Cyberdreigingen zijn allang geen ver-van-je-bed-show meer. Ransomware, datalekken en verstoringen van netwerk- en informatiesystemen raken steeds vaker ook accountantskantoren. Met de komst van de Cyberbeveiligingswet verandert de manier waarop organisaties met risico’s moeten omgaan ingrijpend. Voor veel accountants betekent dit dat cybersecurity straks niet alleen goed geregeld moet zijn, maar dat ook aantoonbaar is hoe risico’s worden herkend, beoordeeld, opgelost of beperkt. In deze blog leggen we uit wat de Cyberbeveiligingswet inhoudt, wat er verandert ten opzichte van de huidige wetgeving en wat dit betekent voor accountants en accountantskantoren. Zodat jij inhoudelijk op de hoogte bent op de Cyberbeveiligingswet.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (Cbw) is een toekomstige nieuwe Nederlandse wet die organisaties verplicht om hun digitale beveiliging structureel op orde te brengen en te houden. De wet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en is bedoeld om de digitale en economische weerbaarheid van Europese bedrijven in kritische sectoren, te versterken.
In een tijd waarin cyberincidenten steeds geavanceerder en frequenter worden, stelt de Cyberbeveiligingswet duidelijke eisen aan hoe organisaties hun netwerken en informatiesystemen beveiligen, en hoe zij omgaan met incidenten. Waar de eerdere NIS-richtlijn en de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vooral gold voor een beperkte groep vitale aanbieders, vallen er aanzienlijk meer bedrijven onder de Cbw. De wet wordt naar verwachting van kracht in 2026 en vervangt dan de bestaande Wbni.
Van Wbni naar Cbw: wat verandert er?
Met de overgang van de Wbni naar de Cbw worden de verplichtingen en verantwoordelijkheden rondom cybersecrurity voor bedrijven aangescherpt en duidelijker gemaakt. Waar risicomanagement onder de oude wet al bestond, wordt dit met de Cyberbeveiligingswet een stuk concreter. Organisaties moeten duidelijk inzicht hebben in hun cyberrisico’s en kunnen laten zien wat zij doen om die risico’s te beperken. Dat vraagt om duidelijke keuzes, vastgelegde afspraken en maatregelen die passen bij de organisatie. Denk aan zowel technische beveiliging als duidelijke processen en verantwoordelijkheden binnen het bedrijf. Ook wordt er meer nadruk gelegd op de beveiliging van de toeleveringsketen. Een kwetsbaarheid bij een leverancier kan immers directe gevolgen hebben voor de eigen organisatie.
Daarnaast wordt de meldplicht aangescherpt. Ernstige cyberincidenten moeten binnen 24 uur worden gemeld bij het Nationaal Cyber Security Centrum (NCSC). Tegelijkertijd krijgen toezichthouders, zoals de Rijksinspectie Digitale Infrastructuur (RDI), meer bevoegdheden om inspecties uit te voeren en in te grijpen. In uitzonderlijke gevallen kan dat toezicht zich zelfs richten op individuele bestuurders, waarmee de bestuurlijke verantwoordelijkheid duidelijker wordt vastgelegd.
Wat houdt de Cyberbeveiligingswet concreet in?
De Cyberbeveiligingswet kent een aantal duidelijke kernverplichtingen. Centraal staat de zorgplicht. Organisaties moeten zelf een risicoanalyse uitvoeren en op basis daarvan passende technische en organisatorische maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Dit is geen eenmalige taak, maar een continu proces waarin ook aandacht nodig is voor interne processen, medewerkers en leveranciers.
Daarnaast geldt er een meldplicht. Cyberincidenten die de dienstverlening kunnen verstoren, moeten zo snel mogelijk én uiterlijk binnen 24 uur worden gemeld bij het NCSC, gevolgd door een rapportage.
Tot slot is er een registratieplicht. Organisaties die onder de wet vallen moeten zich registreren in het entiteitenregister. Op de naleving van deze verplichtingen wordt actief toezicht gehouden door onder andere de Rijksinspectie Digitale Infrastructuur.
Wat verandert er voor accountants?
