Accountantsrisico door achterstand in NIS2-cybersecurity
Een groot aantal Nederlandse ondernemingen dreigt klanten te verliezen omdat ze niet voldoen aan de laatste Europese vereisten voor cybersecurity. Dat stelt organisatie-adviseur Boer & Croon vandaag op het ANP.
- NIS2-compliance cruciaal voor behoud marktaandeel.
- Nederlandse bedrijven moeten cyberrisico’s serieus nemen.
- Samenwerking met managementadviesbureau sterk aanbevolen voor succesvolle implementatie.
In oktober treedt de strenge Europese richtlijn voor cybersecurity in werking: Network and Information Security 2 (NIS2). Deze richtlijn richt zich op risico’s die netwerken en informatiesystemen bedreigen en mogelijk leiden tot een ontwrichting van de economie en samenleving.
Ketenverantwoordelijkheid en NIS2-compliance
Net als bij CSRD, het Europese stelsel voor duurzaamheidsrapportage, geldt bij NIS2 ketenverantwoordelijkheid. Dit betekent dat als een onderneming valt onder de NIS2-richtlijn, dit ook geldt voor haar toeleveranciers. Want als zij slachtoffer worden van een cyberaanval en hun producten of diensten niet tijdig kunnen leveren, komt ook de bedrijfscontinuïteit van hun klanten hoger in de keten in gevaar. [Artikel gaat verder na de volgende alinea]
De betreffende ondernemingen hebben ruim de tijd gehad om zich voor te bereiden op NIS2. Het is moeilijk uit te leggen waarom juist Nederland, dat zo afhankelijk is van de export, hier steken heeft laten vallen. Extra zorgwekkend is dat Duitsland en België, twee van de grootste buitenlandse afzetmarkten voor Nederlandse ondernemingen, wel serieus werk hebben gemaakt van de NIS2-verplichtingen en dit ook verwachten van hun ketenpartners.
Cyberrisico’s mitigeren
Het is essentieel dat Nederlandse bedrijven snel actie ondernemen om aan de NIS2-vereisten te voldoen. In samenwerking met gespecialiseerde managementadviesbureaus kunnen zij de nodige stappen zetten om zowel de cyberrisico’s te beperken als hun concurrentiepositie duurzaam te versterken.
Organisaties zijn in toenemende mate doelwit van cybercriminaliteit. Het Nationaal Cyber Security Centrum (NCSC) concludeert al jaren dat de digitale weerbaarheid van organisaties achterblijft bij de alsmaar groeiende dreigingen en dat de risico’s daardoor toenemen. Niet langer is cybersecurity daarom een onderwerp dat alleen bij de afdeling IT op de agenda staat. Verbeter de digitale weerbaarheid van jouw organisatie.
Overheid informeert niet
De overheid informeert niet automatisch of een bedrijf onder de NIS2-richtlijnen valt: risk managers moeten dit zelf beoordelen. Experts wijzen er op dat –gezien de uitgebreide reikwijdte– de kans groot is dat bedrijven, ketenpartners en klanten onder de richtlijn vallen. Organisaties van aanzienlijke omvang vallen onder de scope. wat tot gevolg heeft dat de klanten en partners ook onder de richtlijn vallen,
ICT en NIS2
Veel accountants bieden bovendien ICT-diensten aan klanten, waardoor ze ook onder de scope vallen. Het is verstandig om als accountant aan de NIS2-richtlijnen te houden om de gegevens van je klanten te beschermen. Er staan behoorlijke sancties op het overschrijden van de richtlijnen, variërend van boetes tot 10 miljoen euro of 2 procent van de omzet. Het gebruik van cloudleveranciers die bekend zijn met NIS2 en hoge beveiligingsnormen hanteren, kan helpen om aan de richtlijnen te voldoen.
Gevolgen voor accountants
Een van de belangrijkste aspecten van de NIS2-richtlijn is dat organisaties die eronder vallen, verplicht zijn om een beveiligingsbeleid te implementeren en te onderhouden. Dit beleid moet gericht zijn op het voorkomen en beperken van incidenten die de beschikbaarheid, integriteit, vertrouwelijkheid en authenticiteit van netwerk- en informatiesystemen kunnen aantasten. Als accountant ben je verantwoordelijk voor een goed beleid. Het is dus essentieel dat accountants kunnen garanderen dat het beveiligingsbeleid correct wordt nageleefd.
Via recente en verwachte wetgeving (NIS2, CRA) komt Cyber Risk Governance de bestuurskamer binnen. Ook de geactualiseerde corporate governance code ziet cyberriskmanagement als een bestuurlijke verantwoordelijkheid. Hiermee is een holistisch, bedrijfskundig begrip van cyber essentieel. Deze cursus gaat in op de bestuurlijke aspecten van cyberrisicobeheer.