Plan een persoonlijke demo
Terug naar Resource Center

NIS2-richtlijn voor accountantskantoren: welke maatregelen voor cybersecurity moet je minimaal nemen?

De nieuwe NIS2-richtlijn verplicht accountantskantoren meer maatregelen te nemen om inbreuken op de cyberbeveiliging te voorkomen. De Europese cyberwet is sinds 16 januari 2023 van kracht. Nederland en andere lidstaten hebben tot oktober 2024 de tijd om de wetgeving nationaal te implementeren. Dat betekent dat accountants vanaf dat moment moeten voldoen aan nieuwe cybersecurity-richtlijnen.

Wat is de nieuwe NIS2-richtlijn?

De nieuwe NIS2-richtlijn verscherpt de vereisten voor essenti√ęle bedrijven en vult die aan met verplichtingen voor ‚Äėbelangrijke bedrijven‚Äô, waaronder accountantskantoren. In een eerder artikel legden we uit wat de nieuwe richtlijn precies inhoudt en wat er verandert ten opzichte van de NIS1.¬†

Het belangrijkste verschil is de uitbreiding naar ‚Äėbelangrijke bedrijven‚Äô, naast de essenti√ęle bedrijven waarvoor de richtlijn al langer geldt. Ook accountantskantoren behoren tot de belangrijke bedrijven, dus moeten zich vanaf 2024 aan strengere richtlijnen voor cybersecurity houden.¬†

Wat verandert er voor accountantskantoren?

Accountantskantoren moeten al voldoen aan richtlijnen voor goede IT-documentatie. Het gaat dan vooral over informatiebeveiliging, die continu√Įteit, betrouwbaarheid en risico‚Äôs van geautomatiseerde gegevensverwerking garandeert (ISA 315 (COS 315) van de ISAAB). Accountantskantoren moeten bovendien verplicht rapporteren over cybersecurity op basis van een deskundigenonderzoek (artikel 2:393 lid 4 BW).

Er komen daarnaast nieuwe regels bij. De directie is voortaan bijvoorbeeld verantwoordelijk voor de cybersecurity van het accountantskantoor. Dit is niet langer (slechts) de verantwoordelijkheid van een IT-partner binnen het kantoor.

De nieuwe richtlijn voegt drie andere veranderingen toe:

  • Lijst met minimale basisbeveiliging
    De richtlijn is concreter, dankzij een lijst met minimale basisbeveiliging die bedrijven moeten toepassen. De richtlijn legt een aanpak voor risicobeheersing op.
  • Security in de keten aanpakken
    Bedrijven moeten security-risico’s in hun toeleveringsketen gaan aanpakken. Dat geldt ook voor risico’s die ontstaan door leveranciersrelaties.
  • Strenger toezicht
    Nationale autoriteiten mogen strenger toezicht houden en strenger handhaven. De nieuwe richtlijn trekt sanctieregelingen en rapportageverplichtingen in alle lidstaten gelijk(er).

Krijg je een boete als je niet voldoet?

Accountantskantoren die niet voldoen aan de nieuwe richtlijn krijgen een waarschuwing en daarna een aanmaning. Vervolgens mag de lokale autoriteit boetes opleggen, tot maximaal 10 miljoen euro of twee procent van de jaaromzet.

Welke risico's lopen accountants?

De Europese Unie merkt accountantskantoren aan als belangrijke bedrijven. Cyberrisico's hebben een impact op zowel de kantoren zelf als op de bredere samenleving. Natuurlijk zijn accountants zich al lang bewust van het risico dat cybercriminaliteit met zich meebrengt. Uit onderzoek van Skopos blijkt bijvoorbeeld dat de meerderheid van de accountants vindt dat informatiebeveiliging meer aandacht moet krijgen.

Accountantskantoor Grant Thornton wijst op een verschuiving van geld verdienen naar kwade opzet en de toenemende risico's die daarmee gepaard gaan. Bovendien is al gemeld dat Nederlandse bedrijven worden gehackt door Russische inlichtingendiensten.

De SRA, die als netwerkorganisatie 375 zelfstandige accountants met 900 vestigingen in Nederland vertegenwoordigt, meldt dat accountantskantoren steeds vaker te maken krijgen met bijvoorbeeld ransomware, malware en cryptojacking.

