Tvåfaktorsautentisering: guide för redovisning

Varför tvåfaktorsautentisering är oumbärlig inom revisorskompetens

Revisionsbyråer hanterar dagligen mycket konfidentiell ekonomisk data: skattebundningar, räkenskaper, löneanvisningar, bankuppgifter från hundratals klientföretag. År 2025, enligt ANSSI:s årsrapport, ökade phishing-attacker som målar på reglerade professioner med 37 % på ett år. Inför detta hot utgör tvåfaktorsautentisering (2FA) — också kallad multifaktorautentisering (MFA) — den första rekommenderade tekniska försvarslinen.

Tvåfaktorsautentisering bygger på en enkel princip: för att få åtkomst till ett system måste användaren bevisa sin identitet genom två olika element. Den första är vanligtvis "något man vet" (ett lösenord), den andra är "något man äger" (en smartphone, en fysisk nyckel) eller "något man är" (biometriska data). Denna mekanism gör attacker genom enbart lösenordsstöld praktiskt taget omöjliga, vilket fortfarande står för 81 % av dataintrång enligt Verizons DBIR-rapport 2024.

För revisorer är överensstämmelse med eIDAS-förordningen och dess krav på stark identifiering inte längre valfritt: det är en regulatorisk och etisk nödvändighet. Den här artikeln förklarar steg för steg hur du konfigurerar 2FA i din byrå, vilka verktyg du bör välja och hur du vägleder dina kollegor genom denna övergång.

---

Tvåfaktorsautentiseringsmetoder som är lämpade för redovisningssektorn

Autentiseringsappar (TOTP)

Den mest utbredda metoden på redovisningsbyråer är användningen av en app som genererar tidsbundna koder (TOTP — Time-based One-Time Password). Lösningar som Google Authenticator, Microsoft Authenticator eller Authy genererar en sexsiffrig kod som förnyas var 30:e sekund. Denna kod är kopplad till en delad hemlighet som lagras i appen under registreringsfasen (skanning av en QR-kod).

Fördelar för byråer: distribution utan extra kostnad, fungerar offline, kompatibel med nästan alla redovisningsprogram (Sage, Cegid, ACD, MyUnisoft). Nackdel: om kollegatn förlorar sin telefon måste återställningsproceduren planeras i förväg (reservkoder ska behållas på säker plats).

Fysiska säkerhetsknycklar (FIDO2/WebAuthn)

För byråer som hanterar stora volymer känslig data eller är föremål för frekventa revisioner erbjuder fysiska säkerhetsknycklar (typ YubiKey eller Feitian) den högsta skyddsnivån. Baserade på FIDO2 och WebAuthn-standarder är de motståndskraftiga mot phishing enligt design: nyckeln verifierar kryptografiskt domänen för webbplatsen innan den autentiseras, vilket neutraliserar attacker av typen "man-in-the-middle".

Allt fler skatteportaler och obligatoriska depositionsplattformar (DGFiP, infogreffe) accepterar gradvis dessa standarder. En byrå som hanterar ett hundra mandat kan återbetala köpet av nycklar (cirka 50-80 € per enhet) på några veckor tack vare minskat säkerhetshändelsehanterings tid.

SMS OTP: att undvika för känslig data

Även om koder som skickats via SMS fortfarande är ett alternativ i många system, nedklassificerade den amerikanska NIST (National Institute of Standards and Technology) dem 2016 från kategorin starka autentiseringsmetoder. SIM swapping-attacker (bedräglig överföring av ett telefonnummer till ett SIM-kort kontrollerat av en angripare) har drabbat flera franska revisionsbyråer de senaste åren. För åtkomst till skattdata eller verktyg för elektronisk signering för juridiska och redovisningsbyråer, bör SMS OTP endast betraktas som en sista utväg.

---

Hur man konfigurerar tvåfaktorsautentisering: steg-för-steg-guide

Steg 1 — Inventering av applikationer och definition av omfattning

Innan någon teknisk distribution gör en fullständig inventering av alla applikationer som används på din byrå:

• Redovisningsprogram: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• E-post och samarbetsverktyg: Microsoft 365, Google Workspace, Slack
• Dokumenthantering och signering: depositionsplattformar, arbetsflödesverktyg
• Fjärråtkomst: VPN, RDP, virtuella skrivbord
• Klientportaler: utrymmesutbyte av dokument med klienter

För varje applikation kontrollerar du om 2FA är tillgänglig (avsnitt "Säkerhet" i inställningarna) och vilken metod som stöds (TOTP, FIDO2, SMS). Klassificera applikationerna efter kritikalitet baserat på känslighetens känsliga data.

