De impact van de NIS 2 op accountants

Geplaatst op 23-11-2022, door Sanne Nijboer in Kennisbank

Alle bedrijven, van multinationals tot aan mkb-bedrijven, die essentiële diensten leveren moeten in 2023 voldoen aan de NIS 2. Deze nieuwe cybersecuritywetgeving is in het leven geroepen om Europa beter te beschermen tegen de toenemende cybercriminaliteit. Maar wat betekent de NIS 2 voor accountants?

 

De impact van de NIS 2 op accountants

Wat is de NIS 2 en voor wie is het?

NIS staat voor netwerk- en informatiesystemen en de NIS 2 is een nieuwe Europese richtlijn. Het Europees parlement heeft ingestemd met deze nieuwe richtlijn om de eisen rondom cybermaatregelen aan te scherpen. Het is de bedoeling dat de NIS 2 wordt omgezet naar nationale richtlijnen. Lidstaten van Europa hebben 21 maanden de tijd om hiervoor een plan te maken en dit uit te voeren. Voor maart 2024 zal er dus ook een Nederlandse wetgeving komen.

De NIS 2 is voor bedrijven die essentiële diensten leveren en die van belang zijn voor de economie en samenleving. In totaal zijn dit acht sectoren: financiële markten, bankensector, gezondheidssector, transportsector, drinkwatervoorziening, rioolwaterafvoer, energievoorziening en digitale infrastructuur. De wet geldt voor bedrijven met meer dan 50 medewerkers en meer dan 10 miljoen euro omzet. De NIS 2 geldt voor de gehele keten.

Bedrijven die zakendoen met essentiële organisaties, vallen ook onder deze nieuwe wetgeving. Heb jij klanten die actief zijn in deze sectoren? Dan gelden de regels ook voor jouw organisatie. Controleer dus goed of jij zaken doet met bedrijven die essentieel zijn en voor wie de NIS 2 geldt. Informeer deze bedrijven eventueel dat de NIS 2 voor hen zal gelden. Mocht het bedrijf niet aan de wettelijke verplichtingen van de NIS 2 voldoen, dan kunnen ze rekenen op een geldboete.

De NIS 2 in de praktijk

Wat bedrijven precies moeten doen om te voldoen aan de NIS 2 is nog moeilijk te zeggen. De Nederlandse wetgeving moet zoals gezegd nog worden opgesteld. Wel is duidelijk dat – als jouw organisatie straks onder de NIS 2 richtlijn valt – je een passend beleid voor cybersecurity / informatiebeveiliging moet hebben. Standaarden zoals ISO 27001 en NEN 7510 geven hier een gestructureerde invulling aan. Deze standaarden zullen van belang zijn voor de gehele keten. De kleinere ICT-dienstverlener (MSP) die voor grotere organisaties het netwerk beheert, wordt verplicht om aantoonbaar aan de ISO27001 te voldoen. Zorginstellingen moeten voldoen aan de NEN7510 om maatregelen te treffen voor de informatiebeveiliging.

Voor veel mkb-bedrijven zal de NIS 2 geen gevolgen hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en ontvang je bezoek van een toezichthouder.
Of een organisatie onder de NIS 2 valt, is op dit moment nog niet met volledige zekerheid toe te zeggen. Is de organisatie actief in een van de essentiële sectoren of doet een organisatie daar zaken mee? Dan is de kans groot dat je straks aan de richtlijnen van de NIS 2 moet voldoen.

Maar als de NIS 2 straks niet voor jouw bedrijf geldt, betekent dat natuurlijk niet dat je niets aan veiligheid hoeft te doen. Het komt steeds vaker voor dat bedrijven slachtoffer zijn van cybercriminelen. Ondernemers zijn altijd verantwoordelijk voor de klantgegevens die in bezit zijn. Ga hier dus ook veilig mee om. Zeker als accountant is dit jouw wettelijke en morele plicht, want je werkt met gevoelige informatie.

Dit kun je doen

De nieuwe cyberwetgeving vraagt om nieuwe maatregelen. Elk bedrijf doet er verstandig aan om in ieder geval de basis op orde te hebben. In een eerdere blog beschrijven wij deze basismaatregelen. Hieronder een opsomming van de tien belangrijkste punten:

  1. Inventariseer kwetsbaarheden
  2. Voer altijd updates uit
  3. Word weerbaarder tegen virussen en kwaadaardige software
  4. Gebruik sterke wachtwoorden
  5. Gebruik tweefactorauthenticatie
  6. Maak en houd medewerkers bewust van de (cyber)risico’s
  7. Gebruik de cloud als digitale kluis
  8. Beperk toegang
  9. Krijg grip op belangrijke back-ups
  10. Kies voor de cloud en wees kritisch op ICT-leverancier

Helaas komt het voor dat bedrijven de bovenstaande basismaatregelen nog niet op orde hebben. Veel ondernemers hebben nu de digitale achterdeur openstaan en zijn een makkelijk doelwit. Wij hebben een whitepaper opgesteld waarin we beschrijven hoe jij de basis op orde krijgt en geven we praktische tips om weerbaarder te zijn tegen cybercriminelen.

 

Download de whitepaper