og 2FA-hemmeligheder ved enhver medarbejderafgang

Denne politik integreres naturligt i din forretningskontinuitetsplan (BCP) og dit databehandlingsregister i henhold til GDPR. At konsultere Certyneo-hjælpecenter kan give dig skabeloner til politikker tilpasset små og mellemstore strukturer.

---

Integration af 2FA med elektroniske signeringsværktøjer

Avanceret eller kvalificeret elektronisk signering, som defineret i eIDAS-forordningen, kræver stærk identifikation af underskriveren. Konkret, når dit kontor sender et opgavebrev eller servicekontrakt til underskrift til en klient, skal signaturplatformen verificere underskriverens identitet på robust vis. Det er præcis her, 2FA kommer ind.

På eIDAS-kompatible signaturplatforme (avanceret eller kvalificeret niveau) modtager underskriveren et link via e-mail og skal derefter validere deres identitet via en anden kanal (SMS, autentificeringsapp eller kvalificeret certifikat). Denne proces skaber et tidsangivelsesrevisionsspor og kryptografisk verifiabelt, som udgør uomtvistelig bevismateriale i tilfælde af retsstridigheder — et kritisk emne for revisor-eksperter, der påtager sig deres erhvervsmæssige ansvar på hver mission.

For at forstå de forskellige signeringsniveauer og vælge det, der passer til dine dokumentflow, anbefales læsning af komplet guide til elektronisk signering. Kontorer, der bruger Certyneo, nyder godt af native integration af 2FA i signaturprocessen, hvilket reducerer friktion for underskriveren, mens det opretholder det påkrævede overensstemmelsesniveau.

Særlig opmærksomhed skal gives til opgavebrevet (obligatorisk ifølge OEC-proffesionelstandard 2400) og revidorapporter: disse dokumenter påtager sig revisoren personlig ansvar og kræver urokkelig autentificeringsdetektering. Du kan også bruge en AI-kontraktgenerator til at automatisere oprettelsen af disse dokumenter, mens du fra designet integrerer kravene om stærk autentificering.

---

Uddannelse og vejledning af medarbejdere: den menneskelige faktor

Den mest streng teknisk implementering gøres ineffektiv, hvis medarbejdere ikke forstår indsatserne eller omgår sikkerhedsmidlerne. Inden for revisionsekspertise er teams ofte sammensat af meget varierede profiler: seniorassocierede, juniormedarbejdere, praktikanter, kontorsekretærer. Uddannelsen skal tilpasses hver profil.

Anbefalet oplysningsprogram for et kontor på 5-30 personer:

1. Lanceringssession (1t): præsentation af konkrete risici (anonymiserede eksempler på virkelige incidents i sektoren), live-demonstration af konfiguration, spørgsmål og svar
2. Korte videoopgaver (3-5 minutter hver): én vejledning pr. kritisk applikation, tilgængelig på kontorets intranet
3. Simuleret phishing-øvelse: udsendelse af en falsk phishing-e-mail til 3 måneder efter implementering for at måle reel årvågenhed og identificere medarbejdere, der kræver yderligere support
4. Integration i onboarding: enhver ny medarbejder konfigurerer sin 2FA på sin første dag med en dedikeret referent

Orden for Revisor-Eksperter (OEC) tilbyder også uddannelsesressourcer om cybersikkerhed som en del af obligatoriske årlige uddannelsesfrist (40 timer for registrerede revisor-eksperter). Denne uddannelse kan værdisættes i dit kvalitetskvalitetsprojekt, hvis dit kontor er ISO 9001-certificeret eller sigter efter cybersikkerhedscertificering (ANSSI's ExpertCyber-mærke, f.eks.).

Gældende retsramme for stærk autentificering inden for revisionsekspertise

Implementeringen af to-faktor autentificering i et revisionskontor foregår inden for en tæt regulatorisk ramme, der er organiseret omkring flere grundlæggende tekster.

EU-forordning eIDAS nr. 910/2014 og dens revision eIDAS 2.0 (EU-forordning 2024/1183) udgør referencegrundlaget for alt, hvad der vedrører elektronisk identifikation i Europa. Artikel 8 definerer tre niveauer af sikkerhed for elektroniske identifikationsmidler: lavt, betydeligt og høj. For handlinger, der påtager sig ansvar for en revisor-eksperts erhvervsansvar (signering af rapporter, validering af skattepapirer online), er niveauet "betydeligt" eller "høj" påkrævet, hvilket obligatorisk indebærer multifaktor-autentificering.

GDPR (EU-forordning 2016/679), i sin artikel 32, påligger dataansvarlige at implementere "passende tekniske og organisatoriske foranstaltninger" for at sikre sikkerhed for persondata. Et revisionskontor behandler følsomme personlige data (finansielle data, sundhedsdata via lønslipsoplysninger med sygemeldinger osv.). Fravær af 2FA på adgang til revisorsoft udgør meget sandsynligt en overtrædelse af denne artikel, der udsætter kontoret for bøder op til 4 % af årlig global omsætning (artikel 83 GDPR).

Borgerlig lovbog, artikler 1366 og 1367, regulerer værdien af elektronisk signering. Artikel 1367 præciserer, at "pålideligheden af en elektronisk signeringsproces formodes, indtil andet er bevist, når processen implementerer en kvalificeret elektronisk signering." Stærk autentificering er en væsentlig komponent i denne pålideligheds antagelse.