Steg 2 — Teknisk distribution och kollegainskrivning

För Microsoft 365 görs konfigurationen via Azure Active Directory-portalen (Entra ID). Aktivera "Security Defaults" eller, för byråer med mer än 10 kollegor, konfigurera Conditional Access-principer (tillgängliga från Business Premium-licensen). Dessa principer tillåter att du kräver 2FA endast under vissa förhållanden: åtkomst från utanför kontoret, inloggning från en okänd enhet, ovanlig tid.

För redovisningsprogram varierar proceduren beroende på utgiver:

• Cegid Loop: säkerhetsinställningar > aktivera dubbelautentisering > generera QR-koder för varje användare
• MyUnisoft: administration > säkerhet > stark autentisering > tvinga 2FA för alla profiler
• Sage 100 Cloud: kontakta Sage-administratör eller din återförsäljare för att aktivera MFA-modulen

Planera en inskrivningssession med varje kollega (15 till 20 minuter per person). Distribuera till varje användare ett sammanfattningsblad med sina återställningskoder, att behållas på en säker och fysisk plats (byråns kassaskåp, till exempel).

Steg 3 — Hanteringspolicy och nödsituationsprocedurer

Teknisk implementering är bara halva arbetet. En dokumenterad säkerhetspolicy måste specificera:

• Vem som kan inaktivera 2FA tillfälligt (endast systemadministratören, aldrig kollegatn själv)
• Förfarande för enhetförlust: omedelbar kontoöverblockering, regenerering av reservkoder, övervakad omregistrering
• Granskningsfrekvens: halvårsrevision av åtkomst och autentiseringsmetoder
• Avgånghantering: omedelbar återkallelse av åtkomst och 2FA-hemligheter vid alla avgångar från kollegatn

Denna policy integreras naturligt i din kontinuitetsplan (PCA) och i ditt behandlingsregister enligt GDPR. Konsultering av Certyneo hjälpcentralen kan förse dig med policymallar lämpade för små och medelstora strukturer.

---

Integration av 2FA med elektroniska signeringsverktyg

Avancerad eller kvalificerad elektronisk signering, sådan den definieras av eIDAS-förordningen, kräver stark identifiering av undertecknaren. Praktiskt sett, när din byrå överför ett uppdragsmanifest eller ett serviceavtal till signering till en klient, måste signeringsplattformen verifiera undertecknarens identitet på ett robust sätt. Det är precis här som 2FA kommer in.

I eIDAS-kompatibla signeringsplattformar (avancerad eller kvalificerad nivå) mottar undertecknaren en länk via e-post och måste sedan validera sin identitet via en andra kanal (SMS, autentiseringsapp eller kvalificerat certifikat). Denna process skapar en tidsbestämd och kryptografiskt verifierbar granskningsspår, vilket utgör ett ovedersäglich bevis i fall av tvister — en kritisk fråga för revisorer som engagerar sitt civila yrkesansvar på varje uppdrag.

För att förstå de olika signeringsnivåerna och välja den som passar dina dokumentflöden rekommenderas läsning av den kompletta guiden för elektronisk signering. Byråer som använder Certyneo drar nytta av inbyggd 2FA-integration i signeringsjournalen, vilket minskar friktionen för undertecknaren samtidigt som den erforderliga överensstämmelsesnivån upprätthålls.

Särskild uppmärksamhet måste ägnas åt uppdragsmanifest (obligatoriska enligt OEC:s professionella standard 2400) och rapporter om kommentatörskapsåtkomst: dessa dokument engagerar den professionelles personliga ansvar och kräver en irreproachable autentiseringsspårning. Du kan dessutom använda en AI-drivn kontraktsgenerator för att automatisera skapandet av dessa dokument samtidigt som du integrerar starka autentiseringskrav från designen.

---

Utbilda och väcka medvetenhet om kollegatn: den mänskliga faktorn

Det mest rigorös teknisk distribution gör sig ineffektiv om kollegatn inte förstår insatserna eller går runt säkerhetsmekansimer. Inom revisorskompetens är teamen ofta sammansatta av mycket varierande profiler: seniora partners, juniora kollegatn, praktikanter, verkställande assistenter. Utbildningen måste anpassas till varje profil.

