Valt mijn accountantskantoor onder de NIS2 / Cyberbeveiligingswet 2026?

Dat hangt af van twee factoren: jouw kantoorgrootte en de sectoren van jouw klanten. Micro- en kleinbedrijven vallen doorgaans niet direct onder NIS2. Maar via ketenverantwoordelijkheid gelden de eisen wél als jij werkt voor klanten die essentiële of belangrijke entiteiten zijn — wat bij veel accountantskantoren het geval is. Bovendien stellen klanten steeds vaker de NIS2-vraag ongeacht wettelijke verplichting.

Wat is het verschil tussen NIS2 en ISO 27001 voor accountantskantoren?

ISO 27001 is een internationale norm voor informatiebeveiliging die je vrijwillig kunt certificeren. NIS2 (straks de Cyberbeveiligingswet) is Europese wetgeving met wettelijke verplichtingen. Een goed ingericht ISO 27001-systeem dekt een groot deel van wat NIS2 vereist. De twee vullen elkaar aan.

Hoe lang duurt het om audit-ready te worden voor NIS2 of ISO 27001?

Technisch kun je binnen 2-4 weken van start met phishingsimulaties en security awareness training. Volledige auditvoorbereiding inclusief documentatie en gap-analyses duurt doorgaans 3-6 maanden.

We hebben al een IT-leverancier. Vervangen jullie die?

Nee. We werken naast je IT-leverancier. De meeste IT-leveranciers richten zich op technische infrastructuur — security awareness training en phishingsimulaties zijn niet hun kernexpertise. De opzet vraagt circa 2 uur van hun tijd voor Microsoft 365-integratie.

Hoe overtuig ik mijn medewerkers om mee te werken aan phishingtests?

De sleutel is framing: dit is geen test om mensen te betrappen, maar een oefening om het kantoor én de medewerkers zelf te beschermen. Na drie simulaties zien kantoren gemiddeld 60% minder klikken op phishingmails.

Kan ik NIS2-compliance ook als dienst aanbieden aan mijn MKB-klanten?

Ja, en steeds meer accountantskantoren doen dit. Lupasafe levert een white-label oplossing die jij onder jouw eigen merknaam kunt aanbieden. We adviseren altijd eerst je eigen kantoor te beveiligen.

Wat kost het en wat is de minimale verplichting?

€7,99 per gebruiker per maand bij een minimale looptijd van 2 jaar. We bieden altijd een 30-dagen evaluatieperiode zodat je het platform leert kennen en echte resultaten ziet — pas daarna commit je.

Security awareness training voor accountants: hoe lever je NIS2-bewijs aan klanten en auditors

Han

26 februari 2026

In 3 minuten: waar dit artikel over gaat

Klanten en auditors vragen steeds vaker om aantoonbaar bewijs van cyberveiligheid — beleid op papier is niet meer genoeg.
De Cyberbeveiligingswet 2026 (NIS2) vergroot de druk op accountantskantoren, ook via ketenverantwoordelijkheid.
Security awareness training en phishingsimulaties zijn de concrete tools om dat bewijs te leveren.
Veel kantoren bieden dit ook als dienst aan hun MKB-klanten aan — als logische uitbreiding van advieswerk.

Het probleem is niet technisch — het is vertrouwen

Eén fundamentele vraag houdt partners van accountants- en auditkantoren wakker in 2026: “Hoe bewijzen we aan onze klanten — en onze auditors — dat we daadwerkelijk veilig zijn?”

Jouw klanten vragen niet naar je firewallconfiguratie. Ze vragen: “Kunnen we jou vertrouwen met onze financiële data?” Je auditors zijn niet tevreden met beleidsdocumenten op papier. Ze willen bewijs. Echte data. Aantoonbaar bewijs dat jouw team een phishingmail herkent. Documentatie dat je je incidentresponsplan hebt getest. Meetbare verbeteringen over tijd.

En dit is de ongemakkelijke waarheid: de meeste accountantskantoren hebben geen goede antwoorden. Niet omdat ze de beveiliging niet serieus nemen — maar omdat ze niet weten hoe ze het aantoonbaar moeten maken. Gebruik de NIS2 Quick Scan als startpunt voor uw compliance-traject.

