De impact van de NIS 2 op accountants

Geplaatst op 25-04-2024 in Kennisbank

Alle bedrijven, van multinationals tot aan mkb-bedrijven, die essentiële diensten leveren moeten vanaf 2023 voldoen aan de NIS2. Deze nieuwe cybersecuritywetgeving is in het leven geroepen om Europa beter te beschermen tegen de toenemende cybercriminaliteit. Maar wat betekent de NIS2 voor accountants?

 

De impact van de NIS 2 op accountants

Wat is de NIS2-richtlijn?

NIS staat voor netwerk- en informatiesystemen en de NIS2 is een nieuwe Europese richtlijn. Het Europees parlement heeft ingestemd met deze nieuwe richtlijn om de eisen rondom cybermaatregelen aan te scherpen. Het is de bedoeling dat de NIS2 wordt omgezet naar nationale richtlijnen. Lidstaten van Europa hebben 21 maanden de tijd om hiervoor een plan te maken en dit uit te voeren.

Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de NIS2-richtlijn naar nationale wetgeving. Een ingrijpend en complex proces dat grote zorgvuldigheid vereist. In vergelijking met bestaande wetgeving zullen bijvoorbeeld meer sectoren en organisaties moeten voldoen aan de nieuwe voorschriften.

Medio 2024 staat de internetconsultatie gepland. Op dat moment zullen de conceptwetten gereed zijn en krijgen sectoren, organisaties en individuen de kans om erop te reageren. Dit biedt organisaties een beter inzicht in wat er van hen wordt verwacht wanneer ze moeten voldoen aan de nieuwe wetgeving. Het is belangrijk op te merken dat de concept wetteksten mogelijk niet meteen alle details bevatten. Na de internetconsultatie zullen de ontvangen reacties zorgvuldig worden beoordeeld en, indien nodig, verwerkt. Bovendien zullen specifieke kwesties en details verder worden uitgewerkt in lagere wet- en regelgeving.

Welke sectoren en entiteiten vallen onder de NIS2-richtlijn?

De NIS2 is voor bedrijven die essentiële diensten leveren en die van belang zijn voor de economie en samenleving. Bedrijven die zakendoen met essentiële organisaties, vallen ook onder deze nieuwe wetgeving. Heb jij klanten die actief zijn in één van de essentiële sectoren? Dan gelden de regels waarschijnlijk ook voor jouw organisatie. Bedrijven vallen automatisch onder de NIS2-richtlijn als zij gekenmerkt worden als essentiële of belangrijke entiteit en actief zijn in een van de vastgestelde kritieke sectoren.

Essentiële en belangrijke entiteiten

Essentiële entiteiten zijn:

  • organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit.
  • grote organisaties die actief zijn in een van de bovenstaande sectoren
  • een organisatie is groot op basis van de volgende criteria:
    • minimaal 250 werknemers of;
    • een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteiten zijn:

  • middelgrote organisaties die actief zijn in een van de bovenstaande sectoren
  • een organisatie is middelgroot op basis van de volgende criteria:
    • minimaal 50 werknemers of;
    • een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Micro-en kleinbedrijven vallen niet onder de NIS2. De minister die verantwoordelijk is voor een bepaalde sector kan wel besluiten om een micro- of kleinbedrijf toch aan te wijzen op basis van een grondige risicobeoordeling.

Kritieke sectoren

  • Afvalstoffenbeheer
  • Afvalwater
  • Bankwezen
  • Beheerders van ICT Diensten
  • Chemische stoffen
  • Digitale aanbieders
  • Digitale infrastructuur
  • Drinkwater
  • Energie
  • Gezondheidszorg
  • Infrastructuur financiële markt
  • Levensmiddelen
  • Onderzoek
  • Overheidsdiensten
  • Post- en koeriersdiensten
  • Ruimtevaart
  • Transport
  • Vervaardiging/manufacturing

De NIS2 voor accountantskantoren

Wat bedrijven precies moeten doen om te voldoen aan de NIS2 is nog moeilijk te zeggen. De Nederlandse wetgeving moet zoals gezegd nog worden opgesteld. Wel is duidelijk dat – als jouw organisatie straks onder de NIS2 richtlijn valt – je een passend beleid voor cybersecurity / informatiebeveiliging moet hebben. Standaarden zoals ISO 27001 en NEN 7510 geven hier een gestructureerde invulling aan. Deze standaarden zullen van belang zijn voor de gehele keten. De kleinere ICT-dienstverlener (MSP) die voor grotere organisaties het netwerk beheert, wordt verplicht om aantoonbaar aan de ISO27001 te voldoen.

Voor veel mkb-bedrijven zal de NIS2 geen gevolgen hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en ontvang je bezoek van een toezichthouder. Of een organisatie onder de NIS2 valt, is op dit moment nog niet met volledige zekerheid te zeggen. Is de organisatie actief in één van de essentiële sectoren of doet een organisatie daar zaken mee? Dan is de kans groot dat je straks aan de richtlijnen van de NIS2 moet voldoen.

Maar als de NIS2 straks niet voor jouw bedrijf geldt, betekent dat natuurlijk niet dat je niets aan veiligheid hoeft te doen. Het komt steeds vaker voor dat bedrijven slachtoffer zijn van cybercriminelen. Ondernemers zijn altijd verantwoordelijk voor de klantgegevens die in bezit zijn. Ga hier dus ook veilig mee om. Zeker als accountant is dit jouw wettelijke en morele plicht, want je werkt met gevoelige informatie.

Wacht niet af, dit kun je nu al doen

De nieuwe cyberwetgeving vraagt om nieuwe maatregelen. Elk bedrijf doet er verstandig aan om in ieder geval de basis op orde te hebben. In een eerdere blog beschrijven wij deze basismaatregelen. Hieronder een opsomming van de tien belangrijkste punten:

  1. Inventariseer kwetsbaarheden
  2. Voer altijd updates uit
  3. Word weerbaarder tegen virussen en kwaadaardige software
  4. Gebruik sterke wachtwoorden
  5. Gebruik tweefactorauthenticatie
  6. Maak en houd medewerkers bewust van de (cyber)risico’s
  7. Gebruik de cloud als digitale kluis
  8. Beperk toegang
  9. Krijg grip op belangrijke back-ups
  10. Kies voor de cloud en wees kritisch op ICT-leverancier

Helaas komt het voor dat bedrijven de bovenstaande basismaatregelen nog niet op orde hebben. Veel ondernemers hebben nu de digitale achterdeur openstaan en zijn een makkelijk doelwit. Wij hebben een whitepaper opgesteld waarin we beschrijven hoe jij de basis op orde krijgt en geven we praktische tips om weerbaarder te zijn tegen cybercriminelen.

Download de whitepaper

Controleer bij de RDI of je onder de NIS2 valt

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een vragenlijst ontwikkeld waarmee kantoren zelf kunnen evalueren of ze moeten voldoen aan de NIS2. Na het invullen van de vragenlijst, wordt ook duidelijk of het kantoor wordt gezien als ‘essentieel’ of ‘belangrijk’.

Klik hier voor de zelfevaluatie van de RDI.