Google 4.9 (34 beoordelingen)
Cybersecurity voor jou
Partner worden
Terug naar Resource Center

NIS2-richtlijn voor accountantskantoren: welke maatregelen voor cybersecurity moet je minimaal nemen?

8 maart 2023 - Algemeen

Deel

De nieuwe NIS2-richtlijn verplicht accountantskantoren meer maatregelen te nemen om inbreuken op de cyberbeveiliging te voorkomen. De Europese cyberwet is sinds 16 januari 2023 van kracht. Nederland en andere lidstaten hebben tot oktober 2024 de tijd om de wetgeving nationaal te implementeren. Dat betekent dat accountants vanaf dat moment moeten voldoen aan nieuwe cybersecurity-richtlijnen.

Wat is de nieuwe NIS2-richtlijn?

De nieuwe NIS2-richtlijn verscherpt de vereisten voor essentiële bedrijven en vult die aan met verplichtingen voor ‘belangrijke bedrijven’, waaronder accountantskantoren. In een eerder artikel legden we uit wat de nieuwe richtlijn precies inhoudt en wat er verandert ten opzichte van de NIS1. 

Het belangrijkste verschil is de uitbreiding naar ‘belangrijke bedrijven’, naast de essentiële bedrijven waarvoor de richtlijn al langer geldt. Ook accountantskantoren behoren tot de belangrijke bedrijven, dus moeten zich vanaf 2024 aan strengere richtlijnen voor cybersecurity houden. 

Wat verandert er voor accountantskantoren?

Accountantskantoren moeten al voldoen aan richtlijnen voor goede IT-documentatie. Het gaat dan vooral over informatiebeveiliging, die continuïteit, betrouwbaarheid en risico’s van geautomatiseerde gegevensverwerking garandeert (ISA 315 (COS 315) van de ISAAB). Accountantskantoren moeten bovendien verplicht rapporteren over cybersecurity op basis van een deskundigenonderzoek (artikel 2:393 lid 4 BW).

Er komen daarnaast nieuwe regels bij. De directie is voortaan bijvoorbeeld verantwoordelijk voor de cybersecurity van het accountantskantoor. Dit is niet langer (slechts) de verantwoordelijkheid van een IT-partner binnen het kantoor.

De nieuwe richtlijn voegt drie andere veranderingen toe:

  • Lijst met minimale basisbeveiliging
    De richtlijn is concreter, dankzij een lijst met minimale basisbeveiliging die bedrijven moeten toepassen. De richtlijn legt een aanpak voor risicobeheersing op.
  • Security in de keten aanpakken
    Bedrijven moeten security-risico’s in hun toeleveringsketen gaan aanpakken. Dat geldt ook voor risico’s die ontstaan door leveranciersrelaties.
  • Strenger toezicht
    Nationale autoriteiten mogen strenger toezicht houden en strenger handhaven. De nieuwe richtlijn trekt sanctieregelingen en rapportageverplichtingen in alle lidstaten gelijk(er).

Krijg je een boete als je niet voldoet?

Accountantskantoren die niet voldoen aan de nieuwe richtlijn krijgen een waarschuwing en daarna een aanmaning. Vervolgens mag de lokale autoriteit boetes opleggen, tot maximaal 10 miljoen euro of twee procent van de jaaromzet.

Welke risico's lopen accountants?

De Europese Unie merkt accountantskantoren aan als belangrijke ondernemingen. Cyberrisico's hebben een impact op de kantoren zelf en op de bredere samenleving. Natuurlijk zijn accountants zich al lang bewust van het risico van cybercriminaliteit. Uit onderzoek van Skopos blijkt bijvoorbeeld dat de meerderheid van de accountants vindt dat informatiebeveiliging meer aandacht moet krijgen.

Accountantskantoor Grant Thornton wijst op een verschuiving van geld verdienen naar kwade opzet en de toenemende risico's die daarmee gepaard gaan. Bovendien is al gemeld dat Nederlandse bedrijven worden gehackt door Russische inlichtingendiensten.

De SRA, die als netwerkorganisatie 375 zelfstandige accountants met 900 vestigingen in Nederland vertegenwoordigt, meldt dat accountantskantoren steeds vaker te maken krijgen met bijvoorbeeld ransomware, malware en cryptojacking.

