De nieuwe Europese richtlijn voor cybersecurity (NIS2) treedt binnenkort in werking. Hoezeer heeft dit impact op jou als accountant? Welke risico’s loopt je kantoor als je er niet aan voldoet? En hoe verhoog je je eigen cyberveiligheid én die van je klanten? Gert de Fluiter van Schuiteman Accountants & Adviseurs geeft antwoord.
Al 35 jaar werkt Gert de Fluiter in de accountancy. Ruim 20 jaar geleden kwam hij via een Big4-kantoor bij Schuiteman Accountants & Adviseurs in Veenendaal terecht. De 53-jarige partner is er eindverantwoordelijk voor de audit en assurance en heeft de rol als interne kwaliteitsbepaler. “De laatste jaren zien we een duidelijke verbreding van onze dienstverlening. Vooral op het gebied van assurance. Dat heeft veel te maken met ontwikkelingen op IT-vlak.”
Deze technologische ontwikkeling brengt cybercriminaliteit met zich mee. Reden voor de wetgever om richtlijnen aan te scherpen. Dit vraagt volgens Schuitema om alertheid van accountants. “De huidige wet schrijft voor dat accountants tijdens hun controleopdrachten ook alle beheersingsrisico’s in beeld brengen. Daarom rapporteren we aan onze klanten onze bevindingen ten aanzien van de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. De nieuwe cyberwet, NIS2, gaat verder.”
Nieuwe richtlijn
Vanuit de NIS2 worden (middel)grote bedrijven verplicht om te voldoen aan een bepaalde cyberveiligheidsstatus. Nieuw is de bestuursverantwoordelijkheid. Niet IT-managers, maar bestuurders zelf spelen een cruciale rol in het toezicht op cyberveiligheid. Doen ze dat niet, dan lopen ze het risico op hoge boetes. Voor kleinere bedrijven geldt deze regelgeving alleen als ze onder ‘essentiële bedrijven’ vallen. Zoals bedrijven in de sectoren: energie, vervoer, infrastructuur voor banken en de financiële markt, gezondheid, drinkwater en digitale infrastructuur. De NIS2 breidt dit uit met: telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, bepaalde industrieën, overheidsdiensten, platforms voor sociale media, ruimtevaart, afvalbeheer en afvalwaterbeheer. “Het is menens voor de wetgever.”
Tonnen schade
De Fluiter vindt die houding van de overheid terecht. In zijn accountantspraktijk heeft hij de gevolgen van onachtzaamheid al gezien. “Diverse klanten hebben te maken gehad met cybercriminaliteit. De schade liep al snel in de tonnen. Als ondernemer wil je natuurlijk geen enkel risico lopen ten aanzien van je bedrijfsvoering. Ook de imagoschade is enorm als je gegevens op straat blijken te liggen of als je bedrijf wekenlang plat ligt door gehackte systemen!”
Voor zijn eigen kantoor staat het onderwerp ‘cyberveiligheid’ voortaan standaard op de agenda bij besprekingen met klanten. “Sommigen vinden het allemaal een ver-van-hun-bedshow. Hen moet ik dan overtuigen waarom het belangrijk is om er serieus werk van maken. Gelukkig merken we dat meer en meer ondernemers cybersecurity hoog op de agenda zetten.”
Cybersecurity dashboard
Schuiteman maakt sinds een half jaar op haar vijf vestigingen zelf ook gebruik van LupaSafe. Dit cyberbeveiligingsplatform helpt bedrijven om cyberaanvallers een stap voor te zijn door preventief je huis op orde te hebben. LupaSafe monitort 24/7 veiligheidsrisico’s op mens, proces en de IT en. Zij bieden een complete beveiligingsoplossing op het gebied van bijvoorbeeld ransomware, werkplek veiligheid , phishingpreventie en is Europees schaalbaar.
Meerwaarde
De Fluiter zegt dat hij in LupaSafe direct meerwaarde zag voor zijn eigen dienstverlening. “Enerzijds voor onze klanten, door de risico’s rondom cybersecurity nog beter in kaart te brengen. Zelf heb ik als accountant te weinig kennis over cybersecurity. Hiervoor stelde ik onze klanten algemene vragen als: wat doe je aan back-up en recovery, wat doe je om hackers tegen te gaan en ben je alert op wachtwoord wijzigingen door medewerkers? Dan waren we klaar met de securitycheck. Maar heb je dan alle risico’s in beeld? En aangezien die risico’s steeds groter worden en de wetgever hier ook nadrukkelijk meer aandacht voor vraagt, wilden we meer zekerheid. Anderzijds voor ons zelf. Hoewel we nog nooit zijn gehackt, zijn collega-kantoren dat wel en inmiddels ook diverse klanten.”
Vinger op de zere plek
LupaSafe legt volgens de accountant de vinger op de zere plek. “Het biedt daarmee kansen voor accountants, doordat het audits zeker meerwaarde geeft. Ten eerste doordat het dashboard inzicht geeft in risico’s rondom mens, techniek en processen. Wij kunnen dankzij deze informatie veel dieper gaan in de beoordeling van de betrouwbaarheid. Ten tweede kunnen we onze eigen controle versterken en efficiënter maken. Voorheen was het best lastig om informatie boven te krijgen. Als onze klanten met het LupaSafe-dashboard werken, is het voor ons helemaal eenvoudig om alle gegevens uit te lezen. Onze managementletters en accountantsverslagen worden ook beter, omdat we gerichter adviezen kunnen geven. Ten derde kunnen we een bredere dienstverlening aan onze klanten bieden. Als iemand voor de bank of verzekering data moet laten valideren, dan kunnen wij deze taak dankzij het dashboard eenvoudig uitvoeren en COS 4400 en COS 3000-rapportages afgeven.”
‘Behoorlijk geschrokken’
LupaSafe heeft bij het Veenendaals accountantskantoor zelf vooraf grondig getest hoe het gesteld was met de cyberbeveiliging. “We zijn behoorlijk geschrokken. Bij een slimme phishingtest reageerde een meerderheid van onze medewerkers toch op een mail. Om de alertheid bij hen te vergroten, krijgen ze binnenkort een cyber awareness training bij LupaSafe.”
De Fluiter noemt zijn kennismaking met LupaSafe ‘een eyeopener’. “Ik zag direct het belang ervan in, ook voor onze dienstverlening. Ik maak me er nu bij onze plaatselijke ondernemersvereniging ook hard voor dat andere bedrijven oog krijgen voor cyberveiligheid. De zwakste schakel in cybersecurity is namelijk de mens. Laten we elkaar vooral alert houden.”
Wat kan jij doen om jouw organisatie cybersecure te maken?
Wil jij weten wat jij kunt doen om jouw organisatie cybersecure te maken? Meld je dan nu aan voor het gratis lunchwebinar van LupaSafe en Sdu. Onze experts behandelen de cyberrisico’s, de trends in informatiebeveiliging en de cyber audit kansen voor jou. Daarnaast is er volop ruimte voor het stellen van vragen aan onze experts.
Geef een reactie