Maar liefst 84% van accountantskantoren heeft te weinig kennis van cybersecurity, zo blijkt uit recent onderzoek van Sdu en Lupasafe. Uit hetzelfde onderzoek komt naar voren dat 90% van accountants onbekend is met de Europese NIS2-richtlijn, die uiterlijk medio 2024 wordt ingevoerd. Accountants moeten zich hier in verdiepen, omdat er rapportageverplichtingen bij komen kijken.
Voor de auditpraktijk en voor de advisering bij samenstelopdrachten is het van belang dat accountants op de hoogte zijn van de mogelijke gevolgen van de Europese NIS2-richtlijn voor klanten. Op dit moment is het al verplicht om bij controleopdrachten (tool) te rapporteren over cybersecurity conform artikel 2:393 lid 4, Burgerlijk Wetboek (deskundigenonderzoek). Daarnaast vraagt de ISA 315 (COS 315) van de IAASB om goede documentatie over IT. Deze rapportage betreft de continuïteit, betrouwbaarheid en risico’s van geautomatiseerde gegevensverwerking.
Met de inwerkingtreding van de nieuwe Europese richtlijn voor cybersecurity moeten alle ondernemingen die essentiële diensten leveren, voldoen aan de nieuwe cybersecurity-richtlijnen. De bestuursverantwoordelijkheid wordt ook aangescherpt. Bestuurders worden verantwoordelijk voor het toezicht op cybersecurity (toolbox) en niet de IT-managers. Wordt de wet- en regelgeving niet nageleefd, dan kunnen (middel)grote bedrijven boetes opgelegd krijgen. Deze boetes kunnen oplopen tot minimaal € 10 miljoen of 2% van de totale wereldwijde omzet (op ondernemingsniveau). Het toezicht op het naleven van wet- en regelgeving wordt naar verwachting aangescherpt.
Volgens het World Economic Forum Global Risks Report 2020 vormen cyberaanvallen een groot gevaar voor ondernemingen. De grootste risico’s voor ondernemingen op het gebied van cyber zijn:
Het is dus van belang dat accountants hun kennisniveau over cybersecurity bijspijkeren, bijvoorbeeld door scholing, om hun klanten zo goed mogelijk van dienst te kunnen zijn.