Google 4.9 (34 beoordelingen)
Cybersecurity voor jou
Plan een persoonlijke demo
Terug naar Resource Center

NIS2-richtlijn voor accountantskantoren: welke maatregelen voor cybersecurity moet je minimaal nemen?

8 maart 2023 - Algemeen

Deel

De nieuwe NIS2-richtlijn verplicht accountantskantoren meer maatregelen te nemen om inbreuken op de cyberbeveiliging te voorkomen. De Europese cyberwet is sinds 16 januari 2023 van kracht. Nederland en andere lidstaten hebben tot oktober 2024 de tijd om de wetgeving nationaal te implementeren. Dat betekent dat accountants vanaf dat moment moeten voldoen aan nieuwe cybersecurity-richtlijnen.

Wat is de nieuwe NIS2-richtlijn?

De nieuwe NIS2-richtlijn verscherpt de vereisten voor essentiële bedrijven en vult die aan met verplichtingen voor ‘belangrijke bedrijven’, waaronder accountantskantoren. In een eerder artikel legden we uit wat de nieuwe richtlijn precies inhoudt en wat er verandert ten opzichte van de NIS1. 

Het belangrijkste verschil is de uitbreiding naar ‘belangrijke bedrijven’, naast de essentiële bedrijven waarvoor de richtlijn al langer geldt. Ook accountantskantoren behoren tot de belangrijke bedrijven, dus moeten zich vanaf 2024 aan strengere richtlijnen voor cybersecurity houden. 

Wat verandert er voor accountantskantoren?

Accountantskantoren moeten al voldoen aan richtlijnen voor goede IT-documentatie. Het gaat dan vooral over informatiebeveiliging, die continuïteit, betrouwbaarheid en risico’s van geautomatiseerde gegevensverwerking garandeert (ISA 315 (COS 315) van de ISAAB). Accountantskantoren moeten bovendien verplicht rapporteren over cybersecurity op basis van een deskundigenonderzoek (artikel 2:393 lid 4 BW).

Er komen daarnaast nieuwe regels bij. De directie is voortaan bijvoorbeeld verantwoordelijk voor de cybersecurity van het accountantskantoor. Dit is niet langer (slechts) de verantwoordelijkheid van een IT-partner binnen het kantoor.

De nieuwe richtlijn voegt drie andere veranderingen toe:

  • Lijst met minimale basisbeveiliging
    De richtlijn is concreter, dankzij een lijst met minimale basisbeveiliging die bedrijven moeten toepassen. De richtlijn legt een aanpak voor risicobeheersing op.
  • Security in de keten aanpakken
    Bedrijven moeten security-risico’s in hun toeleveringsketen gaan aanpakken. Dat geldt ook voor risico’s die ontstaan door leveranciersrelaties.
  • Strenger toezicht
    Nationale autoriteiten mogen strenger toezicht houden en strenger handhaven. De nieuwe richtlijn trekt sanctieregelingen en rapportageverplichtingen in alle lidstaten gelijk(er).

Krijg je een boete als je niet voldoet?

Accountantskantoren die niet voldoen aan de nieuwe richtlijn krijgen een waarschuwing en daarna een aanmaning. Vervolgens mag de lokale autoriteit boetes opleggen, tot maximaal 10 miljoen euro of twee procent van de jaaromzet.

Welke risico's lopen accountants?

De Europese Unie merkt accountantskantoren aan als belangrijke bedrijven. Cyberrisico's hebben een impact op zowel de kantoren zelf als op de bredere samenleving. Natuurlijk zijn accountants zich al lang bewust van het risico dat cybercriminaliteit met zich meebrengt. Uit onderzoek van Skopos blijkt bijvoorbeeld dat de meerderheid van de accountants vindt dat informatiebeveiliging meer aandacht moet krijgen.

Accountantskantoor Grant Thornton wijst op een verschuiving van geld verdienen naar kwade opzet en de toenemende risico's die daarmee gepaard gaan. Bovendien is al gemeld dat Nederlandse bedrijven worden gehackt door Russische inlichtingendiensten.

