Cyberbeveiligingswet definitief: dit moet je accountantskantoor vóór 15 augustus geregeld hebben

Op 7 juli 2026 stemde de Eerste Kamer definitief in met de Cyberbeveiligingswet — zonder overgangstermijn, inwerkingtreding op 15 augustus 2026. Ruim 8.000 organisaties in Nederland krijgen dan te maken met nieuwe verplichtingen op het gebied van cyberbeveiliging. Er is een kans dat jouw kantoor daarbij hoort.

Wat er inhoudelijk verandert: van beleid naar bewijs

Onder de Cyberbeveiligingswet (Cbw) krijgt jouw kantoor te maken met een aantal verplichtingen die verder gaan dan onder de oude Wbni:

•        Zorgplicht: je moet maatregelen nemen om risico’s voor je netwerk- en informatiesystemen te beheersen, en incidenten te voorkomen of beperken.

•        Meldplicht: significante incidenten moet je binnen de wettelijke termijnen melden bij je CSIRT en de bevoegde autoriteit.

•        Bestuurlijke verantwoordelijkheid: het bestuur is eindverantwoordelijk voor cyberrisicobeheersing en moet aantoonbaar over voldoende kennis beschikken, onder meer via een passende training.

Het verschil met de oude situatie zit vooral in de aantoonbaarheid. Een beleid hebben is niet meer genoeg. Je moet kunnen laten zien dat de genomen maatregelen ook daadwerkelijk werken, en dat geldt evengoed voor de beveiliging van je toeleveringsketen. Een kwetsbaarheid bij een softwareleverancier of onderaannemer raakt dus direct jouw eigen verantwoording.

‘Val ik eigenlijk wel onder de Cbw?’

Voordat je in actie komt, is het goed om stil te staan bij de vraag of jouw kantoor daadwerkelijk onder de Cyberbeveiligingswet valt. De wet implementeert de Europese NIS2-richtlijn en vervangt de Wet beveiliging netwerk- en informatiesystemen. Ze richt zich op organisaties die als essentiële of belangrijke entiteit worden aangemerkt, verspreid over achttien sectoren. Het is je eigen verantwoordelijkheid om te bepalen of je eronder valt.

Twijfel je? Gebruik dan de officiële zelfevaluatietool van de overheid via zelfevaluatie.digiweerbaarheid.nl om dit na te gaan.

Maar ook als je kantoor niet direct onder de wet valt, is achteroverleunen niet verstandig. De ketenverplichtingen die in de Cbw zijn vastgelegd, werken door naar leveranciers en samenwerkingspartners die zelf geen essentiële of belangrijke entiteit zijn. Werk je voor klanten die wél onder de wet vallen, dan kun je alsnog vragen krijgen over hoe jouw kantoor met cybersecurity omgaat.

Registratie bij het NCSC: de eerste stap die nu al kan

Voor kantoren die onder de wet vallen, is registratie bij het Nationaal Cyber Security Centrum een van de eerste verplichte handelingen. Die registratie verloopt via mijn.ncsc.nl en is niet iets wat je er in vijf minuten tussendoor doet. De registratie vraagt namelijk zowel organisatiegegevens als netwerkgegevens uit. En die informatie ligt waarschijnlijk niet bij één persoon in het kantoor. Denk aan de bestuurder die verantwoordelijk is voor de algehele koers, een IT-beveiligingsadviseur die de technische kant kent, of een netwerkbeheerder die precies weet hoe de systemen zijn ingericht.

Het goede nieuws: zodra je die gegevens hebt verzameld, gaat de daadwerkelijke registratie relatief snel. Reken op ongeveer tien minuten. Maar begin nu, terwijl er nog rust is. Duizenden andere organisaties staan voor exact dezelfde deadline en een systeem dat in de laatste week alles moet verwerken wat verspreid over weken had gekund, is kwetsbaarder voor vertraging.

Begin nu, wacht niet tot augustus

Het NCSC is hier opvallend direct over: wacht niet af, ga nu aan de slag. Begin al met je risicoanalyse en breng in kaart welke maatregelen je accountantskantoor al heeft getroffen om cyberrisico’s te beheersen. Doe dat meteen naast de voorbereiding van je registratie, zodat je op 15 augustus ook niet meer hoeft uit te zoeken wie welke gegevens moet aanleveren.

Wie deze twee taken nu al oppakt, hoeft in augustus alleen nog de puntjes op de i te zetten, in plaats van vanaf nul te beginnen onder tijdsdruk.

Grip houden op al deze losse eisen, van zorgplicht tot het overzichtelijk documenteren van genomen maatregelen, gaat een stuk makkelijker met een boekhoudprogramma dat je administratie en processen herleidbaar en overzichtelijk houdt. Zo bouw je niet alleen aan compliance, maar ook aan een kantoor dat aantoonbaar in controle is.

Benieuwd hoe Bjorn Lunden jouw kantoor kan ondersteunen bij het overzichtelijk houden van je administratie en processen? Bekijk wat wij voor accountants- en administratiekantoren doen.  

 

Bron: Bjorn Lunden - partner AccountancyWorld

Laatste nieuws