Er verschijnen regelmatig nieuwsberichten over succesvolle cybersecurity aanvallen, waarbij de aanvallers geld eisen om bestanden vrij te geven die gekaapt zijn. Cybercriminelen maken steeds gebruik van nieuwe technieken om mensen of organisaties doelwit te maken van een aanval. Ook worden cyberaanvallen veel groter en georganiseerder. De Europese Unie vindt het daarom tijd voor actie door het implementeren van de nieuwe NIS2-richtlijn.
Deze richtlijn kan vergeleken worden met de AVG-wetgeving; het voldoen aan de NIS2-richtlijn is niet langer een optie maar wordt een verplichting voor veel organisaties. Met de invoering van de nieuwe Europese richtlijn voor cybersecurity moet een groot aantal bedrijven, inclusief kleine mkb-bedrijven, in 2023 voldoen aan nieuwe cybersecurity richtlijnen. Bovendien wordt de bestuursverantwoordelijkheid voor cybersecurity aangescherpt, waarbij niet alleen IT-managers en IT-partners verantwoordelijk zijn maar juist de bestuurders zelf een cruciale rol spelen bij toezicht op cyberveiligheid. Het niet naleven van de wet- en regelgeving kan boetes opleveren die oplopen tot maximaal €10 miljoen of 2% van de totale wereldwijde omzet.
Wat is nu de NIS2-richtlijn?
De NIS2-richtlijn is vanaf 16 januari 2023 van kracht en zal voor een groot deel van de Nederlandse organisaties gaan gelden. Daarnaast worden de eisen rondom cybersecurity een stuk strenger en wordt er vanaf 1 januari 2025 strenger gehandhaafd door het uitvoeren van inspecties door de Rijksinspectie Digitale Infrastructuur (RDI) en het Nationaal Cyber Security Centrum (NCSC).
Indien wordt voldaan aan de NIS2-richtlijn, biedt de overheid hulp aan organisaties die te maken hebben met een cyberaanval. Hierbij is het belangrijk dat een organisatie vooraf de juiste voorbereidingen heeft getroffen en op 18 oktober 2024, het moment dat de richtlijn wordt omgezet naar nationale wetgeving, aantoonbaar voldoet aan de NIS2-richtlijn.
Voor welke organisaties is de NIS2-richtlijn van toepassing?
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal organisaties dat onder de richtlijn valt, wordt dus groter en behoren tot de onderstaande categorieën:
| Essentiële entiteiten | Vitale entiteiten |
| Dinkwatervoorziening | Post en Koeriesdiensten |
| Energie | Afvalstoffenbeheer |
| Transport | Vervaardiging, productie en distributie van chemische stoffen |
| Banken | Productie, verwerking en distributie van levensmiddelen |
| Infrastructuur financiële markt | Vervaardiging van medische hulpmiddelen, elektronische hulpmiddelen, ICT producten, machines, apparatuur, motorvoertuigen, aanhangers, opleggers en transportmiddelen |
| Ruimtevaart | Digitaleaanbieders, zoals online marktplaatsen, zoekmachines en sociale netwerken |
| Gezondheidszorg | Onderzoeksorganisaties |
| Afvalwater | |
| Digitale infrastructuur | |
| Overheid |
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
- Essentiële entiteiten
- Dat zijn grote organisaties die actief zijn in een sector zoals hierboven genoemd in kolom 1 (zie tabel)
- Een organisatie is groot op basis van de volgende criteria:
- meer dan 250 werknemers of;
- een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
- Belangrijke entiteiten
- Dat zijn middelgrote organisaties die actief zijn in een sector zoals hierboven genoemd in kolom 1 en 2 (zie tabel)
- Een organisatie is middelgroot op basis van de volgende criteria:
- minimaal 50 werknemers of;
- een jaaromzet of balanstotaal van meer dan 10 miljoen euro.
Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen onder een intensiever regime van toezicht, omdat zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht die alleen achteraf plaatsvindt, bijvoorbeeld als er aanwijzingen zijn voor niet-naleving van de wet of als er een incident heeft plaatsgevonden.
Wat moet ik als accountant met de NIS2-richtlijn?
