27 aug
Al eerder hebben we een blog gewijd aan het opnemen van extra budget voor het inspelen op de NIS2-regelgeving, zie hiervoor https://threadstone.eu/nieuws/blogs/steviger-budgettering-nodig-voor-nis2. Zoals het er nu naar uitziet, gaat die in het tweede kwartaal van 2026 gelden in Nederland.
Minstens zo belangrijk is om kritisch te kijken naar het budget voor informatiebeveiliging en cyberweerbaarheid vanuit het oogpunt van risicomanagement – dus niet alleen vanuit compliance. De digitale dreigingen nemen toe en de schade van een cyberincident kan fors uitpakken. Het is niet ondenkbaar dat een getroffen organisatie stil komt te vallen. Met de verdergaande digitalisering zien we dat er steeds meer controles komen ‘van buitenaf’. Zo moeten bijvoorbeeld accountants zich een beeld kunnen vormen van de continuïteit van de geautomatiseerde processen van een klant. Dit is een vast onderdeel van hun jaarlijkse controle. Zij kijken daarbij onder andere naar het bestaande IT-beleid, met procedures, (crisis)plannen en rapportages.
Cyberrisico’s (en vooral hoe je die als ondernemer beheerst) krijgen hierbij steeds meer aandacht. Niet verwonderlijk, want de geautomatiseerde processen van een organisatie worden direct geraakt als zich een incident op dat vlak voordoet. Bij een digitale aanval of inbraak kunnen systemen uitvallen, en data kan worden ontvreemd of gemanipuleerd - met grote operationele en financiële gevolgen.
Het is de verwachting dat vooral grotere MKB-bedrijven meer vragen zullen gaan krijgen van hun accountant op dit vlak. Het beoordelen van cyberrisico’s en -maatregelen door accountants is namelijk opgenomen in richtlijnen van deze beroepsgroep, en er wordt vanuit de overheid en de NBA steeds strakker op gestuurd.
Houd hier nu al rekening mee, zodat je als ondernemer niet voor verrassingen komt te staan bij de jaarlijkse accountantscontrole. Drie concrete tips:
- Breng de basis op orde: documenteer het IT-beleid, stel een continuïteitsplan op, leg backup- en herstelprocedures vast en laat pentests uitvoeren.
- Maak een inventarisatie van de mogelijke risico’s en bepaal welke risico’s moeten worden afgedekt, in welke mate.
- Stel een crisisplan – een cyber response plan – op voor het geval zich een cyberincident voordoet. Doe dit bijvoorbeeld aan de hand van een aantal scenario’s. Doe minstens een keer per jaar een noodoefening.
Ons advies: neem deze activiteiten mee in de budgettering voor 2026. Dit kan ook dienen als een extra stok achter de deur om hier daadwerkelijk mee aan de slag te gaan. Niet om de accountant tevreden te stellen, maar om ervoor te zorgen dat jouw bedrijf optimaal beschermd is tegen digitale dreigingen én niet onnodig schade lijdt als het toch slachtoffer wordt van cybercriminaliteit.