NIS2-direktiv (EU-direktiv 2022/2555), transponeret i dansk ret ved lov nr. 2024-449 af 21. maj 2024 og dens gennemførelsesdekretter, udvider cybersikkerhedsforpligtelserne til et bredt spektrum af enheder. Selvom revisionskonti ikke er direkte opført som vigtige enheder, kan de, der yder digitale tjenester til vigtige eller kritiske enheder (sundhedsfaciliteter, lokale myndigheder, virksomheder inden for kritisk infrastruktur), være underlagt forpligtelser gennem deres servicekontrakter.

Professionel standard 2400 fra Orden for Revisor-Eksperter påtvinger desuden en styrkelse af indsatskravet vedrørende informationssystemsikkerhed for konti, der håndterer juridiske missioner. ANSSI anbefaler eksplicit MFA som et minimumsmål i sin guide "Sikkerhed for informationssystemer for små og mellemstore virksomheder" (2024-udgave).

Erhvervsansvarsforsikring: hvis der sker en databrud hos klienter som følge af fraværet af 2FA, kan forsikringsgiveren påkalde sig en karakteriseret fejl til at reducere eller nægte sin garanti. Det anbefales kraftigt at opbevare dokumentationen til teknisk implementering af 2FA som bevis på omhu.

Brugsscenarier: 2FA i praksis i revisionskonti

Scenario 1 — Et revisorkontor af mellemstørrelse

Et kontor med omkring femten medarbejdere og omkring 400 aktive mandater besluttede at implementere 2FA på alle sine værktøjer efter et phishing-incident, der næsten kompromitterede adgangen til sit lønningssystem. Ledelsen valgte Microsoft Authenticator på Microsoft 365 (e-mail, SharePoint, Teams) og native TOTP-applikationer af sin cloud-regnskabssoftware.

Implementeringen blev udført på tre uger: en uge til inventar og opsætning, en uge til tilmelding af medarbejdere i grupper af fem, en uge til opfølgning og problemfejlretning. Resultat: nul kontokompromisingincidenter inden for de næste 12 måneder sammenlignet med to incidents året før. Tiden til at håndtere sikkerhedsincidenter blev reduceret med omkring 70 %. Kontoret kunne også bekræfte over for flere store klienters konti (herunder en SMV-industrivirkelig med en leverandørsikkerhedskort), at dens systemer overholder MFA-kravene.

Scenario 2 — Et kontor specialiseret i lovpligtig revision af små og mellemstore virksomheder

Et revisorvettingskontor, der styrer omkring 60 lovpligtige revisions-mandater, blev stillet over for et specifikt krav: dets klienter bliver i stigende grad stillet til at anmode om bevis for GDPR-overensstemmelse ved fornyelse af missioner. Kontoret valgte at implementere FIDO2 sikkerhedsnøgler for samarbejdende (adgang til de mest følsomme mapper) og TOTP-applikationer for seniormedarbejdere, mens de kun opretholdt SMS OTP for adgang med lav følsomhed.

Parallelt integrerede kontoret avanceret elektronisk signering i sine revisorrapportflow, med systematisk stærk autentificering af underskriveren. Takket være det genererede revisionsspor kunne to potentielle tvister med klienter, der bestred datoen for indgivelse af en rapport, være blevet løst til kontorets fordel ved at fremlægge de tidsstemplede autentificeringslogfiler. Reduktionen i signeringstiden for rapporter (fra 5 dage gennemsnitlig til mindre end 24 timer) har også muliggjort en flydende signering og forbedret kontorets likviditet med omkring 15 %.

Scenario 3 — Et kontor i ekstern vækstfase

Et regionalt netværk af revisionskonti, der havde absorberet tre uafhængige strukturer på to år, befandt sig med betydelig heterogenitet i systemer: nogle absorberede konti havde ingen 2FA-politik, andre brugte SMS OTP. Gruppen drog fordel af denne integration til at harmonisere en samlet identitets- og adgangsstyringsløsning (IAM — Identity and Access Management) med obligatorisk 2FA.

Den indledende investering (IAM-licenser, uddannelse, support) blev estimeret til omkring 8.000 € for hele gruppen (omkring 45 medarbejdere). Til gengæld blev reduktionen i omkostninger relateret til sikkerhedsincidenter (IT-leverandørinterventioner, krisestyring) estimeret til 15.000-20.000 € i det første år. Gruppen kunne også forhandle sig til en reduktion på omkring 20 % i sin cybersikringspræmie ved at give sin forsikringsgiver dokumentationen af implementeringen af 2FA.

Konklusion

To-faktor autentificering er ikke længere en luksus forbeholdt store strukturer: det er et sikkerhedsgebot og overensstemmelseskrav for ethvert revisionskontor, uanset størrelse. Blandt kravene i GDPR, anbefalingerne fra ANSSI, eIDAS-forpligtelserne for elektronisk signering og den stigende pres fra klienter på sikkerhedsstandarder fra deres serviceudbydere, er 2FA blevet en uomgængelig standard i sektoren.

Det gode nyt: implementeringen er i dag tilgængelig, hurtig og skal have lav omkostning. Ved at følge de trin, der er beskrevet i denne artikel — inventar over applikationer, valg af den passende metode, tilmelding af medarbejdere, formulering af en dokumenteret politik — kan dit kontor opnå et robust sikkerhedsniveau inden for nogle få uger.

Certyneo integrerer nativiely stærk autentificering i sine elektroniske signeringsflow, så du kan kombinere eIDAS-overensstemmelse og MFA-sikkerhed uden yderligere kompleksitet. Discover our offers and pricing eller contact our team for personalized support til at få dit kontor i overensstemmelse.