De SRA, die als netwerkorganisatie 375 zelfstandige accountants met 900 vestigingen in Nederland vertegenwoordigt, meldt dat accountantskantoren steeds vaker te maken krijgen met bijvoorbeeld ransomware, malware en cryptojacking.

Cybercrime voorkomen: wat kan je doen als accountantskantoor?

Als accountantskantoor moet je op basis van de nieuwe NIS2-richtlijn vanaf 2024 degelijke maatregelen nemen om cybersecurity te voorkomen of de gevolgen te beperken. Ook in aanloop naar die nieuwe richtlijn kun je al actie ondernemen. De SRA adviseert bijvoorbeeld:

  • Risico's in kaart brengen
    Pas als je weet welke risico’s jouw accountantskantoor loopt lukt het om daar passende maatregelen voor te nemen. Zorg dat je de risico’s in kaart brengt of schakel daarvoor externe specialisten in. Maak binnen de risico’s onderscheid tussen die voor de directe dienstverlening en de continuïteit van het bedrijf. Classificeer de risico’s, om een lijst met prioriteiten op te stellen en daar de juiste maatregelen bij te nemen.
  • Een beleidskader voor cybersecurity
    Stel een beleidskader op, om organisatiebreed na te denken over cyberrisico’s en de maatregelen die belangrijk zijn. Dat begint met een simpel A4 met daarop de uitgangspunten, de kaders en een beschrijving van verschillende verantwoordelijkheden. Later breid je dit vanzelf uit naar een meer omvangrijk beleid, bijvoorbeeld gericht op specifieke cyberrisico’s die je als accountant loopt.
  • Voorbereiding op datalekken en hacks
    Bereid voor op datalekken en hacks, omdat dit iedere organisatie kan overkomen. Maak alvast een plan waarin je beschrijft wie er op welke manier moet reageren en welke herstelmaatregelen noodzakelijk zijn. Houd vervolgens alle incidenten bij en analyseer wat er gebeurt. Dicht de gaten in de beveiliging en controleer of de maatregelen het gewenste resultaat opleveren.
  • Concrete maatregelen nemen
    Neem concrete maatregelen als er gaten in de beveiliging blijven te zitten. Of voldoe met de maatregelen aan de nieuwe NIS2-richtlijn, om alvast voor te bereiden op de veranderingen in 2024. Verbeter de cybersecurity, zowel binnen het eigen accountantskantoor als bijvoorbeeld binnen leveranciersrelaties. De nieuwe richtlijn verplicht bedrijven om na te denken over de cyberveiligheid binnen de gehele toeleveringsketen.
  • IT uitbesteden aan specialisten
    Besteed concrete IT- en cyberbeveiliging uit aan specialisten die daar dagelijks mee bezig zijn. Schakel bovendien specialisten in om applicaties naar de cloud te migreren of andere IT-diensten toe te voegen, te verbeteren of te veranderen. Zij ontwikkelen op basis van Security by design, dus denken in de basis bij iedere stap na over (cyber)veiligheid.

Een aantal basismaatregelen verbetert daarnaast direct de cyberweerbaarheid van jouw accountantskantoor. Denk bijvoorbeeld aan:

  • Multi-factor authentication (MFA) voor alle digitale accounts
  • Maak regelmatig (automatische) back-ups
  • Gebruik een wachtwoordmanager met een complex hoofdwachtwoord
  • Stel een notificatie in voor e-mails van externe afzenders
  • Maak contactenlijsten offline beschikbaar

Maak het makkelijk met Guardey

Er komt op deze manier misschien veel op je af als accountantskantoor. Bovendien, je bent natuurlijk het liefst bezig met het werk van een accountant. Laat de cyberbeveiliging daarom over aan Guardey. Wij bieden je één oplossing voor een veilige verbinding, bescherming tegen schadelijke software én professionele (maar leuke!) training van medewerkers.

Met Guardey kies je in één keer voor een professionele cyberbeveiligingsoplossing voor bescherming en detectie. We zijn volledig plug & play, dus heel simpel, toegankelijk én betaalbaar.

Ontdek onze oplossing of stel ons vragen. Wij leggen u graag uit hoe Guardey uw accountantskantoor kan beschermen tegen alle digitale bedreigingen en hoe u vanaf 2024 kunt voldoen aan de NIS2-richtlijn!