Voor accountants is het cruciaal kennis rondom cybersecurity op peil te houden, zodat zij klanten kunnen begeleiden bij de voorbereidingen op de NIS2-richtlijn. Daarnaast biedt het bijhouden van kennis en ontwikkeling op dit gebied kansen voor accountants om hun dienstverlening uit te breiden. Echter is de account niet verantwoordelijk voor de naleving van de NIS2-richtlijn maar kan dienen als adviseur voor organisatie en waarborgen van de juiste implementatie en naleving van de NIS2-richtlijn. Bijvoorbeeld door, in samenwerking met de organisaties, een eerste set aan maatregelen te treffen op basis van artikel 21 lid 2, dat eisen stelt ter voorbereiding op de meldplicht bij beveiligingsincidenten aan toezichthoudende autoriteiten. Een accountant kan dan onder andere adviseren bij:
- Het uitvoeren van een risicobeoordeling om de kwetsbaarheden van de informatiebeveiliging van een organisatie te identificeren en aan te pakken;
- Implementatie van technische en organisatorische maatregelen;
- Het opstellen van incident response procedures;
- Gegevensbeveiliging, tussen leveranciers en dienstverleners;
- Het waarborgen van de beschikbaarheid en integriteit van belangrijke systemen vereist adequate beveiliging van de kritieke netwerkinfrastructuren;
- Verantwoordelijke binnen organisatie aanstellen;
- Governance;
- Het testen van de aanwezige maatregelen en procedures om te controleren of deze voldoende bescherming bieden en waar nodig verbeteringen aan te brengen.
- Een procedure om cyber incidenten te rapporteren aan bevoegde autoriteiten.
Een betrokken accountant heeft goed zicht op de bedrijfsprocessen binnen een organisatie en kan daardoor direct advies verschaffen over de implementatie van cybersecurity maatregelen om zo te voldoen aan de NIS2-richtlijn. Daarbij vormt Cybersecurity een belangrijk aspect van de jaarrekeningcontrole die accountants uitvoeren. Gezien de stijgende trend in cyberaanvallen, is het van cruciaal belang dat gevoelige informatie adequaat wordt beschermd tegen cyberdreigingen.  Bij het opsporen van kwetsbaarheden en het treffen van passende maatregelen conform de NIS2-richtlijn, zijn de volgende aandachtspunten van belang:
- Zijn alle systemen up-to-date?
- Zijn de juiste toegangsrechten ingeregeld?
- Maakt de organisatie gebruik van sterke wachtwoorden?
- Worden financiële gegevens beschermd?
- Worden er back-ups gemaakt en getest?
- Zijn medewerkers getraind ter herkenning van cyber risico’s.
- Zijn er andere maatregelen aanwezig in kader van cybersecurity.
De accountant als betrouwbare partner in cybersecurity
In een wereld waarin cyberaanvallen steeds geavanceerder en grootschaliger worden, heeft de Europese Unie de NIS2-richtlijn geïntroduceerd om de cyberbeveiliging van essentiële en belangrijke sectoren te verbeteren. Als klanten van de accountant hier onder vallen, zijn zij verplicht om de juiste maatregelen te nemen om zich te beschermen tegen cyberdreigingen, wat tevens verplicht is om aantoonbaar te kunnen voldoen aan de meldplicht.
De nieuwe richtlijn biedt kansen voor de accountant om zijn dienstverlening uit te breiden met advies en ondersteuning bij het naleven van de NIS2-richtlijn. Het is daarom van groot belang dat accountants zich bewust zijn van de risico’s van cyberaanvallen en hun kennis en inzicht in cybersecurity up-to-date houden. Zo blijft de accountant een betrouwbare partner voor klanten.
Welke stappen neemt Van Oers IT Advies om ervoor te zorgen dat haar klanten voldoen aan de NIS2-richtlijn?
Van Oers IT-Advies biedt begeleiding aan in kader van het voorkomen cyberrisico’s en beveiliging van privacygevoelige data conform de eisen van de NIS2-richtlijn. Ook bieden wij een Cybersecurity Assessment aan waarbij de cybersecurity strategie van een organisatie in kaart wordt gebracht. Hierbij wordt gekeken naar de reeds geïmplementeerde cybersecurity maatregelen en wordt beoordeeld of er adequaat gehandeld wordt ter preventie, detectie en response bij cybersecurity gerelateerde meldingen. Bij eventuele tekortkomingen worden de juiste maatregelen geadviseerd waarbij de juiste stappen in kader van cyberweerbaarheid in een roadmap worden opgenomen. De roadmap biedt de organisatie een gestructureerde aanpak waar zij direct mee aan de slag kan.
Daarnaast vereist de NIS2-richtlijn dat organisaties aantoonbaar moeten nadenken over de continuïteit van hun bedrijfsvoering. Om hierbij te helpen biedt Van Oers IT Advies ondersteuning aan met de implementatie en ontwikkeling van het bedrijfscontinuïteitsplan. Dit omvat het gehele proces, waarbij kwetsbaarheden als risico’s worden geïdentificeerd en de juiste maatregelen worden bepaald voor het mitigeren ervan.
Meer informatie
Wilt u weten wat onze IT & cybersecurity consultants voor u kunnnen betekenen? Of heeft u een andere vraag naar aanleiding van die artikel? Onze specialisten helpen u graag. Neem contact op via onderstaande button of per e-mail: IT-Advies@vanoers.nl
