Verplicht aandacht voor cyberrisico’s
Waar de Algemene Verordening Gegevensbescherming (AVG) zich richt op de bescherming van persoonsgegevens, leggen DORA en NIS2 de nadruk op zowel de continuïteit van IT-afhankelijke processen als op de beveiliging van (gevoelige) data. De wetgevers willen dat organisaties cyberrisico’s net zo serieus nemen als bijvoorbeeld financiële of juridische risico’s. Voor accountantskantoren betekent dit dat zowel de beveiliging en effectiviteit van de eigen IT-processen onder de loep genomen moeten worden, alsook die van klanten. Dit heeft impact op de dagelijkse werkzaamheden, waarin accountants niet alleen financiële cijfers controleren van klanten, maar ook steeds vaker rapporteren over de naleving van dergelijke wetten.
Wat houden DORA en NIS2 in?
De Digital Operational Resilience Act (DORA) is een Europese verordening die sinds 17 januari 2025 van kracht is in alle EU-lidstaten. De wet is gericht op financiële instellingen zoals banken, verzekeraars, beleggingsondernemingen, betaalinstellingen en IT-leveranciers die essentiële diensten aan deze sectoren leveren. Accountantsorganisaties vallen formeel niet onder de reikwijdte van DORA, maar kunnen er wel indirect mee te maken krijgen via klanten of samenwerkingspartners in de financiële sector. De Network and Information Security-richtlijn 2 (NIS2) is de vernieuwde Europese richtlijn voor netwerk- en informatiesystemen. Deze had oorspronkelijk uiterlijk oktober 2024 moeten zijn omgezet naar nationale wetgeving, maar in Nederland is de implementatie inmiddels uitgesteld tot naar verwachting medio het derde kwartaal van 2025. NIS2 is breder van opzet dan DORA en richt zich op organisaties in vitale sectoren, zoals energie, zorg, transport en digitale dienstverlening. Klanten eisen in toenemende mate garanties over de veilige omgang met gevoelige (financiële) data, waardoor de beveiliging en het beheer van klantinformatie een structureel aandachtspunt worden. Beide wetten stellen eisen op het gebied van risicomanagement, beveiligingsmaatregelen, governance, incidentrespons en vooral de betrokkenheid van het bestuur. Net als bij de AVG zijn de bestuurders eindverantwoordelijk.
Wat is het verschil tussen DORA en NIS2?
DORA en NIS2 lijken op elkaar qua doelstelling, maar verschillen in reikwijdte, toepassing en diepgang. Waar NIS2 een breed kader biedt voor de digitale weerbaarheid van vitale sectoren, vormt DORA daarvan een specifieke, meer gedetailleerde invulling voor de financiële sector. DORA legt de nadruk op het structureel beheersen van ICT-risico’s, het versterken van de operationele veerkracht en het organiseren van gestructureerde tests en incidentrespons. Ook het toezicht op en de beheersing van uitbestede IT-diensten is een kernelement. NIS2 eist op zijn beurt vooral basismaatregelen zoals multi-factor authenticatie, logging, governance en bewustwording. Sommige organisaties – met name in of rondom de financiële sector – zullen aan beide regelgevingen moeten voldoen.
Wat betekent dit voor accountantskantoren?
DORA en NIS2 zijn niet alleen relevant voor banken of zorginstellingen. Ook accountantskantoren krijgen ermee te maken, hoewel zij op dit moment mogelijk niet direct in de scope van beide wetten vallen. Aangezien accountantskantoren gevoelige (financiële) klantgegevens verwerken en bewaren, zullen klanten in toenemende mate verwachten dat informatiebeveiliging op orde is. Het is daarom verstandig bestaande IT-beveiliging kritisch te evalueren en waar nodig aan te scherpen, zoals het formaliseren van procedures, het trainen van medewerkers en het vastleggen van meldprotocollen. Daarnaast biedt het een kans om de (natuurlijke) adviesrol verder uit te bouwen door met klanten in gesprek te gaan over interne beheersing rondom belangrijke maatregelen. Denk daarbij aan risicobeoordelingen, interne controles of het voorbereiden van audits.
Wat wordt er concreet verwacht?
Organisaties die onder NIS2 en/of DORA vallen – of daarmee in aanraking komen via klanten of ketenverantwoordelijkheid – moeten hun digitale weerbaarheid aantoonbaar op orde brengen. Daarbij wordt verwacht dat zij draagvlak en bewustzijn creëren op bestuursniveau, periodiek risicoanalyses uitvoeren, een implementatietraject opzetten voor noodzakelijke maatregelen zoals toegangsbeheer en logging, en de effectiviteit van maatregelen regelmatig controleren en bijsturen, bijvoorbeeld via de Plan-Do-Check-Act-cyclus. Het effectief implementeren van de juiste maatregelen is over het algemeen een intensief traject, waarbij het verstandig is een gespecialiseerd kantoor in te schakelen dat hierin kan
begeleiden.
Tijd om in actie te komen
Hoewel DORA inmiddels van kracht is en de implementatie van de NIS2-wet in Nederland aanstaande is, hebben veel organisaties nog stappen te zetten. De voorbereiding kost tijd: risico’s moeten worden geïnventariseerd, procedures opgesteld en ontbrekende noodzakelijke maatregelen moeten worden geïmplementeerd. Ook softwareleveranciers spelen hierin een belangrijke rol.
Grip krijgen op relevante leveranciers wordt dus steeds belangrijker. Voor accountantskantoren is dit het moment om zelf het goede voorbeeld te geven en het onderwerp bespreekbaar te maken bij klanten. Ondernemers zijn zich vaak niet bewust van de impact van deze regelgeving, of weten niet dat ze er (in)direct onder vallen. Door nu het gesprek aan te gaan, wordt haastwerk voorkomen als de wet daadwerkelijk van kracht wordt, en bied je extra meerwaarde in de klantrelatie.
Steven Verkaart RE (partner IT audit & advies) en Wesley Visser RE (senior manager IT audit & advies) zijn beiden werkzaam bij Hoek en Blok.IT, de IT-dienstverlener van Hoek en Blok.
Deze bijdrage komt uit Accountancy Vanmorgen met als thema ICT en kengetallen. Dit magazine is verschenen in juli 2025. Zie: https://www.accountancyvanmorgen.nl/kennisdoc/av-2-2025-ict-en-kengetallen/
Geef een reactie