INHOUDSOPGAVE
GERELATEERDE BERICHTEN
Probeer Guardey

Guardey's security awareness trainingsoplossing stelt je werknemers in staat om cyberbedreigingen te herkennen en te melden.

Gratis proefabonnement aanvragen

Vaak gestelde vragen

Wat is gamification?

Gamification is het toevoegen van spelelementen aan niet-spelomgevingen, zoals security awareness training, om de deelname te verhogen en actief leren te bevorderen.

Wat zijn de voordelen van gamification in security awareness training?

Traditionele security awareness training kan vaak droog en saai zijn. Met gamification wordt de complexe materie omgetoverd tot een boeiende en gedenkwaardige ervaring.

Door spelelementen zoals uitdagingen, quizzen en beloningen te integreren, worden gebruikers gestimuleerd om actief te leren. Dit maakt de training leuker en bevordert een gevoel van competitie en prestatie. Deze combinatie zorgt voor een betere retentie en toepassing van cyber security kennis.

Waarom is het belangrijk om wekelijks security awareness te trainen?

Onderzoek toont aan dat tot 90% van de lessen van jaarlijkse of zelfs driemaandelijkse trainingen binnen een paar weken wordt vergeten. Guardey is ontwikkeld om gebruikers 365 dagen per jaar bewust te houden van cyberbedreigingen. Het spel wordt geleverd met korte, wekelijkse uitdagingen die de kennis van de gebruiker langzaam opbouwen en uiteindelijk leiden tot blijvende gedragsverandering.

Welke onderwerpen komen aan bod in Guardey's security awareness spel?

Guardey behandelt een breed scala aan onderwerpen om gebruikers te trainen over alle huidige relevante cyberbedreigingen, samengesteld in samenwerking met ethische hackers en onderwijskundigen. De onderwerpen die aan bod komen zijn phishing, werken op afstand, wachtwoordbeveiliging, CEO-fraude, ransomware, smishing en nog veel meer.

Hoeveel tijd kosten de wekelijkse uitdagingen?

Elke uitdaging duurt maximaal drie minuten om te voltooien.

Kan ik Guardey gebruiken om te voldoen aan de beleidsregels ISO27001, NIS2 en GDPR security awareness ?

Ja. ISO27001, NIS2 en GDPR vereisen allemaal dat alle medewerkers de juiste security awareness training krijgen. Guardey is altijd op de hoogte van de nieuwste cyberbedreigingen, beleidsregels en procedures.

Is security awareness training belangrijk voor alle werknemers of alleen voor specifieke functies?

Cyberbewustzijnstraining is cruciaal voor alle medewerkers, niet alleen voor specifieke functies. Elk personeelslid kan mogelijk een doelwit of een ongewild toegangspunt voor cyberaanvallen zijn. Training helpt bij het creëren van een beveiligingsgerichte cultuur en minimaliseert de risico's voor de hele organisatie.

Hoewel voor bepaalde functies gespecialiseerde training nodig kan zijn, moet een basisniveau van training voor iedereen toegankelijk zijn.

In welke talen is Guardey beschikbaar?

Guardey is beschikbaar in het Engels, Nederlands, Italiaans, Frans, Spaans, Duits, Pools, Zweeds en Deens.

Wil je meer vragen stellen?
Vraag een persoonlijke demo aan

Ontvang de laatste resources en nieuws, rechtstreeks in je inbox.

Meer interessante bronnen

Algemeen
ISO27001 Security Awareness Training: Een complete gids
guardey-sprint-meeting
Cybersecurity
Waarom de meeste phishing simulaties meer kwaad dan goed doen (en hoe we dat oplossen)
Algemeen
95% van de hacks en datalekken wordt veroorzaakt door menselijke fouten. Dit is waarom gaming de oplossing is.
Resource center
Anouk CTA Guardey website
GRATIS 14-DAGEN UITPROBEREN

Ervaar Guardey vandaag nog.

  • Probeer volledig risicovrij
  • 24/7 support
Vraag 14 dagen gratis proefabonnement aan