De vier uitdagingen voor accountantskantoren

1. Klantdue diligence wordt serieuzer

Vijf jaar geleden accepteerden klanten “Ja, we nemen beveiliging serieus” als antwoord. Niet meer. Nu vragen ze:

“Wanneer heeft jouw team voor het laatst security awareness training gevolgd?”
“Kun je ons de resultaten van jullie phishingtest laten zien?”
“Hoe snel detecteer jij een datalek?”
“Wat is jullie incidentresponsplan?”

Dit zijn geen paranoïde vragen. Dit zijn standaard due diligence-vragen van zakelijke klanten die te veel krantenkoppen hebben gezien over accountantskantoren die klantdata zijn kwijtgeraakt.

Het gevolg: kantoren zonder solide antwoorden verliezen aanbestedingen aan concurrenten die hun beveiligingspositie kunnen aantonen met bewijs, niet met beloften.

2. NIS2 & ISO 27001-auditors willen bewijs, geen beleid

Veel accountantskantoren die wij spreken zijn gefrustreerd door hun ISO 27001-auditors. De feedback die ze krijgen is vaag: “U heeft betere security awareness nodig.” “Uw incidentrespons moet verbeteren.” “We hebben meer bewijs van continue verbetering nodig.”

Maar wat betekent “beter”? Welk bewijs, precies? Hoe toon je continue verbetering in security awareness training voor accountants aan?

“Onze auditor blijft wijzen op hiaten, maar vertelt nooit precies wat we moeten oplossen of hoe we het moeten documenteren. Het voelt alsof ze alleen vakjes aanvinken zonder ons echt veiliger te maken.” — Directeur, middelgroot accountantskantoor

Dit creëert een gevaarlijke cirkel: kantoren besteden tijd en geld aan auditvoorbereiding, krijgen te horen dat er iets ontbreekt, repareren het haastig en herhalen dit proces elk jaar — zonder hun beveiligingspositie echt te verbeteren.

3. Je team is je grootste risico (en je grootste kracht)

Elke medewerker in jouw kantoor heeft toegang tot ongelooflijk gevoelige informatie: salarisgegevens, belastingaangiften, jaarrekeningen, bankgegevens van klanten. Één medewerker die op een phishinglink klikt kan compromitteren:

Jaren aan financiële klantdossiers
Vertrouwelijke belastingstrategieën
Gevoelige M&A-besprekingen
Persoonsgegevens van duizenden medewerkers

Maar hier missen de meeste kantoren iets cruciaals: phishing training voor medewerkers mislukt wanneer het generiek is. Onderzoek laat zien dat 1 op de 5 MKB-medewerkers klikt op een phishingmail — maar na drie gerichte simulaties daalt dat risico met 60%.

Wat jouw team nodig heeft, is training gericht op de specifieke dreigingen die accountantskantoren treffen:

Nep-factuurmails die er precies uitzien als de debiteurenafdeling van je klant
Phishingmails die doen alsof ze van de Belastingdienst komen tijdens aangifte-seizoen
Business email compromise gericht op salarisverwerking
Imitatieaanvallen met domeinen van jouw partners

🔒 Gratis NIS2-check voor accountantskantoren

Wil je weten of jouw kantoor audit-ready is? Plan een vrijblijvend gesprek van 30 minuten. We lopen samen door je huidige situatie, bespreken je NIS2-status en je gaat weg met concrete actiepunten — ongeacht of je klant wordt.

Plan een gesprek met Han, Willemijn, Daniel of Joe

4. De Cyberbeveiligingswet 2026 (NIS2) zorgt voor verwarring — en kansen

De NIS2-richtlijn — in Nederland vertaald naar de Cyberbeveiligingswet, verwacht in het tweede kwartaal van 2026 — vereist dat organisaties die kritieke toeleveringsketens bedienen, direct of indirect compliant moeten zijn. Voor accountantskantoren roept dit veel vragen op: Geldt het voor ons? Voor onze klanten? Hoe verhoudt het zich tot ISO 27001?

