Ronald Bruins

Niet dat accountants ineens cybersecurity-experts moeten worden. Nee. Maar digitale weerbaarheid wordt een steeds nadrukkelijker onderdeel van de interne beheersing, de continuïteit van de bedrijfsvoering en de naleving van wet- en regelgeving. NIS2 zet naar verwachting van experts een beweging in gang die veel verder reikt dan de organisaties die formeel onder de richtlijn vallen.

NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn (Network and Information Security directive), die in Nederland werd geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen (Wbni). De eerdere regeling gold voor een beperkt aantal vitale organisaties. NIS2 vergroot die scope aanzienlijk. Waar eerst vooral klassieke kritieke infrastructuur werd geraakt (energie, telecom en banken), vallen nu ook sectoren als de maakindustrie, chemie, levensmiddelen, digitale dienstverleners, post- en koeriersdiensten en delen van de zorg onder de richtlijn.

NIS2 is geen checklist

Belangrijker nog dan de uitbreiding van de scope, is de manier waarop NIS2 is vormgegeven. De richtlijn schrijft niet voor welke technische maatregelen organisaties exact moeten nemen. Er is geen checklist en geen vast normenkader. De kern is dat organisaties zélf een risicoanalyse maken: wat zijn de relevante cyberrisico's; niet alleen voor de eigen organisatie, maar ook voor maatschappij en economie? En welke maatregelen zijn, gegeven dat risicoprofiel, passend en proportioneel?

Bram van Tiel

"Dat is een bewuste keuze van de wetgever", zegt Bram van Tiel, partner Cybersecurity, Resilience & Privacy bij PwC. : NIS2 zegt bijvoorbeeld niet 'gij zult multifactorauthenticatie toepassen'. Het gaat erom dat je passende en effectieve maatregelen neemt, gezien het risicoprofiel van je organisatie. Wat passend is, verschilt per bedrijf." Die open formulering maakt NIS2 fundamenteel anders dan andere wetgeving. Dat maakt de rol van bestuurders én accountants complexer.

'De richtlijn schrijft niet voor welke technische maatregelen organisaties exact moeten nemen.'

Bestuurlijke verantwoordelijkheid

Wat volgens betrokkenen echt een verschil maakt ten opzichte van het verleden, is de expliciete nadruk op bestuurlijke verantwoordelijkheid. In NIS2 draait het niet alleen om verplichtingen voor de organisatie, maar ook om de rol en aansprakelijkheid van bestuurders. Zij moeten aantoonbaar betrokken zijn bij cyberrisicomanagement, voldoende kennis hebben en zorgen voor structurele aandacht voor digitale weerbaarheid. "Waar bestuurders vroeger konden zeggen: we hebben een IT‑leverancier, die regelt het wel, is dat nu echt voorbij"”, zegt Niek Visser, accountant bij kantoor Stolwijk Kelderman. "Je kunt werkzaamheden uitbesteden, maar de verantwoordelijkheid dus niet."

Niek Visser

Dat raakt een gevoelige snaar. Veel bestuurders vertrouwden lange tijd op hun IT‑dienstverlener. Cybersecurity was iets wat je kon delegeren. Bestuurders worden nu expliciet aangesproken op hun rol. "Dat zie je echt gebeuren in de praktijk", zegt Chris van der Naald, manager audit bij Stolwijk Kelderman. "Sinds duidelijk is dat bestuurders persoonlijk verantwoordelijk gehouden kunnen worden, komt er ineens beweging. Budgetten komen los en het gesprek wordt serieuzer."

'Cybersecurity is geen IT-issue meer. Het is een governancevraagstuk.'

Volgens Van Tiel is dat een logische ontwikkeling. "Cybersecurity is geen IT-issue meer. Het is een governancevraagstuk. Net als finance of compliance. En dan hoort het thuis op de bestuurstafel." Tegelijk schuilt daar ook een risico. De dreiging van boetes en aansprakelijkheid kan organisaties verleiden tot een eenzijdige focus op 'compliance': voldoen aan de letter van de wet, zonder dat de feitelijke weerbaarheid wezenlijk verbetert. "Compliance is niet hetzelfde als security", waarschuwt Van Tiel. "Goede security leidt tot compliance. Maar goede compliance leidt niet automatisch tot goede security.”

Basale vraag 

Formeel hoeven accountants geen NIS2‑audit uit te voeren als onderdeel van de jaarrekeningcontrole. Maar ze kunnen er ook niet omheen. Vanuit NOCLAR (Non-Compliance with Laws and Regulations) moeten zij vaststellen of een cliënt relevante wet- en regelgeving naleeft. "Het begint bij een hele basale vraag", zegt Thijs van Beijsterveld, senior director Digital trust bij PwC. "Val je als organisatie überhaupt onder NIS2? Dat moet een organisatie zelf analyseren en vaststellen. Als accountant moet je die afweging wel begrijpen en bevragen."

Thijs van Beijsterveld

Daar stopt het niet. Als uit gesprekken en documentatie blijkt dat een organisatie geen risicoanalyse heeft gedaan, geen incidentmanagementproces kent of niet in staat is om aan meldplichten te voldoen, ontstaat een grijs gebied. "Dan moet je als accountant je professionele oordeel vellen", legt Van Beijsterveld uit. "Wat betekent dit voor de jaarrekening? Vergroot dit de kans op boetes, reputatieschade of omzetverlies? En in extreme gevallen: raakt dit de continuïteit?" Die afweging vraagt niet alleen kennis van wet- en regelgeving, maar ook begrip van cyberrisico's. Zeker bij organisaties die sterk digitaal afhankelijk zijn, zoals online platforms of data‑intensieve bedrijven, kan een incident snel materieel worden. "Bij de ene organisatie is de impact enorm", zegt Van Beijsterveld. "Bij een ander bedrijf is de impact beperkt. Dat maakt generieke antwoorden onmogelijk."

