Voor veel accountants is cybersecurity een ver-van-hun-bedshow. Binnenkort kan dat niet meer. De nieuwe cybersecuritywet (NIS2) dwingt ondernemers om de risico’s van cybercrime in beeld te brengen en af te dekken. Accountants moeten hier vanuit hun zorgplicht hun klanten actief op gaan bevragen. Bij Vermetten Accountants en Adviseurs zijn ze al helemaal klaar voor de NIS2.
Jurgen Kolsteren glimt van trots. In zijn hand houdt hij het magazine met de Top 50 van accountantskantoren in Nederland. ‘Kijk, we staan erbij! En weer gestegen ten opzichte van vorig jaar.’ Vermetten accountants en adviseurs timmert aan de weg. Het fullservice kantoor uit het Brabantse Gilze groeide in een krappe tien jaar uit van lokale dienstverlener met dertig werknemers en één vestiging tot een speler van formaat in de nationale top met 340 werknemers en negen vestigingen van West- tot Oost-Brabant.
Zonder gedoe
Jurgen Kolsteren maakte de hele transitie van dichtbij mee. De van origine Tilburgse relatiebeheerder kwam in 2013 over van een groot accountantskantoor waar hij teamleider was. Bij Vermetten werkte de 47-jarige accountant zich op tot vestigingsmanager en managing partner. “De filosofie van Vermetten stond me aan. Ik kwam uit een grote organisatie met veel regels. Ik wilde juist meer doeltreffend, daadkrachtig en deskundig zijn, zonder gedoe. Dat is precies hoe we hier werken.”
Werken in de Cloud
Vermetten zag door alle overnames het aantal softwarepakketten binnen de organisatie toenemen. ‘Om als kantoor zo efficiënt mogelijk te kunnen blijven samenwerken, hebben we alle primaire software in de Cloud gezet; van een CRM-pakket tot rapportage-tooling. We kregen hierbij ondersteuning van Full Finance en Asista ICT. Tegelijkertijd hebben we onze digitale risico’s geminimaliseerd. Zo kunnen onze medewerkers alleen nog via hun laptop van de zaak werken in een geïsoleerde werkomgeving en via een strikt inlogprotocol. Onder meer mét tweestapsverificatie die na vijf minuten inactiviteit alweer ingeschakeld wordt.’
Zorgplicht
Cybersecurity heeft bij Vermetten voortaan top prioriteit. Waarom eigenlijk? Kolsteren vertelt: ‘Toen het Financiële Dagblad in augustus 2021 berichtte dat een IT-check in de toekomst een voorwaarde kan worden om een bankkrediet te kunnen krijgen, beseften we dat cyberveiligheid honderd procent aandacht verdient. Bovendien blijkt uit cijfers van politie en justitie dat hackers steeds meer geld buit maken. Het is als accountantskantoor onze zorgplicht om ondernemers te laten nadenken over dit bedrijfsrisico. Veel klanten weten echter niet waar te beginnen. Alles begint met de rekensom maken van wat het je bedrijf eigenlijk kost als je één dag stil komt te liggen door hackers. Van dat inzicht word je niet vrolijk. Niet voor niets dwingt de nieuwe cyberwet (NIS2) elke ondernemer om de risico’s van cybercrime te beperken. Een hack vormt een serieuze bedreiging voor het voortbestaan van veel ondernemingen.’
Weerbaarheidsscan
Vermetten dekt niet alleen eigen cyberrisico’s af, maar helpt haar klanten ook bij het in beeld brengen van cyberrisico’s. ‘We bieden elke klant 65 laagdrempelige vragen over cyberveiligheid aan. Deze weerbaarheidsscan voert Dataloq voor ons uit. De druk die onze accountants kunnen voelen om dit onderwerp uitgebreid ter sprake te brengen, hebben we volledig weggenomen. Onze collega’s reageren positief op deze werkwijze, omdat de klant het ook als positief ervaart. Ja, een klant kan nog steeds zeggen: het heeft nu geen topprioriteit, maar dan zeggen wij dat we dit bedrijfsrisico een volgende keer weer zullen bespreken. Gelukkig groeit meer en meer het besef dat actie nodig is. Sommige klanten liggen zelfs wakker van de dreiging van cybercriminelen. Ze zijn oprecht blij dat we hen de vraag stellen of ze hun weerbaarheid al in beeld hebben. Vaak weten ze gewoon niet waar te beginnen op IT-vlak.’
Ethische hacker actief
Nu bij Vermetten elke medewerker volledig is gefaciliteerd om extreem veilig te kunnen werken én getraind is om cyberrisico’s te herkennen, was het volgens Jurgen een mooi moment om een ethische hacker in te schakelen. ‘Eind 2022 is de cyberveiligheid binnen ons accountantskantoor getest tijdens een zogenoemde pen(etratie)-test. Tien dagen lang zijn alle mogelijke pogingen ondernomen om in ons systeem binnen te komen. Dit is niet gelukt. De ethische hackers concludeerden zelfs dat ze Microsoft omver zouden moeten werpen om Vermetten pijn te doen. Een mooi compliment voor ons bedrijf!’
Volg de Cybersecurity Training voor Accountants (4 PE punten)
Lupasafe en Sdu organiseren op 29 maart de interactieve online cursus “Cybersecurity training voor accountants”. Deze cursus is speciaal ontworpen voor accountants en behandelt het basisniveau van cyberbeveiliging.
Tijdens deze opleiding krijg je inzicht in de risico’s van digitale criminaliteit en leer je hoe je geschikte maatregelen kunt treffen. Zo kun je de vragen van je klanten beantwoorden en de eigen praktijk veiliger maken tegen digitale criminaliteit.
Geef een antwoord