Cybercrime voorkomen: wat kan je doen als accountantskantoor?

Als accountantskantoor moet je op basis van de nieuwe NIS2-richtlijn vanaf 2024 degelijke maatregelen nemen om cybersecurity te voorkomen of de gevolgen te beperken. Ook in aanloop naar die nieuwe richtlijn kun je al actie ondernemen. De SRA adviseert bijvoorbeeld:

  • Risico's in kaart brengen
    Pas als je weet welke risico’s jouw accountantskantoor loopt lukt het om daar passende maatregelen voor te nemen. Zorg dat je de risico’s in kaart brengt of schakel daarvoor externe specialisten in. Maak binnen de risico’s onderscheid tussen die voor de directe dienstverlening en de continuïteit van het bedrijf. Classificeer de risico’s, om een lijst met prioriteiten op te stellen en daar de juiste maatregelen bij te nemen.
  • Een beleidskader voor cybersecurity
    Stel een beleidskader op, om organisatiebreed na te denken over cyberrisico’s en de maatregelen die belangrijk zijn. Dat begint met een simpel A4 met daarop de uitgangspunten, de kaders en een beschrijving van verschillende verantwoordelijkheden. Later breid je dit vanzelf uit naar een meer omvangrijk beleid, bijvoorbeeld gericht op specifieke cyberrisico’s die je als accountant loopt.
  • Voorbereiding op datalekken en hacks
    Bereid voor op datalekken en hacks, omdat dit iedere organisatie kan overkomen. Maak alvast een plan waarin je beschrijft wie er op welke manier moet reageren en welke herstelmaatregelen noodzakelijk zijn. Houd vervolgens alle incidenten bij en analyseer wat er gebeurt. Dicht de gaten in de beveiliging en controleer of de maatregelen het gewenste resultaat opleveren.
  • Concrete maatregelen nemen
    Neem concrete maatregelen als er gaten in de beveiliging blijven te zitten. Of voldoe met de maatregelen aan de nieuwe NIS2-richtlijn, om alvast voor te bereiden op de veranderingen in 2024. Verbeter de cybersecurity, zowel binnen het eigen accountantskantoor als bijvoorbeeld binnen leveranciersrelaties. De nieuwe richtlijn verplicht bedrijven om na te denken over de cyberveiligheid binnen de gehele toeleveringsketen.
  • IT uitbesteden aan specialisten
    Besteed concrete IT- en cyberbeveiliging uit aan specialisten die daar dagelijks mee bezig zijn. Schakel bovendien specialisten in om applicaties naar de cloud te migreren of andere IT-diensten toe te voegen, te verbeteren of te veranderen. Zij ontwikkelen op basis van Security by design, dus denken in de basis bij iedere stap na over (cyber)veiligheid.

Een aantal basismaatregelen verbetert daarnaast direct de cyberweerbaarheid van jouw accountantskantoor. Denk bijvoorbeeld aan:

  • Multi-factor authentication (MFA) voor alle digitale accounts
  • Maak regelmatig (automatische) back-ups
  • Gebruik een wachtwoordmanager met een complex hoofdwachtwoord
  • Stel een notificatie in voor e-mails van externe afzenders
  • Maak contactenlijsten offline beschikbaar

Maak het makkelijk met Guardey

Er komt op deze manier misschien veel op je af als accountantskantoor. Bovendien, je bent natuurlijk het liefst bezig met het werk van een accountant. Laat de cyberbeveiliging daarom over aan Guardey. Wij bieden je één oplossing voor een veilige verbinding, bescherming tegen schadelijke software én professionele (maar leuke!) training van medewerkers.

Met Guardey kies je in één keer voor een professionele cyberbeveiligingsoplossing voor bescherming en detectie. We zijn volledig plug & play, dus heel simpel, toegankelijk én betaalbaar.

Ontdek onze oplossing of stel ons vragen. Wij leggen u graag uit hoe Guardey uw accountantskantoor kan beschermen tegen alle digitale bedreigingen en hoe u vanaf 2024 kunt voldoen aan de NIS2-richtlijn!