Third party risk management

Bij grote organisaties, en zeker bij beursfondsen, is NIS2 inmiddels goed bekend. Veel van deze bedrijven waren al bezig met cybersecurity, los van NIS2, simpelweg omdat ze zich geen grote incidenten kunnen permitteren. "Voor hen is NIS2 zelden een radicale koerswijziging", zegt Van Tiel. "Het is eerder een formalisering en aanscherping van wat ze al deden." Dat betekent niet dat grote organisaties 'klaar' zijn. Onder andere op het gebied van ketenverantwoordelijkheid is de praktijk weerbarstig. NIS2 verplicht organisaties om grip te hebben op cyberrisico’s in hun supply chain. "Third party risk management is bij vrijwel alle organisaties een zwak punt", zegt Van Tiel. "Organisaties hebben soms wel duizend leveranciers. Het overzicht over hoe zij ervoor staan wat betreft cybersecurity, ontbreekt. Laat staan structurele monitoring."

Volgens Van Beijsterveld werkt dat direct door naar de accountant. "Je moet je afvragen in hoeverre die ketenrisico's beheerst zijn. Zeker als je ziet hoe afhankelijk organisaties zijn van hun digitale leveranciers." Voor mkb‑bedrijven ligt het beeld anders. De meeste mkb'ers vallen niet rechtstreeks onder NIS2. Toch krijgen zij er steeds vaker mee te maken. Niet via wetgeving, maar via klanten en opdrachtgevers die wel onder NIS2 vallen en hun verplichtingen verder leggen naar de keten. "Waar een simpele bevestiging vroeger voldoende was, worden mkb'ers nu steeds vaker gevraagd om aantoonbaarheid", zegt Visser. "Denk aan assurance‑rapporten, certificeringen of periodieke assessments. Dat is voor veel ondernemers nieuw terrein."

Chris van der Naald

Datadiefstal

"In sectoren als zorg en bij R&D zie je meer urgentie", zegt Van der Naald. "Maar bij veel andere mkb‑bedrijven overheerst nog het idee: ons is nog nooit een cyberaanval overkomen, dus waarom zouden we investeren?" Juist daar schuilt het risico.
Visser: "Cyberaanvallen richten zich steeds minder op het platleggen van systemen en steeds meer op datadiefstal. Ook kleinere organisaties zijn interessant, zeker als schakel in een grotere keten."

'Als de IT‑beheersing verbetert, kunnen wij als accountant ook efficiënter controleren en beter steunen op systemen die getoetst zijn.'

Wat NIS2 vooral voor accountants expliciet maakt: cyberrisico's horen thuis in het stelsel van interne beheersing. Zeker nu organisaties digitaler zijn dan ooit. Rechtenstructuren, functiescheiding, monitoring en incidentrespons beïnvloeden direct de betrouwbaarheid van systemen. "Bij veel mkb‑organisaties zijn die basismaatregelen nog niet op orde", zegt Visser. "Mensen hebben te ruime rechten, functiescheiding ontbreekt. Dat is een cyberrisico, maar ook een controlerisico." Daar zit een wederzijds belang. Visser: "Als de IT‑beheersing verbetert, kunnen wij als accountant ook efficiënter controleren en beter steunen op systemen die getoetst zijn."

Levend onderwerp

De rode draad die de experts naar voren brengen: NIS2 is geen eindpunt. Digitale weerbaarheid is geen statisch doel, maar een continu proces. "Cybersecurity is geen project dat je afrondt", zegt Van der Naald. "Het moet een levend onderwerp worden in de organisatie. Plan, do, check, act." Voor accountants betekent dit alert blijven op schijnzekerheid. Een certificaat of beleidsdocument over cybersecurity zegt weinig als uitvoering en monitoring ontbreken. "Je moet als accountant weten wanneer specialistische IT‑kennis nodig is", concludeert Van Beijsterveld. "En die specialistische kennis en ervaring inschakelen wanneer het nodig is.”"

Uitstel cyberbeveiligingswet 

NIS2 draagt volgens de experts onmiskenbaar bij aan bewustwording over cybersecurity. Bestuurders praten vaker over cyberrisico's. Tegelijk werkt het uitstel van de Cyberbeveiligingswet verlammend. Demissionair minister David van Weel (destijds nog van Justitie en Veiligheid, inmiddels Buitenlands zaken) vertelde in juni 2025 dat hij hoopte dat de Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking kon treden.

Nederland miste, net als heel veel andere EU-landen, de deadline voor de implementatie van de NIS2-richtlijn. De richtlijn zelf is op 17 oktober 2024 formeel in werking getreden. Maar de omzetting naar nationale wetgeving (de Cyberbeveiligingswet) is in Nederland dus vertraagd. "Je merkt dat, vanwege die vertraging, sommige organisaties denken: we zien wel wanneer het echt ingaat", zegt Van Beijsterveld. "Maar de richtlijn is er al jarenlang. Het is geen verrassing en geen reden om straks niet klaar te zijn wanneer het zover is."

Kritische gesprekspartner

Accountants hoeven zich niet als handhaver op te stellen, zegt Van Beijsterveld. "Zorg dat je een kritische gesprekspartner bent. Door de juiste vragen te stellen en cyberrisico's te betrekken bij de beoordeling van de interne beheersing en de bedrijfscontinuïteit."
Van Tiel sluit daarop aan: "NIS2 maakt vooral zichtbaar wat eigenlijk al zo is. Digitale weerbaarheid is hiermee een integraal onderdeel van goed bestuur. En via die weg rolt het dus ook het accountantsvak in."