Voor accountants en accountantskantoren betekent de Cyberbeveiligingswet vooral dat cybersecurity geen vrijblijvende randvoorwaarde meer is. Waar informatiebeveiliging nu vaak leunt op beroepsnormen, richtlijnen en verwachtingen van klanten, introduceert de Cbw wettelijke verplichtingen met toezicht en mogelijke sancties. Accountantskantoren die onder de wet vallen moeten aantoonbaar risico’s in kaart brengen, de risico’s periodiek herevalueren en de genomen maatregelen daarop aanpassen. Ook incidenten die impact hebben op de dienstverlening moeten sneller en formeler worden gemeld dan nu het geval is. Daarnaast wordt het bestuur nu duidelijk verantwoordelijk voor hoe de cyberbeveiliging wordt ingericht, en aangestuurd. Dat is niet per se nieuw, maar met de Cyberbeveiligingswet moeten bestuurders wel laten zien dat zij hier actief mee bezig zijn en beschikken over voldoende kennis om hierover onderbouwde beslissingen te nemen. Cyberbeveiliging wordt daarmee een vast onderdeel van risicomanagement en de dagelijkse bedrijfsvoering.
Valt mijn accountantskantoor onder de Cyberbeveiligingswet?
Of een accountantskantoor onder de Cyberbeveiligingswet valt, hangt af van meerdere factoren. De wet geldt voor organisaties die worden aangemerkt als essentiële of belangrijke entiteit. Daarbij speelt niet alleen de sector een rol, maar ook de positie van het kantoor binnen de keten. Accountantskantoren kunnen namelijk indirect met de wet te maken krijgen wanneer zij als dienstverlener onderdeel zijn van de keten van een Cbw-plichtige organisatie. In dat geval worden ook aan hen eisen gesteld op het gebied van informatiebeveiliging.
Daarnaast wordt er gekeken naar de omvang van het kantoor. Accountantskantoren met 50 of meer medewerkers, of met een jaaromzet en/of balanstotaal van meer dan 10 miljoen euro, kunnen daardoor onder de Cyberbeveiligingswet vallen.
Of een accountantskantoor onder de Cyberbeveiligingswet valt, hangt af van meerdere factoren. De wet geldt voor organisaties die worden aangemerkt als essentiële of belangrijke entiteit.
De overheid heeft een online zelfevaluatietool ontwikkeld waarmee organisaties kunnen nagaan of zij onder de wet vallen. Deze vind je hier: NIS2 Zelfevaluatie NL.
Wat als je niet voldoet aan de Cbw?
Wanneer bij een inspectie blijkt dat een organisatie niet voldoet aan de Cyberbeveiligingswet, bespreekt de RDI de bevindingen en eventuele verbeterpunten. In sommige gevallen wordt een organisatie verplicht een verbeterplan op te stellen. Bij onvoldoende medewerking of bij overtredingen kan de toezichthouder sancties opleggen, zoals een boete of een last onder dwangsom. Voor bestuurders kan dit persoonlijke gevolgen hebben.
Hoe jouw boekhoudpakket jou helpt om te voldoen aan de Cbw
Een goed boekhoudprogramma helpt accountants om grip te houden op de eisen van de Cyberbeveiligingswet. In de praktijk werk je dagelijks met gevoelige financiële- en persoonsgegevens. Dan wil je zeker weten dat de basis goed staat. Moderne boekhoudsoftware is daarom standaard voorzien van beveiligingen zoals gebruikersrechten, logging, twee-factorauthenticatie, versleuteling en automatische updates. Daarmee worden risico’s beperkt en is ook zichtbaar welke beveiligingsmaatregelen zijn getroffen, wat past bij de zorgplicht van de Cbw.
Ook zorgen centrale opslag en vaste werkprocessen voor overzicht en snellere signalering van incidenten. Zo maakt een goed boekhoudprogramma cybersecurity concreet, beheersbaar, controleerbaar, en ondersteunt het accountants hierbij met het voldoen aan de Cyberbeveiligingswet.
Kortom
De Cyberbeveiligingswet vraagt om een duidelijke en gestructureerde manier van werken rond informatiebeveiliging. Voor accountants is dit hét moment om vooruit te kijken, risico’s inzichtelijk te maken en controle beheersmaatregelen structureel te verankeren in hun organisatie. Daarbij maken de juiste systemen het verschil. Zo helpt een professioneel, ISO 27001-gecertificeerd boekhoudpakket om risico’s te beperken, processen overzichtelijk te houden en beveiligingsmaatregelen aantoonbaar vast te leggen. Zo wordt voldoen aan de wet geen losse verplichting, maar een logisch onderdeel van het dagelijkse werk en van een kantoor dat bewust werkt aan continuïteit, kwaliteit en het vertrouwen van klanten.