Maar wat opvalt: kantoren bewegen niet alleen vanwege wetgeving. Ze worden gedwongen door de praktijk.
Administratiekantoren verwerken grote hoeveelheden gevoelige data, van financiële gegevens tot persoonsgegevens. Dat maakt hen tot een aantrekkelijk doelwit: het aantal cyberaanvallen op accountantskantoren is sinds de covid-19-pandemie met 300% gestegen, volgens Accounting Today, en inmiddels heeft één op de vijf kantoren al een incident meegemaakt. Tegelijkertijd verwachten klanten steeds vaker dat hun data aantoonbaar veilig zijn. Vertrouwen is immers de kern van de dienstverlening.
Veel kantoren leunen nog sterk op hun IT-leverancier voor beveiliging. Een gevaarlijke misvatting. De IT-partij levert de techniek, maar de verantwoordelijkheid blijft bij het bestuur van het kantoor. Informatiebeveiliging is geen ‘vinkje’ bij de systeembeheerder; het is een integraal onderdeel van je risicomanagement en je contractbeheer. Als de techniek faalt, kijkt de toezichthouder (en de klant) naar de gemaakte afspraken op papier.
De realiteit is dat de grootste risico’s vaak niet technisch zijn
Denk aan medewerkers die phishingmails niet herkennen, processen die niet zijn vastgelegd, of fysieke toegang tot gevoelige informatie die onvoldoende is afgeschermd. Juist daar ontstaan de kwetsbaarheden die aanvallers benutten.
De NIS2-richtlijn verandert de spelregels die veel kantoren verrassen. De middelgrote ondernemer die wel rechtstreeks onder de wet valt, heeft een wettelijke zorgplicht voor de eigen toeleveranciers. Administratie- en accountantskantoren zijn hier een cruciaal onderdeel van. Het administratie- of accountantskantoor dat toegang heeft tot de boekhouding, de salarisadministratie of de jaarrekening van zo’n klant, wordt daarmee onderdeel van diens verantwoordingsplicht. Voldoe je daar niet aan, dan loop je onder andere het risico klanten te verliezen aan kantoren die dat wel kunnen aantonen.
Dat vraagt om een integrale aanpak van risico’s: aandacht voor vier samenhangende domeinen: organisatie, mens, fysiek en techniek.
Voor veel administratiekantoren is dat een omslag. Niet omdat ze niets doen, maar omdat het vaak versnipperd en impliciet is ingericht.
Steeds meer kantoren die ik mag helpen kiezen daarom voor een gestructureerde aanpak. Ze beginnen met een cyberscan om inzicht te krijgen in hun huidige volwassenheid. Waar staan we nu? Waar zitten de grootste risico’s? En wat is eigenlijk ons ambitieniveau?
Van daaruit richt ik het werkprogramma in dat past bij de organisatie. Geen standaard checklist, maar een gerichte aanpak die rekening houdt met omvang, risicoprofiel en bedrijfsdoelstellingen. In plaats van “iets doen aan beveiliging”, werken kantoren dan stap voor stap toe naar aantoonbare beheersing — en dat verschil is zichtbaar, intern en richting klanten. Niet alleen om te voldoen aan de indirecte eisen van NIS2, maar vooral om hun dienstverlening betrouwbaarder en toekomstbestendig te maken. De kantoren die dit serieus oppakken, zien dat informatiebeveiliging geen kostenpost is, maar een investering in continuïteit en vertrouwen.
En precies daarom groeit de beweging richting NIS2 zo snel.
Wil je weten waar jouw kantoor staat? De cyberscan van Invisolve brengt je in kaart wat de huidige staat van informatiebeveiliging is: op alle vier de domeinen. Van daaruit bouwen we samen aan een aanpak die past bij jouw organisatie. Wil je hier meer over weten? Neem contact met ons op via info@fiscount.nl of via 038 456 1900.
Geef een reactie