INHOUDSOPGAVE
GERELATEERDE BERICHTEN
Verlaag je grootste risicofactor

Probeer Guardey gratis uit en creëer duurzame gedragsverandering in cyberbewustzijn met Guardey's spel

Start 14 dagen gratis

Vaak gestelde vragen

Ik heb al een firewall, heb ik nog steeds Guardey nodig?

Alleen vertrouwen op een firewall voor cyberbeveiliging maakt je organisatie kwetsbaar voor evoluerende en geavanceerde bedreigingen. Cyberaanvallen richten zich op meerdere vectoren, waaronder kwetsbaarheden in software, eindpunten van medewerkers en webapplicaties. Guardey werkt samen met de firewall.

Firewalls houden tot 80% van de online risico's buiten. Met Guardey is inzichtelijk welke online risico's wel door de firewall zijn gekomen. Daarnaast worden er nog te vaak menselijke fouten gemaakt, dus train ook medewerkers om verantwoord online te werken.

Ik heb al een VPN, heb ik nog steeds Guardey nodig?

Het is goed dat je al een VPN gebruikt. Dit maakt je onzichtbaar voor kwaadwillenden, maar uiteindelijk kunnen werknemers nog steeds kwetsbaar zijn door de verkeerde bestellingen of verkeerde websites binnen te halen.

Guardey is meer dan een zakelijke VPN. Guardey biedt ook monitoring in de VPN-tunnel. Dit detecteert online risico's en maakt een snelle reactie mogelijk.

We hebben het te druk voor wekelijkse gamification. Waarom zou ik de gamification spelen?

Tegenwoordig hebben we het allemaal druk, dat erkennen we 😉 Des te belangrijker is het bewustzijn van medewerkers. Zorg ervoor dat medewerkers niet per ongeluk fouten maken door druk. Dat zorgt immers alleen maar voor extra werk.

Daarom zijn onze uitdagingen maar maximaal 5 minuten en kun je ze snel tussendoor doen. Elke week komt er een nieuwe uitdaging beschikbaar. Wil je als organisatie deze uitdagingen elke week, elke twee weken of elke maand spelen? Ook dat is natuurlijk geen probleem.

Kan ik ook alleen de gamification spelen?

Kort antwoord: ja! Het is mogelijk om alleen de gamification te spelen.

Heb je al voldoende cyberbeveiligingsmaatregelen genomen voor je medewerkers op kantoor en daarbuiten? Maar kan er nog gewerkt worden aan bewustwording? Dan kun je ook gewoon de gamification spelen. Dit kan al heel eenvoudig in alleen de browser. Bekijk hier ons game only pakket.

Is Guardey effectief tegen phishingpogingen?

Phishing is vooral gevaarlijk als je niet weet dat je met phishing te maken hebt. Daarom is ons cyber awarness spel de eerste stap tegen phishing. Maak mensen bewust van de gevaren en zorg dat ze de juiste kennis hebben zodat ze nergens op klikken.

Verder speelt Guardey een cruciale rol bij het detecteren van verdachte online activiteiten. Als een lid van je organisatie bijvoorbeeld in contact komt met een website die bekend staat om het hosten van phishingcontent, dan zal Guardey je direct waarschuwen over het potentiële risico. Door dit proactieve waarschuwingssysteem te bieden, helpt Guardey voorkomen dat gebruikers binnen je organisatie ten prooi vallen aan phishing-zwendel.

Wil je meer vragen stellen?
Vraag een persoonlijke demo aan

Ontvang de laatste resources en nieuws, rechtstreeks in je inbox.

Meer interessante bronnen

Algemeen
95% van de hacks en datalekken wordt veroorzaakt door menselijke fouten. Dit is waarom gaming de oplossing is.
Over NIS2
Cybersecurity
NIS2 cyberwet voor essentiële bedrijven: wat is het verschil tussen NIS1 en NIS2?
Algemeen
De 7 fasen van een cyberaanval
Resource center
Anouk ter Harmsel
GRATIS 14-DAGEN UITPROBEREN

Laten we jouw bedrijf beschermen!

  • Probeer volledig risicovrij
  • 24/7 support
Start 14 dagen gratis