Cybercrime en wetgeving: waar moet uw accountantskantoor aan voldoen?

Uw accountantskantoor heeft een morele maar ook wettelijke verplichting om de cybersecurity op orde te hebben. Met de NIS2-richtlijn scherpt Europa de wetgeving aan. Waar moet u rekening mee houden?

Hoe goed is uw kennis van cybersecurity en de regelgeving? Als hier nog ruimte voor verbetering is, bent u niet de enige. SDU en Lupasafe deden onderzoek onder 198 accountants. Ze concluderen dat 84% van de accountantskantoren onvoldoende kennis heeft van cybersecurity en 90% van de accountants onbekend is met de NIS2-richtlijn.

AdobeStock_357786367

NIS en Wbni

NIS staat voor netwerk- en informatiesystemen. Al vanaf 2016 geldt de eerste Europese NIS-richtlijn. In Nederland is deze omgezet in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet is gericht op de digitale weerbaarheid van aanbieders van essentiële diensten, de rijksoverheid en digitale dienstverleners. De wet is bedoeld om de gevolgen van cybercrime bij die groepen te beperken en maatschappelijke ontwrichting te voorkomen.

De komst van NIS2

Met de NIS2 scherpt Europa de richtlijn aan. Deze is al van kracht, maar lidstaten hebben nog tot maart 2024 de tijd om de NIS2 om te zetten naar nationale wetgeving. De NIS2 richt zich op sectoren die al onder de eerste richtlijnen vallen en breidt dat uit met nieuwe sectoren. Welke sectoren dat zijn kunt u zien in deze lijst op de website van het Nationaal Cyber Security Centrum.

Doet u zaken met bedrijven die onder de NIS2 vallen?

Het is belangrijk om te weten dat de NIS2-wetgeving van kracht is voor de gehele keten. Heeft uw kantoor klanten die onder de NIS2 vallen, dan gelden de regels ook voor uw organisatie. Welke organisaties precies onder de NIS2 vallen, is nog niet helemaal duidelijk. Maar als een organisatie actief is in een van de essentiële sectoren, dan is de kans groot dat de NIS2 van toepassing wordt.

Verscherping bestuursverantwoordelijkheid

De NIS2 wetgeving krijgt dus een breder toepassingsbereik. Daarnaast scherpt de richtlijn de bestuursverantwoordelijkheid aan. Niet alleen de IT-managers, maar de bestuurders zelf worden verantwoordelijk in het toezicht op cybersecurity. Het niet naleven van de wet- en regelgeving kan grote boetes tot gevolg hebben. Bedrijven en hun bestuurders kunnen er persoonlijk op worden afgerekend.

Welke eisen stelt de NIS2?

De beveiligingsmaatregelen die een organisatie neemt moeten afgestemd zijn op de risico’s. De NIS2 vertelt dus niet precies wat u moet doen, maar stelt wel een aantal minimumeisen.

Om u hier een idee van te geven noemen we in het kort de minimumvereisten:

  • Een risicoanalyse uitvoeren en beveiligingsbeleid implementeren.
  • Adequaat handelen bij de preventie en opsporing van incidenten en de respons daarop.
  • Een plan voor bedrijfscontinuïteit en crisisbeheer.
  • Een inschatting van de beveiliging van de toeleveringsketen.
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk en informatiesystemen.
  • Beleid en procedures (testen en audits) om de effectiviteit van maatregelen te beoordelen.
  • Gebruik maken van cryptografie en encryptie.

 

“Het is niet zozeer de vraag of bedrijven worden aangevallen, maar wanneer.”
- Nationaal Cybersecurity Centrum

 

Algemene Verordening Gegevensbescherming (AVG)

Naast de NIS2 heeft uw kantoor te maken met de AVG. Deze wet is bekender en geldt voor vrijwel alle bedrijven. In deze wet zijn verplichtingen bij het verwerken van persoonsgegevens vastgelegd.

 

Wat betekent de AVG voor uw accountantskantoor?

De AVG legt uw bedrijf verplichtingen op bij het verwerken van persoonsgegevens. U moet bijvoorbeeld klanten, medewerkers en andere relaties informeren over welke gegevens uw bedrijf verwerkt. In een aantal gevallen moeten ze daar eerst toestemming voor geven. Ook moet u de persoonsgegevens beveiligen om datalekken te voorkomen.

Veel datalekken door cybercrime

De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving van de AVG. Een ernstige data lek moet u daar melden. Een menselijke fout is geregeld de oorzaak van een datalek. Maar ook datalekken als gevolg van cybercrime komen steeds meer voor. Overtreedt een organisatie de AVG-wetgeving, dan kan de AP sancties opleggen, variërend van een waarschuwing tot flinke boetes.

In 2022 legde de AP een boete van 525.000 euro op aan DPG media. Het bedrijf liet mensen onnodig hun identiteitsbewijs uploaden en vroeg daardoor te veel persoonsgegevens op, oordeelde de AP.

Rol van de accountant

Voor uw accountantskantoor heeft de wet- en regelgeving over cybersecurity gevolgen op drie gebieden:

  1. Het op orde hebben van uw eigen organisatie

Uw accountantskantoor moet voldoen aan de richtlijnen van de AVG. Er is daarnaast een goede kans dat u ook moet voldoen aan de richtlijnen van de NIS2. Dat betekent dat u een gedegen cybersecuritystrategie moet hebben. Los van alle wetgeving is dat belangrijk, omdat de kans dat u een keer te maken krijgt met cybercrime groot is

  1. De eisen aan uw werk als accountant

Het is op dit moment al verplicht bij controle opdrachten te rapporteren over cybersecurity conform artikel 2:393 lid 4, Burgerlijk Wetboek. Daarnaast bevat Standaard 135 van de IAASB vereisten voor het verkrijgen van inzicht in de IT-omgeving en de risico’s die gepaard gaan met het gebruik van IT. Met de implementatie van de NIS2-richtlijn worden de rapportageverplichtingen en eisen nog zwaarder.

  1. Uw adviserende rol richting klanten

Cybercrime is voor uw klanten een groot risico voor de bedrijfscontinuïteit. Door aandacht te hebben voor de cybersecurity, voegt u als accountant een meerwaarde toe aan uw adviesfunctie. Het biedt u de kans om uw dienstverlening te verbreden en laat zien dat u meegaat met de tijd.

Een betrouwbare ICT-partner

Het is goed om u te verdiepen in cybersecurity, maar een specialist wilt u waarschijnlijk niet worden. Cybersecurity is te complex om erbij te doen als het niet uw corebusiness is. Daarom is het belangrijk om een goede ICT-partner te hebben die u vertrouwt.

Hupra ICT heeft meer dan 20 jaar ervaring met accountantskantoren. Of u nu volledig in de cloud werkt of eigen servers heeft, wij kunnen samen met u stappen nemen in de beveiliging van uw ICT. Dat begint met een securityscan, die we voor u en eventueel uw klanten kunnen uitvoeren. Wilt u weten wat wij voor u kunnen betekenen? Neem dan contact met ons op, we maken graag kennis met u.