Rekommenderad sensibiliseringsprogram för en byrå med 5 till 30 personer:

1. Starthögtidlighållelse (1h): presentation av konkreta risker (anonymiserade exempel på verkliga incidenter i sektorn), live demonstration av konfiguration, frågor och svar
2. Korta videotutorialer (3-5 minuter varje): en handledning per kritisk applikation, tillgänglig på byråns intranät
3. Simulerad phishing-övning: skicka ett falskt phishing-e-postmeddelande till 3 månader efter distribution för att mäta faktisk vaksamhet och identifiera kollegatn som behöver ytterligare stöd
4. Integration i onboarding: varje ny kollega konfigurerar sin 2FA på sin första dag, med en dedikerad referensperson

Ordre des Experts-Comptables (OEC) erbjuder också utbildningsresurser för cybersäkerhet inom ramen för årliga utbildningsåtaganden (40 timmar för revisorer som är inskrivna i rollen). Dessa utbildningar kan värderas i din kvalitetsansats om din byrå är certifierad ISO 9001 eller syftar på cybersäkerhetscertifiering (ANSSI:s ExpertCyber-etikett, till exempel).

Juridisk ram som är tillämplig på stark autentisering inom revisorskompetens

Implementering av tvåfaktorsautentisering i en revisionsbyras åtlyder en tätt juridisk ram, artikulerad kring flera grundläggande texter.

Förordningen eIDAS n°910/2014 och dess revision eIDAS 2.0 (EU-förordning 2024/1183) utgör referensgrunden för allt som rör elektronisk identifiering i Europa. Artikel 8 definierar tre försäkringsnivåer för elektroniska identifieringsmittal: låg, väsentlig och hög. För handlingar som engagerar en revisorers professionella ansvar (signering av rapporter, validering av skattebundningar online) krävs försäkringsnivån "väsentlig" eller "hög", vilket obligatoriskt innebär multifaktorautentisering.

GDPR (EU-förordning 2016/679), i artikel 32, åtar personuppgiftsbiträden att genomföra "lämpliga tekniska och organisatoriska åtgärder" för att säkerställa säkerheten för personuppgifter. En revisionsbyra behandlar känslig personuppgifter (ekonomisk data, hälsodata via löneanvisningar med sjukdomsanmälan, etc.). Avsaknaden av 2FA på åtkomst till redovisningsprogram är mycket troligt ett brott mot denna artikel, vilket exponerar byrån för sanktioner upp till 4 % av den årliga världsomfattande omsättningen (artikel 83 GDPR).

Civillagen, artiklar 1366 och 1367, reglerar det juridiska värdet för elektronisk signering. Artikel 1367 preciserar att "tillförlitligheten för en elektronisk signaturmetod antas, tills motsatsen bevisas, när denna metod implementerar en kvalificerad elektronisk signatur". Stark autentisering är en väsentlig komponent i denna presumtion om tillförlitlighet.

NIS2-direktivet (EU-direktiv 2022/2555), omarbetat i fransk rätt genom lag n°2024-449 av 21 maj 2024 och dess genomförandebeslut, utökar cybersäkerhetskraven på ett brett spektrum av enheter. Även om revisionsbyråer inte är direkt listade som väsentliga enheter, kan de som tillhandahåller digitala tjänster till väsentliga eller viktiga enheter (hälsovårdsanläggningar, lokala myndigheter, företag med kritisk infrastruktur) bli föremål för skyldigheter genom ricochet via sina serviceavtal.

OEC:s professionella standard 2400 påtvingar vidare ett förhöjt medelsåtagande när det gäller informationssystemets säkerhet för byråer som hanterar lagliga uppdrag. ANSSI rekommenderar uttryckligen MFA som en minsta åtgärd i sin guide "Säkerhet för informationssystem för mikro-, små och medelstora företag" (utgåva 2024).

Professionell ansvarsförsäkring: i fall av dataintrång för klienter till följd av avsaknad av 2FA kan försäkringsgivaren åberopa en karaktärriserad felaktig handling för att minska eller vägra sitt garantiansvar. Det är starkt lämpligt att behålla den tekniska dokumentationen för 2FA-distribution som bevis på skicklighet.