Nog belangrijker: jouw klanten stellen jóu deze vragen. En als jij ze niet zelfverzekerd kunt beantwoorden, zoeken ze iemand die dat wel kan.

NIS2 compliance is niet zomaar een nieuwe compliance-hoofdpijn. Het is een kans om jouw kantoor te positioneren als vertrouwd adviseur op het gebied van cybersecurity en compliance — niet alleen accountancy en audit. Voor NIS2 MKB-klanten zijn accountantskantoren een logisch eerste aanspreekpunt. Die kans is nu.

Wat accountantskantoren daadwerkelijk nodig hebben

Na het werken met accountants- en auditkantoren in Nederland, België, Spanje en Duitsland weten we wat werkt en wat niet.

Begin met bewijs-gebaseerde beveiliging

Sla de 50 pagina’s beveiligingsbeleid die niemand leest maar over. Begin met meetbare, aantoonbare beveiliging.

Phishingsimulaties

Voer elk kwartaal realistische phishingtests uit. Niet om je team te “betrappen”, maar om verbetering te meten. Auditors willen zien: baseline klikpercentages, verbetering over tijd, gerichte training voor kwetsbare medewerkers en documentatie van het programma.

Progressieve security awareness training

Generieke eenmalige training werkt niet. Je team heeft doorlopende educatie nodig: wij hanteren een 36-maandencyclus met scenario’s specifiek voor accountancy- en auditwerk, just-in-time training wanneer medewerkers fouten maken, en certificaten voor compliance-documentatie.

Onafhankelijke beoordelingen

Je IT-leverancier is uitstekend, maar auditors en klanten willen onafhankelijke verificatie: een cloud security assessment (Microsoft 365), zichtbaarheid van endpoint-beveiliging, e-mailbeveiligingsanalyse en een gap-analyse tegen ISO 27001 en NIS2 compliance.

Word audit-ready — vóór de audit

Het beste moment om je voor te bereiden op een NIS2 of ISO 27001-audit is continu — niet twee weken voor de auditor arriveert.

Wat auditors daadwerkelijk willen zien:

Voltooiingsregistraties van security awareness training
Resultaten van phishingsimulaties over tijd
Documentatie en tests van incidentrespons
Risicobeoordelingen met echte data
Bewijs van continue verbetering

Wat wij accountantskantoren helpen bij te houden:

Geautomatiseerde bewijsverzameling
Realtime compliance-dashboards
Historische trenddata
Auditklare rapporten die op verzoek worden gegenereerd

Maak van beveiliging een klantdifferentiator

Sommige accountantskantoren gaan verder. Ze beveiligen niet alleen hun eigen kantoor — ze bieden security awareness training als dienst aan hun MKB-klanten aan. Denk aan kantoren zoals Schuiteman: jij hebt al vertrouwensrelaties met tientallen of honderden MKB-klanten die vragen naar NIS2, worstelen met ISO 27001 en zich zorgen maken over ransomware.

We suggereren niet dat elk accountantskantoor een cyberbeveiligingsbedrijf moet worden. Maar veel kantoren ontdekken dat het aanbieden van security awareness training een natuurlijke uitbreiding is van hun adviesdiensten — én een betekenisvolle inkomstenstroom.

In de praktijk: hoe implementatie er echt uitziet


Tijdsinvestering	Opzet: ~2 uur IT-leverancier · Jouw tijd: 1-2 uur · Doorlopend: grotendeels geautomatiseerd
Kosten	€7,99 per gebruiker/maand · Minimaal 2 jaar · 30 dagen evaluatieperiode
Wat je krijgt	Kwartaallijkse phishingsimulaties · 36-maanden trainingscurriculum · Pre-audit gap-analyse NIS2 & ISO 27001 · Cloud security assessment · Auditklare compliance-rapporten · Optioneel: ex-NATO cybersecurityspecialisten

NIS2 voor accountantskantoren — de complete gids
Alles over NIS2 compliance, het complete Lupasafe platform, cases van Schuiteman, INAA en Borrie, en hoe u beveiliging als dienst kunt aanbieden aan uw klanten.
Bekijk de NIS2 pagina voor accountantskantoren →

Plan demo Begin Gratis