Cybercrime voorkomen: wat kan je doen als accountantskantoor?

Als accountantskantoor moet je op basis van de nieuwe NIS2-richtlijn vanaf 2024 degelijke maatregelen nemen om cybersecurity te voorkomen of de gevolgen te beperken. Ook in aanloop naar die nieuwe richtlijn kun je al actie ondernemen. De SRA adviseert bijvoorbeeld:

  • Risico's in kaart brengen
    Pas als je weet welke risico‚Äôs jouw accountantskantoor loopt lukt het om daar passende maatregelen voor te nemen. Zorg dat je de risico‚Äôs in kaart brengt of schakel daarvoor externe specialisten in. Maak binnen de risico‚Äôs onderscheid tussen die voor de directe dienstverlening en de continu√Įteit van het bedrijf. Classificeer de risico‚Äôs, om een lijst met prioriteiten op te stellen en daar de juiste maatregelen bij te nemen.
  • Een beleidskader voor cybersecurity
    Stel een beleidskader op, om organisatiebreed na te denken over cyberrisico’s en de maatregelen die belangrijk zijn. Dat begint met een simpel A4 met daarop de uitgangspunten, de kaders en een beschrijving van verschillende verantwoordelijkheden. Later breid je dit vanzelf uit naar een meer omvangrijk beleid, bijvoorbeeld gericht op specifieke cyberrisico’s die je als accountant loopt.
  • Voorbereiding op datalekken en hacks
    Bereid voor op datalekken en hacks, omdat dit iedere organisatie kan overkomen. Maak alvast een plan waarin je beschrijft wie er op welke manier moet reageren en welke herstelmaatregelen noodzakelijk zijn. Houd vervolgens alle incidenten bij en analyseer wat er gebeurt. Dicht de gaten in de beveiliging en controleer of de maatregelen het gewenste resultaat opleveren.
  • Concrete maatregelen nemen
    Neem concrete maatregelen als er gaten in de beveiliging blijven te zitten. Of voldoe met de maatregelen aan de nieuwe NIS2-richtlijn, om alvast voor te bereiden op de veranderingen in 2024. Verbeter de cybersecurity, zowel binnen het eigen accountantskantoor als bijvoorbeeld binnen leveranciersrelaties. De nieuwe richtlijn verplicht bedrijven om na te denken over de cyberveiligheid binnen de gehele toeleveringsketen.
  • IT uitbesteden aan specialisten
    Besteed concrete IT- en cyberbeveiliging uit aan specialisten die daar dagelijks mee bezig zijn. Schakel bovendien specialisten in om applicaties naar de cloud te migreren of andere IT-diensten toe te voegen, te verbeteren of te veranderen. Zij ontwikkelen op basis van Security by design, dus denken in de basis bij iedere stap na over (cyber)veiligheid.

Een aantal basismaatregelen verbetert daarnaast direct de cyberweerbaarheid van jouw accountantskantoor. Denk bijvoorbeeld aan:

  • Multi-factor authentication (MFA) voor alle digitale accounts
  • Maak regelmatig (automatische) back-ups
  • Gebruik een wachtwoordmanager met een complex hoofdwachtwoord
  • Stel een notificatie in voor e-mails van externe afzenders
  • Maak contactenlijsten offline beschikbaar

Maak het makkelijk met Guardey

Er komt op deze manier misschien veel op je af als accountantskantoor. Bovendien, je bent natuurlijk het liefst bezig met het werk van een accountant. Laat de cyberbeveiliging daarom over aan Guardey. Wij bieden je één oplossing voor een veilige verbinding, bescherming tegen schadelijke software én professionele (maar leuke!) training van medewerkers.

Met Guardey kies je in één keer voor een professionele cyberbeveiligingsoplossing voor bescherming en detectie. We zijn volledig plug & play, dus heel simpel, toegankelijk én betaalbaar.

Ontdek onze oplossing of stel ons vragen. Wij leggen u graag uit hoe Guardey uw accountantskantoor kan beschermen tegen alle digitale bedreigingen en hoe u vanaf 2024 kunt voldoen aan de NIS2-richtlijn!

Anouk CTA Guardey website
GRATIS 14-DAGEN UITPROBEREN

Ervaar Guardey vandaag nog.

  • Probeer volledig risicovrij
  • 24/7 support
Start 14 dagen gratis