Användningsscenarier: 2FA i praktiken på revisionsbyråer

Scenario 1 — En mellanstor revisionsbyra

En byrå med cirka femton kollegatn och hantering av cirka 400 aktiva mandat beslutade att driftsätta 2FA på alla sina verktyg efter en phishing-incident som nästan kunde skada åtkomsten till sitt lönprogram. Ledningen valde Microsoft Authenticator på Microsoft 365 (e-post, SharePoint, Teams) och för sina molnbaserade redovisningsprograms inbyggda TOTP-applikationer.

Distributionen genomfördes på tre veckor: en vecka inventering och parameterinställning, en vecka med kollegainskrivning i grupper om fem, en vecka med uppföljning och problemkorrektion. Resultat: noll kontokompromissincidenter på de följande 12 månaderna, jämfört med två incidenter året före. Tiden för hantering av säkerhetsincidenter reducerades med cirka 70 %. Byrån kunde också motivera flera klienter med stora konton (inklusive ett litet industriföretag som föreskriver en leverantörsäkerhetscharta) att dess system följde MFA-kraven.

Scenario 2 — En byrå specialiserad på laglig revision av små företag

En byrå för granskning av laglig revision som hanterar cirka 60 granskningsmandat stötte på ett specifikt krav: dess klienter var allt fler att begära GDPR-överensstämmelse vid förnyelse av uppdrag. Byrån valde att driftsätta FIDO2-säkerhetsknycklar för partners (åtkomst till de mest känsliga mapparna) och TOTP-applikationer för seniora kollegatn, samtidigt som SMS OTP bibehölls endast för åtkomst med låg känslighet.

Parallellt integrerade byrån avancerad elektronisk signering i sina granskarrapportflöden, med obligatorisk stark autentisering av undertecknaren. Tack vare det genererade granskningsspåret kunde två potentiella tvister med klienter som ifrågasatte det faktiska datum för leverans av en rapport lösas till byråns fördel genom att producera tidsbestämda autentiseringsloggar. Minskningen av tid för underteckna rapporter (från 5 dagars genomsnitt till mindre än 24 timmar) gjorde också att byråns signeringsflöde blev smidigare och förbättrade kassaflödet med cirka 15 %.

Scenario 3 — En byrå i en fas av extern tillväxt

Ett regionalt nätverk av revisionsbyråer som absorberat tre oberoende strukturer på två år ställdes inför betydande heterogenitet av system: vissa absorberade byråer hade ingen 2FA-policy alls, andra använde SMS OTP. Nätverket drog nytta av denna integration för att harmonisera på en enhetlig lösning för identitetshantering (IAM — Identity and Access Management) med obligatorisk 2FA.

Den initiala investeringen (IAM-licenser, utbildning, stöd) uppskattades till cirka 8 000 € för hela nätverket (cirka 45 kollegatn). I gengäld uppskattades minskningen av kostnader relaterade till säkerhetshändelser (leverantörsinterventioner för IT, krishantering) till 15 000-20 000 € under det första året. Nätverket kunde också förhandla en minskning av sin cybersäkerhetspremie på cirka 20 % genom att ge sin försäkringsgivare dokumentationen av 2FA-distributionen.

Slutsats

Tvåfaktorsautentisering är inte längre en lyx för stora strukturer: det är en säkerhet och överensstämmelsekrav för varje revisionsbyra, oavsett storlek. Mellan GDPR-kraven, ANSSI:s rekommendationer, eIDAS-skyldigheter för elektronisk signering och växande kundpress på säkerhetsnormerna för deras leverantörer har 2FA blivit en oåterkallelig standard i sektorn.

Den goda nyheten: distributionen är idag tillgänglig, snabb och billig. Genom att följa stegen som beskrivs i denna artikel — inventering av applikationer, val av lämplig metod, kollegainskrivning, utarbetande av en dokumenterad policy — kan din byrå uppnå en robust säkerhetsnivå på några veckor.

Certyneo integrerar inbyggt stark autentisering i sina elektroniska signeringsflöden, vilket tillåter dig att kombinera eIDAS-överensstämmelse och MFA-säkerhet utan extra komplexitet. Upptäck våra erbjudanden och priser eller kontakta vårt team för personlig stöd för din byråns överensstämmelsemigration.