NIS2 en AVG voor accountantskantoren: zo regel je het slim in 2026

Per 2026 treedt de Cyberbeveiligingswet in werking — de Nederlandse vertaling van de Europese NIS2-richtlijn. Accountantskantoren krijgen daarmee te maken, direct of indirect via hun klanten. Tegelijk geldt al jaren de AVG-verplichting om een verwerkingsregister bij te houden. Twee dossiers, twee aparte Excel-lijstjes, twee keer werk. Dat kan slimmer.

In dit artikel leggen we uit wat NIS2 concreet betekent voor accountantskantoren, wanneer je verplicht bent te voldoen, en hoe je NIS2-compliance en AVG-verplichtingen samen in één platform kunt afhandelen — zonder dat je er een dagtaak aan hebt.

Valt jouw accountantskantoor onder NIS2?

De NIS2-richtlijn is primair bedoeld voor organisaties met meer dan 50 medewerkers of meer dan €10 miljoen omzet in kritieke sectoren. De meeste kleine accountantskantoren vallen daar formeel niet direct onder. Maar er zijn twee redenen waarom je er toch mee te maken krijgt:

• Ketenzorgplicht: bedrijven die wel onder NIS2 vallen, zijn verplicht hun leveranciers — inclusief hun accountant — te screenen op digitale veiligheid. Als jij geen aantoonbare beveiliging hebt, riskeer je contracten te verliezen.
• Klantadvies: grotere MKB-klanten zullen jou als vertrouwde adviseur vragen hoe zij NIS2-compliant worden. Dan wil je het antwoord klaar hebben.

Kortom: ook al val je niet direct onder de wet, de praktijk dwingt je er wel toe. En dat moment komt sneller dan je denkt.

Wat moet een accountantskantoor concreet regelen voor NIS2?

NIS2 verplicht organisaties om aan 17 beveiligingscontroles te voldoen (gebaseerd op Supply Chain 10 van Samen Digitaal Veilig). Voor een kantoor betekent dat in de praktijk:

• Een informatiebeveiligingsbeleidsplan opstellen: wie is verantwoordelijk voor cybersecurity, wat is de aanpak bij een incident? Hier kan Samen Digitaal Veilig of een adviseur (via Lupasafe) je mee helpen.
• Inzicht in alle apparaten, gebruikers en software binnen het kantoor — inclusief thuiswerkers.
• Aantoonbare security awareness training voor alle medewerkers, minimaal jaarlijks.
• Phishing-simulaties om te testen of medewerkers verdachte mails herkennen.
• E-mailbeveiliging op orde: SPF, DKIM en DMARC correct geconfigureerd.
• Multi-factor authenticatie (MFA) actief op alle systemen.
• Inzicht in de Microsoft 365 / cloudomgeving: welke instellingen zijn veilig, welke niet?
• Meldplicht: bij een datalek moet je binnen 24 uur kunnen rapporteren.

Goed nieuws: een groot deel hiervan kan geautomatiseerd worden. Je hoeft dit niet handmatig bij te houden. Hieronder het dashboard hoe jij de voortgang ziet binnen Lupasafe met twee voorbeelden:

Voorbeeld 1 – Phishing- & awareness training medewerkers: waarom dit een belangrijke controle is

90% van de cyberaanvallen begint met phishing. In de praktijk zien we bij eerste phishing tests dat 30 tot 40% van de medewerkers hun Outlook-inloggegevens invult op een nep-pagina. Ook bij kantoren die denken dat het wel goed zit.

Effectieve security awareness training werkt alleen als het continu is — niet als eenmalige cursus. Een jaarlijkse ethische hacker op bezoek is een goed begin, maar daarna vertrekken medewerkers, komen er nieuwe bij, en sluipen de slechte gewoonten er weer in.

De aanpak die werkt: een korte maandelijkse e-learning (2 tot 8 minuten), automatisch verstuurd naar alle medewerkers, aangevuld met periodieke phishing simulaties. Medewerkers die klikken, krijgen direct een gerichte training. Zo bouw je een cultuur van alertheid op zonder dat het veel tijd kost.

De resultaten integreren wij slim in de NIS2 Supply Chain controls over ‘Veilig thuiswerken’ en ‘Educatie van bestuurders en medewerkers’.

Voorbeeld 2 – NIS2 inventarisatie van systemen en data & AVG verwerkingsregister: verplicht, maar vaak een rommeltje

De NIS2 modules met controles zoals informatie-overzicht en ICT-asset overzicht helpt organisaties bij het inventariseren van systemen en data — wat bouwstenen zijn voor een verwerkingsregister. Vrijwel elk accountantskantoor is verplicht een verwerkingsregister bij te houden. Daarin leg je vast welke persoonsgegevens je verwerkt, met welk doel, van wie, hoe lang je ze bewaart, en wie er toegang toe heeft. Denk aan: klantdossiers, salarisadministratie, belastingdossiers, personeelsdossiers.

De realiteit in de meeste kantoren? Een Excel-bestand dat al drie jaar niet is bijgewerkt. Of meerdere lijstjes die niemand meer overziet.

De basis voor een goed verwerkingsregister is inzicht in:

• Welke software wordt er binnen het kantoor gebruikt? (automatisch op te halen uit je systemen)
• Wie heeft toegang tot welke systemen? (uit Microsoft Entra / Active Directory)
• Op welke apparaten worden gegevens verwerkt? (apparateninventaris)

Dit is exact de data die ook NIS2 van je vraagt. Twee vliegen één klap.

NIS2 compliance software voor accountantskantoren: wat werkt?

De markt voor NIS2 compliance software groeit snel. Maar veel oplossingen zijn gebouwd voor grote bedrijven met een eigen IT-afdeling en CISO. Voor een kantoor van 10 tot 100 medewerkers heb je iets anders nodig:

• Eenvoudige onboarding zonder weken implementatiewerk.
• Automatische koppeling met Microsoft 365 — de omgeving die vrijwel elk kantoor gebruikt.
• Automatische e-learning voor medewerkers, die gewoon maandelijks doorloopt zonder dat jij er naar hoeft om te kijken.
• Phishing simulaties die planmatig draaien, met Nederlandse templates.
• Rapportages die je direct kunt tonen aan een auditor of aan een MKB-klant die erom vraagt.
• Één overzicht voor alle entiteiten — handig als je meerdere BV’s of maatschappen beheert.

Wat kost NIS2 compliance?

Een NIS2-certificering via het NIS2 Supply Chain is aanzienlijk goedkoper dan een ISO 27001-certificering. Reken op een eenmalig audittraject van ruwweg €2.000 tot €5.000, afhankelijk van de auditpartner en de staat van voorbereiding. Hoe meer je automatisch kunt aantonen en regelen — met software — hoe lager de kosten.

Hoe begin je als accountantskantoor met NIS2?

De eerste stap is inzicht. Je wilt weten waar je nu staat ten opzichte van de 17 NIS2-controls. De investering bij Lupasafe is ongeveer 60 minuten — samen met je IT-partner.

Daarna bouw je stap voor stap toe naar aantoonbare compliance: e-learning draait automatisch, phishing simulaties lopen op de achtergrond, technische scans monitoren je Microsoft 365 omgeving continu. Na een paar weken heb je voldoende bewijslast voor een audit.

Wil je weten wat NIS2 concreet betekent voor jouw kantoor? Plan een gratis demo — we laten je in 30 minuten precies zien waar je staat en wat er nodig is. Plan een demo →.

Lees ook artikel van Samen Digitaal Veilig “Accountants krijgen een sleutelrol in NIS2 en de digitale keten” en ABN AMRO.