NBS 1 Sikring av regnskapsmateriale

PDF-ikon NBS 1 Sikring av regnskapsmateriale (april 2025)

PDF-ikonNBS 1 Sikring av regnskapsmateriale – endringsmarkert mot april 2015 (april 2025)

PDF-ikonNBS 1 Sikring av regnskapsmateriale – endringsmarkert mot høringsutkast oktober 2024 (april 2025)

ZIP-ikon NBS 1 Sikring av regnskapsmateriale – alle historiske versjoner samlet i en zip-fil

 

 Endringer i standarden april 2025

Punkt 4 Omfanget av regnskapsmateriale som skal sikres

Det presiseres tydeligere at også regnskapsmateriale som kreves oppbevart etter god bokføringsskikk, omfattes av standarden.

Punkt 5 Sikringsformål og sikringstiltak

Det fremgår tydeligere at regnskapsmaterialet kun skal sikres mot urettmessig endring, sletting, tap og ødeleggelse. Rettmessig sletting og makulering av regnskapsmateriale, for eksempel etter utløpet av oppbevaringstiden, er ikke i strid med standarden.

I tillegg utdypes begrunnelsen for at konfidensialitet ikke er et sikringsformål etter bokføringsloven.

Punkt 7.1 Innledning

Teknologiens betydning for risikovurdering ved elektronisk oppbevaring av regnskapsmateriale utdypes, herunder bruk av

  • skyløsninger (også multisky-løsninger)
  • standardiserte løsninger som er anerkjente i markedet vs. egenutviklede løsninger eller løsninger med liten utbredelse
  • blokkjedeteknologi
  • systemer for logging av endringer i regnskapsmateriale

Videre omtales risiko for tap av regnskapsmateriale grunnet cyberangrep, for eksempel løsepengevirus og hacking.

Punkt 7.2 Oppbevaring på papir

Tidligere omhandlet dette punktet også oppbevaring på såkalte «papirlignende medier» (litt forenklet var dette ikke direkte redigerbare filer som ble oppbevart på ikke slettbare medier, for eksempel bildefiler på DVD-R plater).

Oppbevaring på papirlignende medier anses ikke som like relevant lenger, og er derfor tatt ut av standarden. Eventuell slik oppbevaring må nå skje i samsvar med punkt 7.3 om elektronisk oppbevaring. Endringen har også medført at tilleggene for oppbevaring på papirlignende medier i eksemplet i vedlegg 1 er tatt ut.

Punkt 7.3.6 Dokumentasjon av risikovurdering og sikringstiltak

Standarden krever nå at sikringstiltak som er gjennomført for å redusere risikoen for urettmessig endring, sletting, tap eller ødeleggelse av elektronisk regnskapsmateriale til et akseptabelt nivå, skal dokumenteres som en del av risikovurderingen (jf. også punkt 7.3.4).

Punktet har fått ny veiledning som viser til at hvis leverandøren av oppbevaringsløsningen har gjort tilgjengelig en beskrivelse av risikoer og sikringstiltak, er det naturlig å bruke denne som grunnlag for den bokføringspliktiges egen risikovurdering.

Punkt 7.3.7.2 Fysisk tilgang til regnskapsmaterialet og punkt 7.2.7.3 Logisk sikring av elektronisk regnskapsmateriale

Omtalen av såkalte «bærbare lagringsenheter» (tidligere også omtalt som «portable lagringsmedier») er oppdatert. Eksempler på slike kan være eksterne harddisker og minnepinner.

Det fremgår nå tydelig at det ikke anbefales å oppbevare regnskapsmateriale på bærbare lagringsenheter utenfor nettverk, siden dette øker risikoen for at regnskapsmaterialet ikke er tilgjengelig ved behov. Hvis regnskapsmateriale likevel oppbevares på bærbare lagringsenheter utenfor nettverk, kan både fysisk og logisk sikring være aktuelt. Standarden gir nærmere veiledning om dette.

Punkt 7.3.7.4 Regnskapsmaterialets tilgjengelighet og lesbarhet

Det presiseres at når den bokføringspliktige setter bort oppbevaringen av regnskapsmaterialet til andre, må den bokføringspliktige sørge for at tilgangen til regnskapsmaterialet ikke begrenses i løpet av oppbevaringstiden (vanligvis gjennom tydelig avtaleregulering).

Punkt 7.3.7.6 Bruk av skyløsninger

Standarden har fått et nytt punkt som omtaler særlige forhold ved bruk av skyløsninger som påvirker risikovurderingen ved elektronisk oppbevaring av regnskapsmateriale.

Standarden viser primært til risikoreduserende faktorer knyttet til at leverandører av skyløsninger er profesjonelle aktører, men det bemerkes igjen at den bokføringspliktige gjennom avtale må sørge for at tilgangen til regnskapsmaterialet ikke begrenses. I vedlegg 3 er det tatt inn et nytt eksempel om tilgangskontroller mv. ved bruk av skyløsninger.

Punkt 7.3.7.7 Oppbevaring i utlandet

Standarden har fått et nytt punkt som minner om at hvis elektronisk regnskapsmateriale oppbevares i utlandet, bør den bokføringspliktige vurdere om den sikkerhetspolitiske situasjonen tilsier at ytterligere sikringstiltak bør iverksettes.

Punkt 9.6 Perioder og tidsfrister

Pliktig regnskapsrapportering i form av a-meldinger medfører i seg selv ikke plikt til å lukke regnskapsperioder, all den tid slik rapportering kan skje fra et ajourført lønnssystem uten at det er behov for å bokføre opplysningene. Dette er nå presisert i standarden.

Det er videre gitt eksempler på hvordan en regnskapsperiode kan lukkes i flere deler når det er ulike frister for pliktig regnskapsrapportering.

Punkt 10 Ikrafttredelse

Oppdatert NBS 1 får virkning for oppbevaringspliktig regnskapsmateriale for regnskapsår som begynner 1. januar 2026 eller senere, men det oppfordres til tidligere anvendelse.