Lignes directrices NIS2 pour les cabinets comptables : quelles mesures minimales de cybersécurité devez-vous prendre ?

La nouvelle directive NIS2 oblige les cabinets comptables à prendre davantage de mesures pour prévenir les atteintes à la cybersécurité. La loi européenne sur la cybercriminalité est en vigueur depuis le 16 janvier 2023. Les Pays-Bas et les autres États membres ont jusqu'à octobre 2024 pour mettre en œuvre la législation au niveau national. Cela signifie qu'à partir de cette date, les comptables devront se conformer aux nouvelles directives en matière de cybersécurité.

Quelle est la nouvelle directive NIS2 ?

La nouvelle directive NIS2 renforce les exigences pour les entreprises essentielles et ajoute des obligations pour les "entreprises importantes", y compris les cabinets comptables. Dans un article précédent, nous avons expliqué ce que la nouvelle directive implique et quels sont les changements par rapport à la directive NIS1. La principale différence est l'extension aux "entreprises importantes" en plus des entreprises essentielles, auxquelles la directive s'appliquait déjà. Les cabinets comptables sont également considérés comme des entreprises importantes et doivent adhérer à des lignes directrices plus strictes en matière de cybersécurité à partir de 2024.

Quels changements pour les cabinets comptables ?

Les cabinets d'experts-comptables doivent déjà se conformer aux lignes directrices relatives à une bonne documentation informatique, notamment en ce qui concerne la sécurité de l'information qui garantit la continuité, la fiabilité et les risques du traitement automatisé des données (ISA 315 (COS 315) de l'ISAAB). Les cabinets d'experts-comptables sont également tenus de rendre compte de la cybersécurité sur la base d'un examen par un expert (article 2:393, paragraphe 4 BW).

En outre, de nouvelles règles sont ajoutées. Par exemple, le conseil d'administration est désormais responsable de la cybersécurité du cabinet comptable, et non plus seulement d'un partenaire informatique au sein du cabinet. La nouvelle directive ajoute trois autres changements :

• Liste des mesures de sécurité minimales de base
  La directive est plus concrète, grâce à une liste de mesures de sécurité de base minimales que les entreprises doivent appliquer. La directive impose une approche de la gestion des risques.
• Gérer la sécurité dans la chaîne d'approvisionnement
  Les entreprises doivent faire face aux risques de sécurité dans leur chaîne d'approvisionnement, y compris ceux qui découlent des relations avec les fournisseurs.
• Une surveillance plus stricte
  Les autorités nationales peuvent exercer une surveillance et une application plus strictes. La nouvelle directive aligne les règles en matière de sanctions et les exigences en matière de rapports de manière plus égale dans tous les États membres.

Serez-vous condamné à une amende si vous ne respectez pas les règles ?

Les cabinets comptables qui ne se conforment pas à la nouvelle directive recevront un avertissement, puis un rappel. L'autorité locale peut ensuite imposer des amendes, jusqu'à un maximum de 10 millions d'euros ou deux pour cent du chiffre d'affaires annuel.

Quels sont les risques auxquels les cabinets comptables sont confrontés ?

L'Union européenne considère les cabinets comptables comme des entreprises importantes. Les cyber-risques ont un impact sur les cabinets eux-mêmes ainsi que sur la société dans son ensemble. Bien entendu, les comptables sont depuis longtemps conscients du risque que représente la cybercriminalité. Par exemple, l'étude Skopos montre que la majorité des comptables pensent que la sécurité de l'information devrait faire l'objet d'une plus grande attention.

Le cabinet d'experts-comptables Grant Thornton souligne que l'on est passé de l'argent à la malveillance et aux risques croissants qui en découlent. En outre, il a déjà été signalé que des entreprises néerlandaises étaient piratées par les services de renseignement russes.

La SRA, qui représente 375 comptables indépendants avec 900 succursales aux Pays-Bas en tant qu'organisation de réseau, signale que les cabinets comptables sont de plus en plus confrontés, par exemple, aux ransomwares, aux logiciels malveillants et au cryptojacking.

Prévention de la cybercriminalité : que pouvez-vous faire en tant que cabinet comptable ?

En vertu de la nouvelle directive NIS2, les cabinets comptables devront prendre des mesures adéquates à partir de 2024 pour prévenir les atteintes à la cybersécurité ou en limiter les conséquences. Vous pouvez d'ores et déjà prendre des mesures en prévision de la nouvelle directive. L'ARS recommande, par exemple, de

• Cartographie des risques
  Vous ne pouvez prendre des mesures appropriées que si vous connaissez les risques auxquels votre cabinet comptable est confronté. Veillez à cartographier les risques ou à faire appel à des spécialistes externes. Parmi les risques, faites la distinction entre ceux qui concernent la prestation directe de services et ceux qui concernent la continuité de l'activité. Classez les risques pour établir une liste de priorités et prendre les mesures appropriées.
• Un cadre d'action en matière de cybersécurité
  Élaborer un cadre d'action en matière de cybersécurité permet de réfléchir, à l'échelle de l'organisation, aux cyberrisques et aux mesures importantes à prendre. Commencez par une simple feuille A4 décrivant les principes, les cadres et les différentes responsabilités. Plus tard, vous pourrez l'étendre à une politique plus complète, par exemple axée sur les cyberrisques spécifiques auxquels est confronté votre cabinet d'experts-comptables.
• Se préparer aux violations de données et aux piratages informatiques
  Préparez-vous aux violations de données et aux piratages, car chaque organisation peut y être confrontée. Élaborez un plan indiquant qui doit réagir et comment, et quelles sont les mesures de récupération nécessaires. Gardez une trace de tous les incidents et analysez ce qui s'est passé. Combler les lacunes en matière de sécurité et vérifier si les mesures prises donnent les résultats escomptés.
• Prendre des mesures concrètes
  Prenez des mesures concrètes lorsque des lacunes de sécurité subsistent. Ou conformez-vous aux mesures spécifiées dans la nouvelle directive NIS2 pour vous préparer aux changements qui interviendront en 2024. Renforcez la cybersécurité, tant au sein de votre cabinet comptable que dans vos relations avec les fournisseurs. La nouvelle directive exige des entreprises qu'elles prennent en compte la cybersécurité tout au long de la chaîne d'approvisionnement.
• Confier l'informatique à des spécialistes
  Confiez l'informatique et la cybersécurité à des spécialistes qui s'occupent quotidiennement de ces questions. Engagez également des spécialistes pour migrer des applications vers l'informatique en nuage ou pour ajouter, améliorer ou modifier d'autres services informatiques. Ils développent des solutions basées sur le principe de la sécurité dès la conception (Security by Design), en pensant à la (cyber)sécurité à chaque étape.

En outre, certaines mesures de base peuvent directement améliorer la cyber-résilience de votre cabinet d'expertise comptable :

Faciliter les choses avec Guardey

En tant que cabinet comptable, vous pouvez vous sentir dépassé par tout cela. Après tout, vous préférez vous concentrer sur votre travail comptable. Laissez donc Guardey s'occuper de la cybersécurité pour vous. Nous offrons une solution complète pour une connectivité sécurisée, une protection contre les logiciels nuisibles et une formation professionnelle (mais amusante !) des employés.

Avec Guardey, vous choisissez une solution de cybersécurité complète en une seule fois. Nous sommes entièrement prêts à l'emploi, c'est donc simple, accessible et abordable.

Découvrez notre solution ou posez-nous vos questions. Nous nous ferons un plaisir de vous expliquer comment Guardey peut protéger votre cabinet d'expertise comptable contre toutes les menaces numériques et comment se conformer à la directive NIS2 à partir de 2024 !